Endpoint Detection and Response – kurz EDR-Systeme – werden von Analysten derzeit als "Silver Bullet" gegen zielgerichtete Angriffe gehandelt. Gemäß Definition zeichnen EDR-Systeme Aktivitäten wie Benutzeranmeldungen und -aktivitäten, Datei-, Registry-, Programm- und Speicherzugriffe sowie Netzwerkverbindungen auf und versuchen durch Korrelation der so gewonnenen Daten Auffälligkeiten auf den Endpoints zu identifizieren.
Anders als klassische Werkzeuge zur Endpoint Protection sollen EDR-Produkte also in der Lage sein, dateilose Angriffe zu erkennen. Herkömmliche Virenscanner sind für dateilose Angriffe blind, denn diese nutzen meist legitime Betriebssystemtools wie etwa die PowerShell statt klassischem Schadcode. Erkennt das EDR-Programm ein potenziell schädliches Verhalten, kommt die Response-Komponente zum Einsatz. Dabei wird der betroffene Host meist vom Netzwerk isoliert, um den Angriff zu stoppen und die weitere Ausbreitung des Angreifers oder Schadcodes im Netzwerk zu verhindern.
Praktisch alle Anbieter von Antivirenprodukten sind inzwischen auf den Zug aufgesprungen und rüsten ihre Lösungen mit EDR-Funktionen nach oder
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.