EDR vs. Antivirus für Unternehmen: Was ist der Unterschied?
In eigener Sache
EDR, oder Endpoint Detection and Response, ist ein moderner Ersatz für Antiviren-Sicherheitssuites. Jahrzehntelang haben Organisationen und Unternehmen in Antiviren-Suiten investiert, in der Hoffnung, die Herausforderungen der Unternehmenssicherheit zu lösen. Doch mit der zunehmenden Raffinesse und Verbreitung von Malware-Bedrohungen in den letzten zehn Jahren wurden die Unzulänglichkeiten der so genannten "Legacy"-Virenschutzlösungen nur allzu deutlich.
Als Reaktion darauf haben einige Anbieter die Herausforderungen der Unternehmenssicherheit überdacht und neue Lösungen für die Unzulänglichkeiten von Antivirenprogrammen entwickelt. Wie unterscheidet sich EDR von Antivirus? Wie und warum ist EDR effektiver als AV? Und was ist zu beachten, wenn Sie Ihr AV durch ein fortschrittliches EDR ersetzen? Die Antworten auf all diese Fragen und mehr finden Sie in diesem Beitrag.
Wodurch unterscheidet sich EDR von Antivirus?
Um Ihr Unternehmen oder Ihre Organisation angemessen vor Bedrohungen zu schützen, ist es wichtig, den Unterschied zwischen EDR und herkömmlichem oder "altem" Antivirus zu verstehen. Diese beiden Sicherheitsansätze unterscheiden sich grundlegend, und nur einer von ihnen ist für den Umgang mit modernen Bedrohungen geeignet.
Merkmale von Antivirus
In der Zeit, als die Anzahl der neuen Malware-Bedrohungen pro Tag noch bequem in einer Tabellenkalkulation gezählt werden konnte, bot Antivirus Unternehmen eine Möglichkeit, bekannte Malware zu blockieren, indem es Dateien untersuchte - oder scannte -, während sie auf die Festplatte eines Computergeräts geschrieben wurden. Wenn die Datei in der Datenbank des AV-Scanners für bösartige Dateien "bekannt" war, verhinderte die Software die Ausführung der Malware-Datei.
Die herkömmliche Antiviren-Datenbank besteht aus einer Reihe von Signaturen. Diese Signaturen können Hashes einer Malware-Datei und/oder Regeln enthalten, die eine Reihe von Merkmalen enthalten, denen die Datei entsprechen muss. Zu diesen Merkmalen gehören in der Regel von Menschen lesbare Zeichenfolgen oder Byte-Sequenzen, die in der ausführbaren Malware-Datei gefunden werden, der Dateityp, die Dateigröße und andere Arten von Datei-Metadaten.
Einige Antivirenprogramme können auch primitive heuristische Analysen von laufenden Prozessen durchführen und die Integrität wichtiger Systemdateien überprüfen. Diese "After-the-Fact"- oder Post-Infection-Checks wurden zu vielen AV-Produkten hinzugefügt, nachdem die Flut von täglich neuen Malware-Samples die Fähigkeit der AV-Anbieter überstieg, ihre Datenbanken auf dem neuesten Stand zu halten.
Angesichts der wachsenden Bedrohungen und der nachlassenden Wirksamkeit des Antivirus-Ansatzes haben einige Anbieter versucht, Antivirus durch andere Dienste wie Firewall-Kontrolle, Datenverschlüsselung, Prozesszulassungs- und -blockierungslisten und andere AV-"Suite"-Tools zu ergänzen. Diese Lösungen, die allgemein als "EPP" oder Endpoint Protection Platforms bezeichnet werden, basieren im Kern weiterhin auf einem Signaturansatz.
Merkmale von EDR
Während der Schwerpunkt aller AV-Lösungen auf den (potenziell bösartigen) Dateien liegt, die in das System eingebracht werden, konzentriert sich ein EDR im Gegensatz dazu auf die Sammlung von Daten vom Endpunkt und die Untersuchung dieser Daten auf bösartige oder anomale Muster in Echtzeit. Wie der Name schon sagt, besteht die Idee eines EDR-Systems darin, eine Infektion zu erkennen und eine Reaktion einzuleiten. Je schneller ein EDR-System dies ohne menschliches Eingreifen tun kann, desto effektiver ist es.
Ein gutes EDR-System verfügt auch über Funktionen zum Blockieren bösartiger Dateien, aber vor allem erkennen EDRs, dass nicht alle modernen Angriffe dateibasiert sind. Darüber hinaus bieten proaktive EDRs Sicherheitsteams wichtige Funktionen, die in Antivirenprogrammen nicht zu finden sind, wie z. B. automatisierte Reaktionen und einen umfassenden Einblick in die auf dem Endgerät vorgenommenen Dateiveränderungen, die Erstellung von Prozessen und Netzwerkverbindungen: Dies ist für die Suche nach Bedrohungen, die Reaktion auf Vorfälle und die digitale Forensik von entscheidender Bedeutung.
Fallstricke von Antivirus
Es gibt viele Gründe, warum Antivirenlösungen nicht mit den Bedrohungen Schritt halten können, denen Unternehmen heute ausgesetzt sind. Erstens gibt es, wie bereits erwähnt, täglich mehr neue Malware-Muster, als ein menschliches Team von Signaturschreibern bewältigen kann.
Da AV-Lösungen zwangsläufig viele dieser Muster nicht erkennen können, müssen Unternehmen davon ausgehen, dass sie mit einer Bedrohung konfrontiert werden, die das Antivirenprogramm nicht erkennen kann.
Zweitens kann die Erkennung durch Antiviren-Signaturen von Bedrohungsakteuren oft leicht umgangen werden, auch ohne dass sie ihre Malware neu schreiben müssen. Da sich Signaturen nur auf einige wenige Dateimerkmale konzentrieren, haben Malware-Autoren gelernt, Malware mit wechselnden Merkmalen zu erstellen, auch bekannt als polymorphe Malware. Datei-Hashes gehören beispielsweise zu den am einfachsten zu ändernden Merkmalen einer Datei, aber auch interne Zeichenketten können mit jedem Build der Malware anders randomisiert, verschleiert und verschlüsselt werden.
Drittens sind finanziell motivierte Bedrohungsakteure wie Ransomware-Betreiber über einfache dateibasierte Malware-Angriffe hinausgegangen. Von Menschen durchgeführte Ransomware-Angriffe wie Hive sowie "Doppelerpressungs"-Angriffe wie Maze, Ryuk und andere, die mit kompromittierten oder erzwungenen Anmeldeinformationen oder der Ausnutzung von RCE-Schwachstellen (Remote Code Execution) beginnen, können zu einer Kompromittierung und dem Verlust von geistigem Eigentum durch Datenexfiltration führen, ohne dass eine auf Antivirensignaturen basierende Erkennung erfolgt.
Vorteile von EDR
Mit seinem Schwerpunkt auf der Bereitstellung von Transparenz für die Sicherheitsteams von Unternehmen und automatischen Erkennungsreaktionen ist EDR viel besser dafür gerüstet, mit den heutigen Bedrohungsakteuren und den damit verbundenen Sicherheitsherausforderungen fertig zu werden.
Durch die Konzentration auf die Erkennung ungewöhnlicher Aktivitäten und die Bereitstellung einer Reaktion ist EDR nicht nur auf die Erkennung bekannter, dateibasierter Bedrohungen beschränkt. Im Gegenteil, der Hauptvorteil von EDR liegt darin, dass die Bedrohung nicht genau definiert werden muss, wie es bei Antivirenlösungen der Fall ist. Eine EDR-Lösung kann nach unerwarteten, ungewöhnlichen und unerwünschten Aktivitätsmustern suchen und eine Warnung ausgeben, die von einem Sicherheitsanalysten untersucht werden kann.
Da EDRs eine Vielzahl von Daten von allen geschützten Endpunkten sammeln, bieten sie Sicherheitsteams die Möglichkeit, diese Daten in einer bequemen, zentralisierten Schnittstelle zu visualisieren. IT-Teams können diese Daten zur tieferen Analyse in andere Tools integrieren, um die allgemeine Sicherheitslage des Unternehmens zu verbessern und die Art potenzieller künftiger Angriffe zu definieren. Die umfassenden Daten eines EDR ermöglichen auch eine nachträgliche Bedrohungsjagd und -analyse.
Einer der größten Vorteile eines fortschrittlichen EDR ist vielleicht die Fähigkeit, diese Daten zu nehmen, sie auf dem Gerät zu kontextualisieren und die Bedrohung ohne menschliches Eingreifen zu entschärfen. Allerdings sind nicht alle EDRs dazu in der Lage, da viele von ihnen die EDR-Daten zur Fernanalyse (und somit mit Verzögerung) in die Cloud übertragen müssen.
Wie EDR Antivirus ergänzt
Trotz ihrer Einschränkungen, wenn sie allein oder als Teil einer EPP-Lösung eingesetzt werden, können Antiviren-Engines nützliche Ergänzungen zu EDR-Lösungen sein, und die meisten EDRs enthalten ein Element der signatur- und hashbasierten Blockierung als Teil einer "Defense-in-Depth"-Strategie.
Durch die Integration von Antiviren-Engines in eine effektivere EDR-Lösung können Sicherheitsteams in Unternehmen die Vorteile des einfachen Blockierens bekannter Malware nutzen und mit den fortschrittlichen Funktionen kombinieren, die EDRs bieten.
Vermeidung von Alarmmüdigkeit mit Active EDR
Wie wir bereits erwähnt haben, bieten EDRs den Sicherheits- und IT-Teams von Unternehmen einen umfassenden Einblick in alle Endpunkte des Unternehmensnetzwerks, was wiederum eine Reihe von Vorteilen mit sich bringt. Trotz dieser Vorteile haben viele EDR-Lösungen jedoch nicht die Wirkung, die sich die Sicherheitsteams von Unternehmen erhofft hatten, da ihre Verwaltung einen hohen Personalaufwand erfordert: Ressourcen, die häufig aufgrund von Personal- oder Budgetbeschränkungen nicht zur Verfügung stehen oder aufgrund des Mangels an Fachkräften im Bereich Cybersicherheit nicht verfügbar sind.
Anstatt sich über mehr Sicherheit und weniger Arbeit für ihre IT- und Sicherheitsteams zu freuen, mussten viele Unternehmen, die in EDR investiert haben, einfach Ressourcen von einer Sicherheitsaufgabe zur nächsten umverteilen: weg von der Behandlung infizierter Geräte hin zur Behandlung eines Berges von EDR-Warnungen.
Und doch muss das nicht so sein. Das vielleicht wertvollste Potenzial von EDR liegt in seiner Fähigkeit, Bedrohungen autonom und ohne menschliches Eingreifen zu entschärfen. Durch die Nutzung der Leistungsfähigkeit von maschinellem Lernen und künstlicher Intelligenz entlastet Active EDR das SOC-Team und ist in der Lage, Ereignisse auf dem Endpunkt autonom zu entschärfen, ohne auf Cloud-Ressourcen angewiesen zu sein.
Das bedeutet, dass Bedrohungen in Maschinengeschwindigkeit abgewehrt werden - schneller als jede Remote-Cloud-Analyse - und ohne menschlichen Aufwand.
Was Active EDR für Ihr Team bedeutet
Stellen Sie sich folgendes typische Szenario vor: Ein Benutzer öffnet eine Registerkarte in Google Chrome, lädt eine Datei herunter, von der er glaubt, dass sie sicher ist, und führt sie aus. Das Programm nutzt PowerShell, um die lokalen Backups zu löschen, und beginnt dann, alle Daten auf dem Datenträger zu verschlüsseln.
Die Arbeit eines Sicherheitsanalysten, der passive EDR-Lösungen einsetzt, kann hart sein. Er wird mit Warnmeldungen überschwemmt und muss die Daten zu einem sinnvollen Bericht zusammenstellen. Bei Active EDR wird diese Arbeit stattdessen vom Agenten auf dem Endpunkt erledigt. Active EDR kennt den gesamten Sachverhalt und entschärft die Bedrohung bereits während der Laufzeit, bevor die Verschlüsselung beginnt.
Wenn die Bedrohung entschärft ist, werden alle Elemente dieser Bedrohung berücksichtigt, bis hin zur Chrome-Registerkarte, die der Benutzer im Browser geöffnet hat. Dazu wird jedem Element in der Story dieselbe Storyline-ID zugewiesen. Diese Storys werden dann an die Verwaltungskonsole gesendet, so dass Sicherheitsanalysten und IT-Administratoren die Bedrohungen leicht erkennen und aufspüren können.
Verbesserung Ihrer Sicherheit mit EDR
Nachdem wir die eindeutigen Vorteile eines EDR-Systems gegenüber einem Antivirenprogramm erkannt haben, was ist der nächste Schritt? Die Wahl des richtigen EDR-Systems setzt voraus, dass Sie die Bedürfnisse Ihres Unternehmens und die Möglichkeiten des angebotenen Produkts kennen.
Es ist auch wichtig, Tests durchzuführen, aber sicherzustellen, dass diese Tests auch in der Praxis Anwendung finden. Wie wird das Produkt von Ihrem Team im Tagesgeschäft eingesetzt? Wie leicht ist es zu erlernen? Wird es Ihr Unternehmen auch dann noch schützen, wenn alle Cloud-Dienste, auf die es angewiesen ist, offline oder unerreichbar sind?
Es ist wichtig, auch die Bereitstellung und den Rollout zu berücksichtigen. Können Sie die Bereitstellung in Ihrer Flotte automatisieren? Wie sieht es mit der Plattformkompatibilität aus? Legt der von Ihnen gewählte Anbieter den gleichen Wert auf Windows, Linux und macOS? Jeder Endpunkt muss geschützt werden. Diejenigen, die zurückgelassen werden, können eine Hintertür in Ihr Netzwerk darstellen.
Als Nächstes sollten Sie über die Integration nachdenken. Die meisten Unternehmen haben einen komplexen Software-Stack. Bietet Ihr Anbieter eine leistungsstarke, aber einfache Integration für andere Dienste, auf die Sie angewiesen sind?
Mehr als EDR | XDR für maximale Sichtbarkeit und Integration
Während Active EDR der nächste Schritt für Unternehmen ist, die Antivirus noch nicht hinter sich gelassen haben, sollten Unternehmen, die ein Maximum an Transparenz und Integration über ihren gesamten Bestand hinweg benötigen, über Extended Detection and Response, oder XDR, nachdenken.
XDR hebt EDR auf die nächste Stufe, indem es alle Sichtbarkeits- und Sicherheitskontrollen in eine vollständige, ganzheitliche Sicht auf das Geschehen in Ihrer Umgebung integriert. Mit einem einzigen Rohdatenpool, der Informationen aus dem gesamten Ökosystem umfasst, ermöglicht XDR eine schnellere, tiefgreifendere und effektivere Erkennung und Reaktion auf Bedrohungen als EDR, indem es Daten aus einer größeren Anzahl von Quellen sammelt und zusammenführt.
Schlussfolgerung
Bedrohungsakteure sind längst über Antivirus und EPP hinausgewachsen, und Unternehmen müssen sich darüber im Klaren sein, dass solche Produkte den heutigen Bedrohungen nicht gewachsen sind. Selbst ein flüchtiger Blick auf die Schlagzeilen zeigt, wie große, unvorbereitete Unternehmen von modernen Angriffen wie Ransomware überrascht werden, obwohl sie in Sicherheitskontrollen investiert haben. Es liegt an uns als Verteidiger, dafür zu sorgen, dass unsere Sicherheitssoftware nicht nur für die Angriffe von gestern, sondern auch für die von heute und morgen geeignet ist.
Wenn Sie Interesse an einer EDR oder XDR Lösung haben, beraten wir Sie gerne bei der Auswahl der richtigen Lösung für Ihr Unternehmen. Kontaktieren Sie uns einfach per Telefon, E-Mail oder unser Kontaktformular. Wir freuen uns auf Ihre Anfrage.