Blog

Die Grenzen von EDR und die umfassende Lösung, die MDR bietet

Geschrieben von ForeNova | April 9, 2024

 

Der Schutz vor Cyberbedrohungen erfordert mehr als nur einzelne Maßnahmen; es geht um den Aufbau verschiedener Schutzebenen. Hacker setzen auf aggressive Strategien, die in ihre fortlaufend weiterentwickelten Angriffsketten integriert sind. Mit Hilfe von künstlicher Intelligenz (KI) sind sie nun in der Lage, ihre Angriffe fast in Echtzeit anzupassen, basierend auf den analysierten Daten der Sicherheitstelemetrie. Diese schnellen Veränderungen, zusammen mit der steigenden Geschwindigkeit der Angriffe, zwingen Unternehmen dazu, ihre verschiedenen Sicherheitsschichten durch eine kohärentere Reaktion auf Zwischenfälle, kontinuierliche Überwachung und automatische Anpassungen zu stärken.

In diesem Artikel geht es um die Rolle der Endpunkt-Erkennung und -Reaktion (EDR) und um die zwingende Notwendigkeit für Unternehmen, sich für einen Managed Detection and Response (MDR) Service zu entscheiden. Allein EDR ist kaum ausreichend, um die Bedrohungslage und das Risiko für ein Unternehmen signifikant zu minimieren.

Einführung in EDR: Was ist die Rolle von EDR?

Unternehmen, die in adaptive Cybersicherheitsmaßnahmen investieren, schützen ihre Investitionen über die wesentlichen Angriffspunkte hinweg: Endgeräte, Cloud und hostbasierte Anwendungen. Das verbindende Element zwischen diesen Angriffspunkten sind die Nutzer und die Netzwerke, auf die sie zugreifen. Investitionen in Schutzmaßnahmen wie EDR tragen zur Risikoreduzierung bei, indem sie die Angriffsfläche für Hacker verkleinern. Hacker setzen eine Vielfalt von Methoden ein, einschließlich Browser- und Session-Hijacking, E-Mail-Phishing und schädliche Links, um Malware und Viren auf anfällige Endpunkte und Geräte zu übertragen.

Diese Schwachstellen ermöglichen laterale Angriffe, einschließlich Ransomware. Der Einsatz von EDR hilft, diese Endgeräte zu schützen. Diese Schutzmaßnahme ist allerdings nur ein Teil der umfassenden Cybersicherheitsstrategie, die Unternehmen benötigen, um die Daten ihrer Nutzer vollständig zu schützen und gleichzeitig diverse regulatorische Anforderungen zu erfüllen.

EDR wird zu einem wichtigen Bestandteil der gesamten Cybersecurity-Strategie.

EDR ist ein essenzieller Teil der umfassenden Sicherheitsstrategie eines Unternehmens. Diese Lösungen richten ihren Fokus ausschließlich auf die Überwachung von Aktivitäten auf den Endpunkten und ermöglichen es, bei Bedarf potenzielle Bedrohungen wie Malware, Trojaner und Rootkits zu erkennen und zu verhindern, dass sie Hostsysteme, Geräte und Workstations der Endnutzer kompromittieren.


Diese Tools erfassen Telemetriedaten und leiten sie entweder an die Verwaltungskonsole des Anbieters oder an eine unternehmensweite SIEM-Lösung (Security Information and Event Management) weiter. EDR-Lösungen nutzen verhaltensbasierte Analysen und statische Regelwerke, um Analyse- und Alarmierungsfunktionen zu unterstützen. Obwohl EDR-Lösungen häufig mit Antivirenprogrammen (AV) verglichen werden, führen sie deutlich umfassendere Analysen durch. Dazu gehört die Suche nach Malware und Zero-Day-Angriffen, was über das hinausgeht, was AV-Lösungen bieten. Oft ersetzen diese Lösungen die AV-Software auf den Endpunkten.


Mit seinen Analysen und Richtlinien untersucht EDR auch Anwendungen und Prozesse auf den Endpunkten auf bösartiges Verhalten. Obwohl diese Lösung einen Fortschritt im Vergleich zu herkömmlichen Antivirenprogrammen darstellt, benötigt sie dennoch regelmäßige Updates über die Verwaltungskonsole, um ihre Wirksamkeit zu erhalten.

Was sind die Grenzen von EDR?

Viele EDR-Lösungen sind kritisch, aber es gibt einige Herausforderungen bei dieser Lösung, die verbessert werden könnten.

  • EDR bietet nur eine begrenzte Fähigkeit zum Schutz der Endpunkte. Dies ist zwar eine wichtige Schutzschicht, aber die Lösung leistet wenig, um bösartige Aktivitäten innerhalb der verschiedenen Netzwerkschichten zu erkennen.
  • EDR-Lösungen sind sehr geschwätzig und erzeugen mehrere falsch positive und negative Ergebnisse, mit denen sich das Security Operations (SecOps) Team befassen muss. 
  • EDR hat die Leistung der Endgeräte beeinträchtigt, was dazu führte, dass Endbenutzer viele Helpdesk-Tickets öffneten oder versuchten, den Agenten auf ihren Geräten zu deaktivieren. Diese Aktionen führten oft zu ausgenutzten Endpunkten.

Ein weiterer kritischer Aspekt von EDR ist seine grundsätzlich reaktive Ausrichtung. Diese Lösung agiert primär reaktiv anstatt proaktiv. Diese taktische Herangehensweise kann sich negativ auf Unternehmen auswirken, insbesondere jetzt, da Hacker Zugang zu KI-gestützten Angriffswerkzeugen haben, die reaktive Erkennungssysteme schnell überfordern können. Andere Cybersicherheitswerkzeuge, die in einem Präventionsmodus arbeiten, erweisen sich bei Angriffen, die auf Schnelligkeit setzen, als langlebiger.

Warum ist MDR für ein Unternehmen von entscheidender Bedeutung?

Unternehmen sind sich der Grenzen von EDR bewusst und verstehen, dass sie den Rest ihrer IT-Umgebung mit ähnlich funktionierenden Tools absichern müssen. Netzwerkerkennung und -reaktion (Network Detection and Response, NDR), hostbasierte Eindringlingserkennungswerkzeuge und eine Zero-Trust-Architektur tragen dazu bei, verschiedene Angriffsvektoren zu minimieren, die von EDR nicht abgedeckt werden.

MDR ist der verbindende Faden, der nötig ist, damit EDR, NDR, Zero-Trust und hostbasierte Intrusion-Detection-Systeme einheitlich funktionieren. Diese verschiedenen Cybersicherheitslösungen benötigen qualifizierte Sicherheitsingenieure für ihre Konfiguration. Viele Unternehmen brauchen zudem Unterstützung bei der Rekrutierung von Talenten für das Management dieser Systeme. Fachkräfte für EDR, NDR, Zero-Trust und hostbasierte Eindringungsschutztechniken zu finden und zu schulen, stellt für viele eine fast unlösbare Herausforderung dar.
 

MDR-Anbieter verfügen über Zugang zu erfahrenen Fachkräften, überwachen kontinuierlich (24/7/365) alle Cybersicherheitsaktivitäten und bieten Dienstleistungen wie Incident Response, Bedrohungsmodellierung und Reporting an. Diese Anbieter nutzen globale Servicezentren, um regionale und internationale Supportleistungen nach dem Follow-the-Sun-Prinzip anzubieten.

Eine weitere wichtige Komponente von MDR besteht darin, Unternehmen dabei zu unterstützen, von einer reaktiven und ressourcenintensiven Sicherheitskultur zu einer proaktiveren Sicherheitshaltung überzugehen.

 

Das Wachstum von XDR innerhalb eines MDR-Angebots

Erweiterte Erkennungs- und Reaktionslösungen (Extended Detection and Response, XDR) erfassen die gesamte Sicherheitstelemetrie, die von verschiedenen Schutzschichten, einschließlich EDR, NDR und hostbasierten Intrusion-Detection-Systemen, verarbeitet wird. Mit Unterstützung von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) ermöglichen XDR-Lösungen Unternehmen, Entwicklungen in der Angriffskette schneller zu identifizieren, bevor ein Angriff durchgeführt wird.

Unternehmen mit begrenzten Ressourcen, die ihr Sicherheitsoperationszentrum mit einem eigenen Sicherheitsteam besetzen müssen, haben die Möglichkeit, einen MDR-Anbieter mit der Verwaltung ihrer XDR-Lösung zu beauftragen.

Wie unterstützt MDR Unternehmen bei der Einhaltung von DORA, NIS2 und DSGVO? 

Dora

Die Europäische Union hat am 24. September 2020 ein digitales Finanzpaket verabschiedet, um einen europäischen Ansatz für die technologische Entwicklung des Finanzsektors zu fördern. Dieses Mandat umfasst Gesetzesinitiativen zur Förderung von Innovation und Wettbewerb bei gleichzeitiger Bewältigung der mit digitalen Instrumenten verbundenen Risiken.

  • Die DORA-Verordnung, die am 17. Januar 2025 in Kraft treten soll, zielt darauf ab, die IT-Sicherheit von Finanzunternehmen, einschließlich Banken, Versicherungen und Wertpapierfirmen, zu verbessern.
  • DORA schreibt vor, dass Finanzunternehmen alle Vorfälle dokumentieren und gründliche Protokolle für das Vorfallsmanagement einhalten müssen. Dieses Mandat beinhaltet die Schaffung spezifischer Verfahren für die Kategorisierung von Vorfällen und die Bewertung ihrer Folgen unter Berücksichtigung von Faktoren wie der Kritikalität der Dienste, der geografischen Reichweite und der betroffenen Datentypen.

MDR-Dienste bieten Unternehmen eine fortlaufende Überwachung, die es ermöglicht, Vorfälle zu erkennen, zu untersuchen, zu berichten und darauf zu reagieren. Sie spielen eine entscheidende Rolle dabei, bedeutende Angriffe auf Finanzinstitutionen durch bisher unbekannte Bedrohungen aufzudecken. Die DORA-Regulierung fordert eine Mitteilung im Falle einer Sicherheitsverletzung und präzise Angaben über die Organisationen, die den Vorfall aufklären und darauf reagieren müssen. MDR ist essentiell, um Unternehmen bei der Einhaltung der Melde- und Benachrichtigungspflichten nach DORA zu unterstützen.

NIS2

Die NIS-Richtlinie zielt darauf ab, ein einheitliches Sicherheitsniveau für Netzwerk- und Informationssysteme zu schaffen, die für Wirtschaft und Gesellschaft von entscheidender Bedeutung sind. Sie konzentriert sich auf den Umgang mit Bedrohungen wie Cyberangriffen aus verschiedenen Quellen.

„Die NIS2-Richtlinie verlangt die unverzügliche Meldung von bedeutenden Vorfällen. Organisationen müssen die zuständige Behörde oder das CSIRT benachrichtigen.“

Die MDR-Angebote unterstützen Unternehmen, indem sie detaillierte forensische Informationen über den Sicherheitsverstoß in nahezu Echtzeit bereitstellen sowie Benachrichtigungen und automatische Reaktionen, um die Ausbreitung des Angriffs zu verhindern. 

GDPR

Die Allgemeine Datenschutzverordnung (DSGVO) demonstriert Europas starkes Engagement für Datenschutz und Sicherheit in einer Zeit, in der personenbezogene Daten in Cloud-Diensten gespeichert werden und Datenschutzverletzungen immer wieder das Unternehmen betreffen. Die umfangreiche Verordnung erfordert detailliertere Spezifikationen, was die Einhaltung der DSGVO zu einer Herausforderung macht, insbesondere für kleine und mittlere Unternehmen.

Die DSGVO verlangt von Unternehmen einen soliden Plan zur Erkennung, Behandlung und Meldung von Verstößen, die sich auf die Daten von Personen auswirken können.

MDR bietet an, dass eine schnelle Reaktion, Benachrichtigung und Telemetrieerfassung für die DSGVO-Berichterstattung und Compliance erforderlich sind. 

Was sind Fallstudien aus der Praxis, die den Vorteil von MDR zeigen?

Sweden 

„In Schweden ist die schwedische Agentur für zivile Notfälle (MSB) die zuständige Behörde für die Meldung von Zwischenfällen. Die Organisation muss innerhalb von 24 Stunden nach dem Vorfall eine Frühwarnung und innerhalb von 72 Stunden einen detaillierten Bericht vorlegen.“ 

Die MDR-Dienste sind der Eckpfeiler, der Organisationen wie dem MSB dabei hilft, wesentliche Sicherheitsverletzungen zu melden.

European Agency for Cybersecurity (ENISA)

ENISA beauftragte eine verstärkte operative Zusammenarbeit auf EU-Ebene, half den EU-Mitgliedstaaten, die sie um Hilfe bei der Bewältigung ihrer Cybersicherheitsvorfälle baten, und unterstützte die Koordination der EU bei groß angelegten grenzüberschreitenden Cyberangriffen und Krisen.

Am 18. April 2023 schlug die Kommission eine Änderung des EU-Cybersicherheitsgesetzes vor, um Zertifizierungssysteme für verwaltete Sicherheitsdienste wie Incident Response und Penetrationstests zu schaffen, die Qualität und Zuverlässigkeit gewährleisten. Managed MDR-Services sind eine weitere Entwicklung, die zeigt, wie wertvoll es für Unternehmen ist, in diese Fähigkeiten zu investieren, um ihre Compliance-Anforderungen zu erfüllen.

Conclusion

Im Jahr 2023 erlitten deutsche Unternehmen durch Cyberkriminalität Verluste in Höhe von insgesamt 205,9 Milliarden Euro, wobei zusätzlich fast 30 Milliarden Euro für Rechtsstreitigkeiten ausgegeben wurden. Der geringste finanzielle Verlust wurde auf Betrugsversuche zurückgeführt.


Diese Statistiken in Verbindung mit den Anforderungen von DORA, NIS2 und GPDR zwingen Unternehmen dazu, alle wichtigen Cybersecurity-Technologien einzusetzen, einschließlich EDR, NDR, Host-based Intrusion und Zero-Trust. 


Die zugrundeliegende Struktur bringt diese kritischen Schutzbereiche mit den Investitionen in MDR-Angebote in Einklang. Da Cybersicherheitslösungen immer integrierter und komplexer werden, müssen Unternehmen ein MDR-Angebot in Betracht ziehen, das sie bei der Einhaltung von Compliance-, Berichts- und Meldepflichten unterstützt.

Warum Forenova Security für MDR-Dienste?

MDR unterstützt Unternehmen bei der Einhaltung von Compliance- und Datenschutzbestimmungen, darunter HIPAA, PCI-DSS, NIS2, DORA, DSGVO und CCPA, um nur einige zu nennen. Diese Vorschriften verlangen von den Unternehmen den Nachweis, dass sie über die Kapazitäten und Fähigkeiten verfügen, um auf KI-gestützte Cyberangriffe der nächsten Generation und die zunehmende Geschwindigkeit zu reagieren.

Forenova Security ist ein führender Anbieter von Cybersicherheitsdienstleistungen und MDR-Angeboten. Unternehmen, die einen Partner suchen, der ihr derzeitiges Team für Sicherheitsoperationen (SecOps) ergänzt oder eine komplette 24x7-Überwachung und -Reaktion, Bedrohungsdaten und andere Tools für die Cyberabwehr anbietet, haben bei Forenova Security Zugang zu erfahrenen Ingenieuren, um Ihre Geschäfts- und Compliance-Ziele zu erreichen.

Why Forenova Security for MDR Services?

MDR assists organizations with their compliance and privacy regulations, including HIPAA, PCI-DSS, NIS2, DORA, GDPR, and CCPA, just to name a few. These regulations require the organization to prove that it has the capacity and capability to respond to next-generation AI-powered cyberattacks and the increase in velocity.

Forenova Security is a leading provider of cybersecurity services and MDR offerings. For organizations seeking a partner to augment their current security operations (SecOps) team or provide a complete 24x7 monitoring and response, threat intelligence, and other cyber defense tools, Forenova Security has access to experienced engineers to meet your business and compliance goals.