MDR: Moderne Endpunktsicherheit für alle?

Die permanenten komplexen Angriffe der letzten Jahre haben zu einer enormen Weiterentwicklung intelligenter Erkennungs- und Verteidigungsmechanismen geführt. „Managed Detection and Response“, so das Schlagwort, krempelt den Markt der Dienstleistungen für Endpoint Security um.

Von Stefan Strobel

iX-tract

Die Weiterentwicklung der Endgerätesicherheit in den letzten Jahren ermöglicht neue Modelle für Security Operations Center und andere Dienstleister zur Angriffserkennung und -bekämpfung.
Kranken die klassischen Sicherheitsauswertungen oft daran, dass Daten erst zentral an ein SIEM geschickt, korreliert und anhand häufig unzureichender Use Cases ausgewertet werden mussten, so ermöglichen die geschlossenen XDR-Systeme ein effizienteres Integrieren und Auswerten der Rohdaten.
Das Microsoft-Defender-Universum als Beispiel einer XDR-Umgebung bietet hier einige Vorteile: SOC-Dienstleister, die Defender-Produkte des Kunden überwachen, können in der Umgebung des Kunden arbeiten, Zusatzfeatures nutzen und im Notfall auf die Endgeräte der Kunden zugreifen.
Der Weg von offenen zu geschlossenen, effizienteren Systemen bietet zahlreiche Vorteile wie geringere Kosten oder bessere Datenlage. Dem stehen allerdings Nachteile wie das Befördern von Monokulturen entgegen.

Aus den einstigen minimalistischen Maßnahmen zur Absicherung von Endgeräten wie Virenschutz entstanden im Lauf der letzten Jahre umfassende technische und organisatorische Konzepte und Produkte der Endpoint Security [1]. Diese Weiterentwicklungen, Produkte der Kategorie Endpoint Detection and Response (EDR) oder darüber hinausgehend Extended Detection and Response (XDR), liefern eine detaillierte Sicht auf Vorgänge und mögliche Kompromittierungen auf den Arbeitsplatz-PCs von Mitarbeitern oder sogar auf Servern.

Zudem enthalten viele EDR-Produkte Funktionen für aktives Threat Hunting, also das Durchsuchen von Netzwerken nach möglichen Bedrohungen, und ermöglichen den Analysten im SOC (Security Operations Center), Alarme interaktiv auf verdächtigen Endgeräten zu verifizieren. Für ein Security Operations Center hat sich EDR damit zu einer der wichtigsten Komponenten entwickelt.