CRN-Interview mit Matthias Canisius von SentinelOne
»Den Rechner plattzumachen, wird dem vorherigen Aufwand kaum gerecht«
Fortsetzung des Artikels von Teil 1
»EDR ist eine Chance, sich technisch abzugrenzen«
CRN: Welche »Response«-Fähigkeiten bringen EDR-Lösungen üblicherweise mit und wie sehr lassen sich diese Gegenmaßnahmen automatisiert einleiten?
Canisius: Die meisten Lösungen im EDR-Bereich sehen jede Menge Details, die dann aufwändig in Zusammenhang gebracht werden müssen. Und dann hat man schließlich den Kelch der Erkenntnis – und der Rechner wird einfach »plattgemacht«. Das wird dem zuvor geleisteten Aufwand kaum gerecht!
In der Regel werden die Systeme zunächst in Quarantäne gesteckt, dann wird weiter untersucht und dann gibt es diverse Reaktionsmuster. Wie schon gesagt, wird dann meist der Rechner neu aufgesetzt, gegebenenfalls werden auch Webseiten blockiert und die Reputationsdatenbank um den Hash des Angriffs aktualisiert.
Wir haben zusätzlich die Möglichkeit eines Rollbacks. Dabei werden sämtliche Prozesse und Events, die vom Schadcode initiiert wurden, zurückgespielt und negiert. Das System wird unter Zuhilfenahme der Bordmittel des Betriebssystems selektiv wieder in den Zustand vor dem Angriff zurückversetzt. Sämtliche Elemente, die vom Angriff nicht betroffen waren, werden auch nicht zurückgerollt und bleiben in aktuellem Zustand wie zum Beispiel das Excel-Dokument, das ich noch vor zwei Minuten aktualisiert hatte.
CRN: In welcher Form bieten Sie EDR an: als separates Produkt, Bestandteil einer Endpoint-Lösung und/oder als Service, der vom Hersteller bezogen wird oder vom Partner betrieben werden kann?
Canisius: Wir bieten alle der obigen Möglichkeiten.
CRN: Wie steigen Systemhäuser und IT-Dienstleister am besten in diesen Markt ein?
Canisius: Wie schon gesagt, ist die Herausforderung, Mitarbeiter mit entsprechendem Know-how zu finden – und zu halten –, um das Thema EDR sauber positionieren und gegebenenfalls. auch als Service anbieten zu können. Grundsätzlich würde ich raten, als Dienstleister eine Auswahl an Lösungen etwas näher anzuschauen und mir zu überlegen, welche Lösung hinsichtlich ihres technischen Ansatzes, der Beherrschbarkeit und des möglichen Effektes bei den Endkunden, die ich bediene – deren Größe, Branche und Schutzbedarf) –, den besten Eindruck macht.
CRN: Welches Potenzial bietet der Markt nach Ihrer Einschätzung?
Canisius: Ich halte das Potential im reinen EDR-Sektor für überschätzt. Das Thema ist derzeit ein Thema für Spezialisten und wird mittelfristig in einer Endpoint-Security-Lösung aufgehen – wie wir es auch bei Firewall und IDP gesehen haben. Es ist ein gewisser Hype zu verspüren, vielleicht auch weil viele auch aus der reinen Protection- und AV-Ecke raus wollen. Viele Kunden, selbst solche, die eine beträchtliche Größe haben, können das Thema EDR häufig nicht sauber definieren oder abgrenzen. Ich halte den Protection-Markt für deutlich größer, aber eben auch von deutlich mehr Playern bevölkert.
Daher ist das Thema EDR für all jene eine Chance, die sich technisch abgrenzen wollen und über eben jenes Know-how verfügen beziehungsweise dieses aufbauen wollen. Vor allen Dingen in der Formulierung Services rund um Detection & Respons in Richtung Mittelstand und gehobenem Mittelstand sehe ich Potenzial.
CRN: Ist eine EDR-Lösung eher als Ersatz oder als Ergänzung zu einer SIEM-Lösung zu sehen?
Canisius: Es ist ganz klar eine Ergänzung. Ein SIEM nimmt den übergreifenden Teil im SOC ein und erlaubt es, unter anderem auch netzwerkbasierte Security-Incidents oder auch fehlerhaftes Benutzerverhalten zu bearbeiten.
- »Den Rechner plattzumachen, wird dem vorherigen Aufwand kaum gerecht«
- »EDR ist eine Chance, sich technisch abzugrenzen«
Lesen Sie mehr zum Thema
