Warum Unternehmen sowohl EDR als auch NDR für einen umfassenden Netzwerkschutz benötigen

Endgeräte wie Desktops, Laptops und Mobiltelefone ermöglichen es Benutzern, sich mit Unternehmensnetzwerken zu verbinden und deren Ressourcen für ihre tägliche Arbeit zu nutzen. Sie erweitern jedoch auch die Angriffsfläche und machen das Unternehmen anfällig für böswillige Cyberangriffe und Datenschutzverletzungen.

Warum moderne Organisationen EDR benötigen

Laut dem [2020 global risk report] (https://www.keeper.io/hubfs/PDF/Cybersecurity%20in%20the%20Remote%20Work%20Era%20-%20A%20Global%20Risk%20Report.pdf) des Ponemon Institute gehören Smartphones, Laptops, mobile Geräte und Desktops zu den anfälligsten Einstiegspunkten, über die Cyberangreifer in Unternehmensnetzwerke eindringen können. Sicherheitsteams müssen die von diesen Geräten ausgehenden Sicherheitsrisiken bewerten und angehen, bevor sie dem Unternehmen schaden können. Und dafür benötigen sie Endpoint Detection & Response (EDR).

EDR-Lösungen bieten Echtzeiteinblicke in Endgeräte und erkennen Bedrohungen wie Malware und Ransomware. Durch die kontinuierliche Überwachung von Endpunkten können Sicherheitsteams bösartige Aktivitäten aufdecken, Bedrohungen untersuchen und geeignete Maßnahmen zum Schutz des Unternehmens einleiten.

Die Beschränkungen von EDR

Moderne Unternehmensnetzwerke sind ein komplexes Geflecht aus Benutzern, Endpunkten, Anwendungen und Datenströmen, die über lokale und Multi-Cloud-Umgebungen verteilt sind. Da EDR nur Einblicke in die Endpunkte bietet, bleiben viele Sicherheitslücken und Herausforderungen bestehen, was das Risiko, dass Cyberangriffe unbemerkt bleiben, erheblich erhöht.

  • Malware, die EDR-Agenten deaktiviert oder missbraucht: Das Aufkommen hochentwickelter Hackergruppen wie [Lapsus$] (https://michaelkoczwara.medium.com/lapsus-ttps-431d1ca21e80) ist ein weiteres Risiko, dem EDR-Tools nicht gewachsen sind. Ende 2021 hackte sich [Lapsus$] in mehrere große Unternehmen ein, indem sie entfernte Endpunkte kompromittierten und deren EDR-Tools deaktivierten. So konnten sie ihr bösartiges Verhalten auf den infizierten Endpunkten verbergen und ihr Ziel, sensible Unternehmensdaten zu stehlen, erreichen. Ein weiteres Problem ist, dass Bedrohungsakteure die "Hooking"-Technik missbrauchen können, die EDR zur Überwachung laufender Prozesse verwendet. Diese Technik ermöglicht es EDR-Tools, Programme zu überwachen, verdächtige Aktivitäten zu erkennen und Daten für verhaltensbasierte Analysen zu sammeln. Derselbe Prozess ermöglicht es Angreifern jedoch, auf einen entfernten Endpunkt zuzugreifen und Malware zu importieren.
  • BYOD: In den letzten Jahren sind viele Unternehmen zu Remote-Arbeitsmodellen übergegangen, die es Mitarbeitern und Drittanwendern ermöglichen, über Remote-Netzwerke und ungesicherte mobile Geräte auf Unternehmensressourcen zuzugreifen. Diese Geräte befinden sich außerhalb der Kontrolle von Sicherheitsteams und deren EDR-Tools. Folglich können ihre Sicherheitslösungen nicht mit all diesen Endgeräten Schritt halten, geschweige denn sie oder das Unternehmensnetzwerk vor bösartigen Angriffen schützen.
  • Nicht unterstützte Geräte: Auch kann nicht jeder angeschlossene Endpunkt EDR-Agenten unterstützen. Dies gilt sowohl für ältere Endgeräte wie Router und Switches als auch für neuere IoT-Geräte. Darüber hinaus können sich bei angeschlossenen SCADA- und ICS-Umgebungen (Supervisory Control and Data Acquisition) einige Endpunkte außerhalb der Kontrolle des Unternehmens und damit außerhalb des Sicherheitsbereichs des EDR befinden. Folglich bleiben diese Endpunkte und Systeme anfällig für Bedrohungen wie Malware, DDoS-Angriffe und Krypto-Mining.
  • Wartung/Einsatz von EDR: Bei agentenbasierten EDR-Produkten kann es für Sicherheitsteams eine große Belastung sein, Agenten auf jedem Endpunkt in der gesamten Unternehmensnetzwerkumgebung zu installieren und zu warten.

Schließen der Sicherheitslücken von EDR mit Netzwerksichtbarkeit und NDR

Eine der effektivsten Möglichkeiten, die oben genannten Sicherheitslücken zu schließen, besteht darin, Network Detection and Response (NDR) aus den folgenden Gründen in den Cybersecurity-Stack des Unternehmens aufzunehmen:

  • NDR kann nicht ausgeschaltet werden: Da ein auf Protokolldaten basierender NDR wie ExeonTrace Daten aus mehreren verschiedenen Datenquellen im Netzwerk sammelt (und nicht auf bestimmte Geräte angewiesen ist), können die Erkennungsalgorithmen nicht umgangen werden. Selbst wenn ein EDR durch Malware ausgeschaltet wird, kann der NDR ihn daher erkennen.
  • Identifizierung von Schatten-IT: Eine NDR-Lösung ermöglicht nicht nur die Überwachung des Netzwerkverkehrs zwischen bekannten Netzwerkgeräten, sondern identifiziert und überwacht auch noch unbekannte Geräte und Netzwerke. Und natürlich werden auch Endgeräte ohne EDR-Agenten in die Netzwerkanalyse einbezogen (z. B. BYOD).
  • Falsch konfigurierte Firewalls und Gateways: Falsch konfigurierte Firewalls und Gateways können Einfallstore für Angreifer sein - ein NDR ermöglicht die Erkennung vor der Ausnutzung.
  • Manipulationssichere Datenerfassung: Die netzwerkbasierte Datenerfassung ist fälschungssicherer als agentenbasierte Daten; ideal für die von den Aufsichtsbehörden geforderte digitale Forensik.
  • Vollständige Sichtbarkeit des gesamten Netzwerks: Da keine Agenten erforderlich sind, ermöglicht eine NDR-Lösung wie ExeonTrace eine vollständige Transparenz aller Netzwerkverbindungen und Datenflüsse. Sie bietet somit einen besseren Überblick über das gesamte Unternehmensnetzwerk und alle potenziellen Bedrohungen darin.

Fazit

Da Unternehmen immer komplexer werden und immer mehr Endgeräte zu ihren Netzwerken hinzufügen, benötigen sie eine zuverlässige Überwachungslösung, um ihre Endpunkte vor potenziellen Bedrohungen zu schützen. Endpoint Detection and Response (EDR) bietet jedoch nur bis zu einem gewissen Grad einen solchen Endpunktschutz. Es gibt zahlreiche Nachteile von EDR, die es raffinierten Cyberkriminellen ermöglichen, die Sicherheitsgrenzen zu überwinden und Schwachstellen im Netzwerk auszunutzen.

Um die von EDR-Lösungen hinterlassenen Sicherheitslücken zu schließen, müssen Unternehmen ihre Sicherheitsvorkehrungen verstärken. Network Detection and Response (NDR)-Lösungen wie ExeonTrace sind ein zuverlässiger und bewährter Weg, den Netzwerkverkehr zu überwachen und damit den Cybersecurity-Stack von Unternehmen zu vervollständigen. Da sich EDR- und NDR-Lösungen gegenseitig ergänzen, können ihre kombinierten Erkennungsfunktionen Unternehmen wirksam vor ausgeklügelten Cyberangriffen schützen.

Um herauszufinden, wie NDR und ExeonTrace Ihnen helfen können, die Sicherheitsherausforderungen Ihres Unternehmens zu bewältigen, klicken Sie hier.