CRN-Interview mit Rüdiger Trost von F-Secure
»Angreifer wissen genau, wie sie Abwehrmaßnahmen umgehen können«
Fortsetzung des Artikels von Teil 1
»Es braucht immer noch menschliche Expertise«
CRN: Inwieweit lassen sich die Daten, die EDR-Lösungen sammeln, maschinell auswerten und wo beziehungsweise in welchem Umfang braucht es noch menschliche Expertise?
Trost: EDR-Lösungen setzen Sensoren ein, um Metadaten von den Systemen eines Unternehmens zu sammeln. Die Metadaten werden dann durch Machine Learning auf Anzeichen einer Kompromittierung analysiert. Zum Beispiel hat ein mittelgroßes Unternehmen mit etwa 650 Sensoren jeden Monat über eine Milliarde Alarme, aber nur etwa zehn von diesen Vorfällen müssen aktiv angegangen werden. Es braucht also immer noch die menschliche Expertise, wenn auch nicht mehr im vollen Maße.
CRN: Welche »Response«-Fähigkeiten bringen EDR-Lösungen üblicherweise mit und wie sehr lassen sich diese Gegenmaßnahmen automatisiert einleiten?
Trost: Nachdem ein Vorfall erkannt wurde, reagieren Unternehmen entweder selbst oder bringen externe Experten und Ansätze für Incident Response ein. Das kann Forensik an Ort und Stelle oder eine Fernuntersuchung sowie weitere Beratung über eine mögliche orchestrierte technische Reaktion beinhalten. Unsere EDR-Lösung kann beispielsweise auch auf automatisierte Prozesse zurückgreifen, um die Gefahr sofort zu beenden. Das macht dann beispielsweise Sinn, wenn der Angriff außerhalb der Geschäftszeiten stattfindet.
CRN: In welcher Form bieten Sie EDR an?
Trost: Wir bieten unsere EDR-Lösungen in verschiedenen Varianten an, entweder als Managed Service, also ein von F-Secure direkt oder vom F-Secure-zertifizierten Partner verwalteter Dienst, oder als On-Premise-Lösung. Bei Letzterem wird die IT-Sicherheit vom Unternehmen selbst verwaltet.
Die EDR-Lösung kann Bestandteil unserer Endpoint-Lösung sein, muss aber nicht. Unsere Lösung ist kompatibel zu jeder Endpoint-Lösung.
CRN: Wie steigen Systemhäuser und IT-Dienstleister am besten in diesen Markt ein? Welches Wissen und welche Fähigkeiten benötigen sie?
Trost: Systemhäuser und IT-Dienstleister sollten in erster Linie das Thema EDR als Managed Services nicht nur nebenbei betreiben wollen, sondern dies auch als strategisches Ziel für die Zukunft ihres Unternehmens sehen und zudem ein gewisses Security-Know-how mitbringen. Dafür bieten wir beispielsweise Partnern im Gegenzug umfangreiche Trainings und Zertifizierungen. Zudem erhalten sie Zugang zu unseren Experten und einem Team von Bedrohungsanalysten, die auch bei sehr schwierigen Fällen unterstützen können.
CRN: Welches Potenzial bietet der Markt nach Ihrer Einschätzung?
Trost: Wir können uns nur den Prognosen von Gartner anschließen, die für den Markt bis 2020 eine jährliche Wachstumsrate von rund 35 Prozent vorhersagen. Aktuell wachsen wir schneller als der Markt und wollen dieses Wachstum beibehalten oder gar beschleunigen.
CRN: Ist eine EDR-Lösung eher als Ersatz oder als Ergänzung zu einer SIEM-Lösung zu sehen?
Trost: Das eine schließt das andere nicht unbedingt aus. Wir haben Erfahrung mit verschiedenen Kunden, die eine Kombination aus SIEM, EDR und SOC einsetzen. EDR wird dabei genutzt, um Gefahren zu erkennen und dem SOC-Team dabei zu helfen, richtig auf die Gefahren zu reagieren. EDR-Lösungen können das interne SOC-Team unterstützen, zum Beispiel durch erweiterte Verfügbarkeit.
- »Angreifer wissen genau, wie sie Abwehrmaßnahmen umgehen können«
- »Es braucht immer noch menschliche Expertise«
Lesen Sie mehr zum Thema
