Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > »Ohne dediziertes Team kann man die Vorteile von EDR kaum nutzen«

CRN-Interview mit Christoph Thurm von Eset

»Ohne dediziertes Team kann man die Vorteile von EDR kaum nutzen«

2. August 2019, 10:44 Uhr | Daniel Dubsky
Fortsetzung des Artikels von Teil 1

»Der Mensch und Automatismen machen EDR permanent besser«

CRN: Inwieweit lassen sich die Daten, die EDR-Lösungen sammeln, maschinell auswerten und wo braucht es noch menschliche Expertise? Wie wird verhindert, dass Sicherheitsverantwortliche mit zu vielen Informationen erschlagen werden?

Thurm: In der Tat ist es auch bei uns so, dass der Administrator nach dem Standardsetup des »Eset Enterprise Inspectors« erst einmal eine Flut von Alarmmeldungen und Hinweisen bekommt. Dies geschieht automatisch durch die Software und bedarf anschließend der menschlichen Expertise.

Um diese Informationen über beispielsweise verdächtiges Verhalten oder unerlaubte Verbindungen gefiltert zu bekommen, muss der Anwender eigene Regeln entwickeln. Vereinfacht gesagt, funktioniert das ähnlich wie bei Outlook-Regeln, um E-Mails automatisch in vordefinierte Ordner zu bewegen, Spam herauszufiltern oder Weiterleitungen anzustoßen – nur eben deutlich detaillierter und technisch weit anspruchsvoller.

Der IT-Experte kann unter anderem definieren, welche Ereignisse unproblematisch sind, weil sie von erlaubter Branchen-Software verursacht werden. Das Verhalten ist normal und der Alarm kann ausgeblendet werden. Oder genau anders herum: Fein säuberlich können alle Ereignisse und Alarme bei unerlaubten Handlungen kategorisiert und für die Abarbeitung priorisiert werden. Dadurch bekommt der Admin schnell einen Überblick, wie das Sicherheitslevel ist und was getan werden muss. Auf die menschliche Vorgabe folgen dann wieder automatische Prozesse, angestoßen von der Software. Dieses Hin-und-her-Spiel zwischen technischem Automatismus und menschlicher Regelung macht EDR permanent besser und wirkungsvoller – deswegen nennen Experten dies auch Optimierungs-Phase.

CRN: In welcher Form bietet Eset seine EDR-Lösungen an?

Thurm: Aktuell haben wir zwei separate Produkte im Portfolio: »Eset Enterprise Inspector« und »Eset Dynamic Threat Defense«. Diese entfalten aber nur ihre Wirkung, wenn sie im Zusammenspiel mit anderen Eset-Lösungen wie der »Endpoint Security« oder dem »Eset Security Management Center« eingesetzt werden.

Natürlich gehen auch bei uns die Überlegungen weiter, wie man das Angebot erweitern kann. Da liegt die Idee nahe, unser Partnernetzwerk mit ins Boot zu nehmen. Wir haben bereits einige Händler und Systemhäuser, die das notwendige Know-how und die Eset-Zertifizierung mitbringen. Das müssen wir aber alles erst noch finalisieren, der Teufel liegt bekanntlich im Detail.

CRN: Welche »Response«-Fähigkeiten bringen EDR-Lösungen üblicherweise mit und wie sehr lassen sich diese Gegenmaßnahmen automatisiert einleiten?

Thurm: Unsere Lösungen sind höchst anpassungsfähig und spielen bei der Response ihre Stärken aus. Ähnlich wie im »Eset Security Management Center« lassen sich auch mit EDR-Programmen Automatismen verknüpfen. Verbindet man den ESET Enterprise Inspector mit EMSC erhält man eine Fülle an Funktionen, die dem Administrator den Arbeitsalltag erleichtern und das Sicherheitsniveau parallel erhöhen. Kurzum: Der Admin kann wie ein Dirigent seine Prozesse beliebig kombinieren, weil die Lösungen skriptingfähig sind. Per vordefinierter Regel kann das ESMC zum Beispiel einen bestimmten Prozess starten oder eine E-Mail schicken, wenn der Enterprise Inspector zuvor entsprechende Informationen übermittelte. Genauso gut könnte auch eine SMS-Benachrichtigung initiiert oder einfach nur ein Report mit einer Statistik erstellt werden. In der Praxis ist der Automatismus beliebt, der infizierte Rechner ohne menschlichen Eingriff isoliert, um weiteren Schaden zu vermeiden.

Der Grad der Automatisierung hängt letztlich vom Können desjenigen ab, der die Produkte kennt und die Skripte erstellt. Vieles ist zu Beginn mit einem gewissen Einrichtungsaufwand verbunden. Aber wenn es funktioniert und erfolgreich getestet wurde, dann kann sich der Administrator getrost anderen Aufgaben widmen.

  1. »Ohne dediziertes Team kann man die Vorteile von EDR kaum nutzen«
  2. »Der Mensch und Automatismen machen EDR permanent besser«
  3. »Wir stehen erst am Anfang einer gewaltigen Entwicklung«

Lesen Sie mehr zum Thema

Eset
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Eset

Drohendes Supportende für Windows 10

Verwaltungen rüsten Computer um

Eset Partnerkonferenz DACH

2025 wird für Eset das Jahr der Security-Services

Hard- und Software kombiniert

Eset und Reiner SCT schnüren MFA-Paket

Eset warnt vor Security-Fiasko

Millionen PCs in Deutschland laufen noch mit Windows 10

Unterstützung bei Cyberkriminalität

Eset eröffnet Security Operations Center in Jena

Matchmaker+
d.velop AG

d.velop AG
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
easybell GmbH

easybell GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
Securepoint GmbH

Securepoint GmbH