CRN-Interview mit Michael Veit von Sophos
»Es gibt keine uninteressanten Ziele mehr«
Fortsetzung des Artikels von Teil 1
»Dank Automatisierung muss kein Personal rund um die Uhr bereitgehalten werden«
CRN: Inwieweit lassen sich die Daten, die EDR-Lösungen sammeln, maschinell auswerten und wo beziehungsweise in welchem Umfang braucht es noch menschliche Expertise?
Veit: Traditionelle EDR-Lösungen sind oft sehr komplex in der Bedienung, liefern große Mengen ungefilterter Daten und benötigen dedizierte Malware-Analysten und Forensiker, um diesen Wust an Daten zu analysieren. Dieser Bedarf an Spezialisten ist der Grund, warum meist nur große Unternehmen EDR-Systeme betreiben oder alternativ kostenintensive MDR-Services (Managed Detection and Response) nutzen. Moderne EDR-Systeme wie das von Sophos setzen Methoden der künstlichen Intelligenz für die Analyse und Korrelation großer Mengen von Ereignissen und bereiten diese so auf, dass kein spezielles Expertenwissen für die Erkennung und Analyse von Angriffen nötig ist.
CRN: Welche »Response«-Fähigkeiten bringen EDR-Lösungen üblicherweise mit und wie sehr lassen sich diese Gegenmaßnahmen automatisiert einleiten?
Veit: Bei den meisten EDR-Lösungen sind die Möglichkeiten der Reaktion stark eingeschränkt. Meistens erfolgt die Eindämmung einer Bedrohung manuell. Das heißt, nachdem ein Analyst eine mögliche Bedrohung feststellt, müssen die betroffenen Systeme über separate Konsolen mittels Endpoint- und Netzwerksicherheitslösungen im Netzwerk isoliert und bereinigt werden. Das Problem ist hierbei die Verzögerung durch die menschliche Reaktion, denn in diesem Zeitraum von der Erkennung bis zur Eindämmung kann eine Bedrohung sich weiter ausbreiten, Daten abziehen oder verschlüsseln.
Sophos hat seine EDR-Lösung »Intercept X Advanced with EDR« nicht nur mit Schutz- und Erkennungsmechanismen ausgestattet, sondern diese auch in das »Synchronized Security«-Ökosystem aus miteinander kommunizierenden Sicherheitslösungen am Endpoint, Server und Gateway integriert. Das bedeutet, dass bei einem möglichen Sicherheitsvorfall die betroffenen Systeme im Netzwerk ohne Verzögerung automatisch isoliert werden. Die Firewall, alle WLAN-Access-Points sowie die anderen Clients und Server im lokalen Segment unterbinden jegliche Kommunikation von und zu den betroffenen Systemen und verhindern so die Ausbreitung von Bedrohungen. Lediglich die für die forensische Analyse und Bereinigung notwendige Kommunikation zum Sophos-Management wird noch zugelassen.
Diese automatische Reaktion ohne Verzögerung durch notwendige menschliche Interaktion verhindert zum einen, dass der Schaden bis zur manuellen Reaktion größer wird, und bedeutet andererseits, dass kein Personal rund um die Uhr bereitgehalten werden muss, um im Falle einer Bedrohung schnell manuell reagieren zu können.
CRN: Bei Sophos ist EDR also Bestandteil der Endpoint-Lösung?
Veit: Sophos Intercept X Advanced with EDR ist eine vollintegrierte Lösung, die neben Schutztechnologien auch KI-gestützte Erkennungs- und Analysetechnologien sowie verschiedene Response-Möglichkeiten vereinigt. Die Verwaltung erfolgt über eine cloudbasierte Managementkonsole durch das geschützte Unternehmen selbst oder einen MSP-Partner. Für große Unternehmen mit vielen Organisationseinheiten gibt es zudem ein Enterprise-Management über die unterschiedlichen Teilverwaltungseinheiten mit feinkörnigem Berechtigungsmanagement für die lokalen und globalen Administratoren.
- »Es gibt keine uninteressanten Ziele mehr«
- »Dank Automatisierung muss kein Personal rund um die Uhr bereitgehalten werden«
- »Der Trend geht zu integrierten Lösungen mit Endpoint Protection und EDR«
Lesen Sie mehr zum Thema
