10 PUNKTE, DIE SIE BEI DER EDR-AUSWAHL BEACHTEN SOLLTEN

Der Markt für EDR-Lösungen (Endpoint Detection and Response) ist in den letzten Jahren rasant gewachsen. Branchenexperten sagen voraus, dass sich dieser Trend fortsetzen wird. Gartner prognostiziert, dass mehr als 60 % der Unternehmen bis Ende 2025 ältere Antivirenprodukte durch kombinierte EPP- und EDR-Lösungen ersetzt haben werden [1].

Der Bedarf an ganzheitlichen Endpunkt-Sicherheitslösungen hat zwei Treiber: zum einen den Umstand, dass die Angriffe immer häufiger und raffinierter werden, zum anderen die Tatsache, dass EDR-Lösungen in die Reichweite mittelständischer Unternehmen gerückt sind. EDR ist längst nicht mehr nur eine Lösung für Großunternehmen, denn viele Anbieter von Cybersicherheitslösungen bieten mittlerweile eine erschwingliche Kombination aus EDR (Endpoint Detection and Response) und EPP (Endpoint Protection Platform) an.

Warum Unternehmen Endpoint Detection and Response brauchen, erklärt unser Überblicksbeitrag zu den wichtigsten EDR-Funktionen: „7 gute Gründe, die für eine EDR-Lösung sprechen“.

Im vorliegenden Beitrag stellen wir Ihnen die zehn wichtigsten Dinge vor, die Sie beim Kauf einer EDR-Lösung beachten sollten – und zu denen Ihr Anbieter Rede und Antwort stehen sollte. Diese Punkte gelten unabhängig davon, ob Ihr Unternehmen diese Art von Lösung erstmalig erwerben möchte oder ob es sich um ein regelmäßiges Benchmarking oder eine Ersatzbeschaffung handelt.

1. Integration mit anderen Sicherheitsplattformen

Sie müssen sichergehen, dass die EDR-Lösung, die Sie in Betracht ziehen, mit Ihren aktuellen Sicherheitssystemen kompatibel ist – dies ist absolut entscheidend. Es reduziert nicht nur den Arbeitsaufwand und steigert die Effizienz Ihres IT- bzw. Sicherheitsteams, sondern betrifft die Wirksamkeit der Lösung unmittelbar: Damit sie effektiv funktionieren können, müssen EDR-Tools die Integration mit anderen Sicherheitssystemen ermöglichen, mit denen Sie Maßnahmen zur Eindämmung eines Angriffs verfolgen, orchestrieren und ausführen.

Wenn Sie nach einer Lösung mit API-Integration Ausschau halten, haben Sie wahrscheinlich die besten Chancen, besonders dann, wenn Sie bereits mit SIEM (Security Information and Event Management) oder vergleichbaren Tools arbeiten. Dann kann die EDR-Lösung die Daten nahtlos in Ihre bestehenden Systeme einfließen lassen.

2. Mit oder ohne Agenten

Der Agent einer EDR-Lösung ist die Softwarekomponente, die auf jedem Endpunkt installiert wird. Er ist zwar nicht unbedingt notwendig, da eine EDR-Lösung auch passiv im Netzwerk installiert werden kann, allerdings wird dadurch die Funktionalität eingeschränkt. Wenn der Agent direkt auf dem Endpunkt installiert ist, kann er viel mehr Daten zur Benutzeraktivität erfassen. Der Agent ermöglicht dann auch ein härteres Durchgreifen, falls ein Endpunkt kompromittiert wird.

Die Hauptvorteile von agentenlosen EDR-Lösungen sind die schnelle Bereitstellung und die Möglichkeit, auch Endpunkte zu überwachen, auf denen ein Agent gar nicht oder nur schwer installiert werden kann. Allerdings fällt die Reaktion der Lösung nicht so robust aus und die Datenerfassung ist schwächer, weil eben der Agent nicht direkt auf dem Endpunkt installiert ist.

3. Betriebssystemunterstützung

Dieser Punkt hängt mit dem vorherigen zusammen: den Endgeräten, auf denen sich kein Agent installieren lässt. Ein Grund dafür könnte nämlich sein, dass die EDR-Lösung das Betriebssystem nicht unterstützt. Wenn Sie dieses Problem dadurch minimieren können, dass Sie eine Lösung wählen, die mit vielen Betriebssystemen kompatibel ist, dann dürfte dies die bessere Wahl sein.

Allerdings gibt es bei fast allen EDR-Lösungen ein paar Betriebssysteme, die nicht unterstützt werden. Wenn Sie Endpunkte im Netzwerk haben, die ein Betriebssystem verwenden, das der von Ihnen gewählte EDR-Anbieter nicht unterstützt, dann ist agentenloses EDR eine gute Lösung für dieses Problem.

4. Nicht erfasste Geräte

Ähnlich wie bei den Betriebssystemen kann es sein, dass einige Geräte von der anvisierten EDR-Lösung nicht unterstützt werden. In der Regel werden die meisten Smartphones, auch die mit iOS und Android, nicht von EDR-Tools erfasst, und auch bei IoT-Geräten (Internet der Dinge) ist es unwahrscheinlich, dass sie einbezogen werden. Genau wie bei den Betriebssystemen fragen Sie am besten Ihren Anbieter, was nicht abgedeckt ist, und prüfen dann, auf wie viele Ihrer Endgeräte dies zutrifft.

5. Cloud-Unterstützung

Wichtig zu wissen ist auch, ob die EDR-Lösung Cloud-Umgebungen unterstützt und, wenn ja, in welchem Umfang. Es gibt einige EDR-Tools, die zwar selbst Cloud-basiert sind, die man aber nicht auf Cloud-Infrastrukturen ansetzen kann.

Gartner zufolge[2] wurden 2019 bereits 60 % des Enterprise-EDR-Marktes über die Cloud bereitgestellt – dieser Anteil dürfte seitdem noch einmal deutlich gewachsen sein. Das heißt aber nicht unbedingt, dass eine solche EDR-Lösung alle Ihre übrigen Cloud-Systeme schützen kann, denn EDR ist in der Cloud oft schwierig zu installieren, sodass Sie unter Umständen für bestimmte Cloud-Anwendungen zusätzlichen Schutz benötigen.

6. System-Updates

Die Bedrohungslandschaft entwickelt sich ständig weiter, und Angreifer versuchen mit immer neuen Taktiken, Techniken und Verfahren (TTPs), Ihre Sicherheitssysteme zu überwinden. Daher ist jedes EDR-System, das nicht regelmäßig aktualisiert wird, schnell überholt und anfällig für fortschrittliche Bedrohungen. Damit Sie besser auf Bedrohungen reagieren können, brauchen Sie also eine EDR-Lösung, die regelmäßig Updates zu aktuellen Indicators of Compromise (IoC) bekommt.

Darüber hinaus sollten Sie in Betracht ziehen, wie viel Zeit Ihr IT-Sicherheitsteam für die Verwaltung und Installation dieser Updates aufwenden muss und inwieweit sich diese Prozesse automatisieren lassen.

7. Skalierbarkeit

82 % der Unternehmen wünschen sich laut F-Secure 2020 B2B Market Research Study eine All-in-one-Lösung für ihre sämtlichen Anforderungen an die IT-Netzwerksicherheit. Das ist derzeit vielleicht noch nicht ganz realistisch, aber wenn Sie zu den 82 % mit diesem Anspruch gehören, lohnt es sich, mit Ihrem Anbieter zu sprechen und herauszufinden, welche Optionen Ihr EDR-System zur Erweiterung um neue Komponenten und Funktionen in der Zukunft bietet.

Außerdem sollten Sie berücksichtigen, wie die Lösung mit einem Anstieg des Datenverkehrs umgehen kann, speziell bei zukünftigem Wachstum und einer zunehmenden Anzahl von Remote-Geräten.

8. Auswirkung auf die Endpunkt-Performance

Wenn Sie eine EDR-Lösung verwenden, bei der die Installation eines Agenten auf den Endpunkten erforderlich ist, so müssen Sie wissen, welche Ressourcen er beansprucht: Bedeutet das, dass Sie in bessere Hardware investieren müssen, um die Leistung Ihrer Endpunkte auf einem vernünftigen Niveau zu halten?

Ein vernünftiger Wert der CPU-Last einer EDR-Lösung liegt bei ca. 1%. Wenn dieser Wert regelmäßig überschritten wird, ist sie vermutlich nicht gut optimiert. Der Speicherbedarf hängt vom Gewicht des Agenten ab, sollte aber 50 MByte nicht überschreiten. Der Anbieter sollte in der Lage sein, Ihnen Leistungsdaten von Systemen vorzulegen, die mit den Ihren vergleichbar sind.

9. Benutzerdefinierte Modelle zur Bedrohungserkennung

Je nachdem, wie viel Fachwissen Sie im eigenen Haus haben, möchten Sie vielleicht Ihr eigenes Bedrohungserkennungsmodell entwerfen oder zumindest die voreingestellten Modelle anpassen. Ihr EDR-Anbieter wird Ihnen sagen, dass die Voreinstellungen bereits auf optimale Leistung justiert sind, aber jedes Unternehmen ist anders – es gibt keinen Standardalgorithmus für maschinelles Lernen, der für jede nur mögliche Situation optimiert ist.

10. Anbieter-Support

Das ist letztlich eine Vertrauensfrage, aber es gibt doch gewissen Anzeichen, auf die Sie achten sollten. Was passiert etwa, wenn Ihre EDR-Lösung kompromittiert wird? Wird Ihnen der Anbieter eine Vorfallreaktion als Service (Incident Response) in Rechnung stellen? Hier besteht eindeutig Konfliktpotenzial.

Stellen Sie sicher, dass Sie von vornherein wissen, welches Support-Level Ihnen zusteht und wie fachlich versiert Ihr Kundenbetreuer ist. Wenn Sie einen Managed Service Provider beauftragen, dann kann dieser oft die jeweiligen Support-Levels unterschiedlicher Anbieter ganz gut vergleichen, wobei Sie allerdings nicht vergessen sollten, dass eventuell Sales-Anreize auf seiner Seite eine Rolle spielen. Letzten Endes bleibt das Vertrauen bei allen Beteiligten der wichtigste Faktor.

Wir hoffen, dass Ihnen dieser Beitrag auf Suche nach der besten EDR-Lösung für Ihr Unternehmen weiterhilft. Und egal, für welche EDR-Lösung Sie sich am Ende entscheiden – stellen Sie sicher, dass sie auf die Bedürfnisse Ihres Unternehmens zugeschnitten ist!

Falls Sie mehr über unsere eigene EDR-Lösung erfahren möchten, laden Sie am besten die Lösungsübersicht herunter. Und wenn Sie unsere Lösung in Ihrer Umgebung testen möchten, melden Sie sich einfach für die unverbindliche, kostenlose 30-Tage-Testversion an.

F-Secure Elements Endpoint Detection and Response

Überwachen Sie den Status und die Sicherheit Ihrer IT-Umgebung, erkennen Sie gezielte Angriffe sofort und reagieren Sie mit kontextbezogener Automatisierung.