EDR ohne NDR mit Schwächen im Schutz

EDR ohne NDR mit Schwächen im Schutz

Beitrag teilen

Das Schweizer Sicherheitsunternehmen Exeon Analytics warnt davor, bei der Sicherung von Endpunkten nur auf herkömmliche EDR-Lösungen zu setzen (Endpoint Detection & Response). Denn nicht immer läuft die Agenten-Software am Endpunkt und sorgt so für Schwachstellen im Abwehrnetz.

Zahlreiche Endpunkte in modernen, hybriden Netzen unterstützen die dafür benötigten Agenten nicht, und dort, wo solche Agenten laufen, können sie durch raffinierte Angriffe unter Umständen ausgehebelt und deaktiviert werden. Zudem haben die IT- und Sicherheitsteams wegen des Trends zu Heimarbeit und BYOD (Bring Your Own Device) oft keinen Zugriff auf Endpunkte im Privatbesitz der Mitarbeiter, die möglicherweise auch von weiteren Familienmitgliedern genutzt werden.

Anzeige

„EDR-Lösungen bieten Echtzeiteinblicke in Endgeräte und erkennen Bedrohungen wie Malware und Ransomware“, erläutert Gregor Erismann, CCO von Exeon Analytics. „Durch die kontinuierliche Überwachung von Endgeräten können Sicherheitsteams bösartige Aktivitäten aufdecken, Bedrohungen untersuchen und geeignete Maßnahmen zum Schutz des Unternehmens einleiten. Da EDR aber nur einen Einblick in die Endpunkte bietet, bleiben viele Sicherheitslücken und Herausforderungen bestehen, was das Risiko unbemerkter Cyberangriffe erheblich erhöht.“

Viele Endpunkte werden von EDR nicht unterstützt

Zu diesen Risiken gehört neben der möglichen Deaktivierung von EDR-Agenten auf den Endpunkten auch der Missbrauch der „Hooking“-Technik, die EDR zur Überwachung laufender Prozesse verwendet. Sie ermöglicht es EDR-Tools, Programme zu überwachen, verdächtige Aktivitäten zu erkennen und Daten für verhaltensbasierte Analysen zu sammeln. Mit demselben Verfahren können Angreifer jedoch auch auf einen entfernten Endpunkt zugreifen und Malware importieren.

Zu den von EDR nicht unterstützten Endpunkten zählen vor allem ältere Switches und Router, aber auch eine Vielzahl von IoT- und IIoT-Geräten, die so unbemerkt zum Einfallstor für Malware werden können. Ein weiteres Problem für EDR-Lösungen können SCADA-Umgebungen sein, in denen einzelne kritische Systeme sich möglicherweise außerhalb der Kontrolle des Unternehmens und damit außerhalb des Sicherheitsbereichs des EDR befinden.

Network Detection and Response als Abhilfe

„Mit Network Detection and Response (NDR) steht eine sehr effektive Möglichkeit zur Verfügung, derartige Sicherheitslücken zu schließen“, so Erismann. „Einer der großen Vorteile von Logdaten-basierten NDR-Lösungen wie ExeonTrace ist, dass sie von Angreifern nicht deaktiviert und damit die Erkennungs-Algorithmen nicht umgangen werden können. Selbst wenn ein Angreifer das EDR-System kompromittieren kann, werden verdächtige Aktivitäten weiterhin registriert und analysiert. Durch die Kombination von EDR und NDR entsteht so ein umfassendes Sicherheitssystem für das gesamte Netzwerk.“

Darüber hinaus ermöglicht NDR nicht nur die Überwachung des Netzwerkverkehrs zwischen bekannten Netzwerkgeräten, sondern identifiziert und überwacht auch unbekannte Geräte. Solche Lösungen sind daher ein wirksames Mittel gegen die Gefahren einer unkontrollierten Shadow-IT. Zudem bindet NDR auch Endgeräte ohne EDR-Agenten in die Netzwerkanalyse und damit in die unternehmensweite Sicherheitsstrategie ein. Schließlich erkennt NDR anhand der Logdatenanalyse auch falsch konfigurierte Firewalls und Gateways, die sonst ebenfalls als Einfallstore für Angreifer fungieren können.

Keine Software Agenten nötig

🔎 Exeon Trace zeigt Visualisierungen des Netzwerks (Bild: Exeon).

Da NDR-Lösungen wie ExeonTrace keine Agenten benötigen, ermöglichen sie eine vollständige Sichtbarkeit aller Netzwerkverbindungen und Datenflüsse. Sie bieten somit einen besseren Überblick über das gesamte Unternehmensnetzwerk und alle potenziellen Bedrohungen darin. Zudem ist die netzwerkbasierte Datenerfassung deutlich fälschungssicherer als agentenbasierte Daten, was die Einhaltung von Compliance-Vorschriften erleichtert. Die gilt insbesondere für die von den Aufsichtsbehörden geforderte digitale Forensik.

NDR mit ExeonTrace

Die NDR-Lösung ExeonTrace basiert auf der Analyse von Netzwerk-Logdaten und erfordert daher kein Traffic Mirroring. Die Algorithmen von ExeonTrace sind speziell für die Analyse von Metadaten entwickelt worden und werden daher durch den zunehmenden verschlüsselten Netzwerkverkehr nicht beeinträchtigt. Da ExeonTrace keine zusätzliche Hardware benötigt und die Analyse mehrerer Datenquellen inklusive nativer Cloud-Anwendungen ermöglicht, eignet sich die Lösung insbesondere für stark virtualisierte und verteilte Netzwerke.

Mehr bei Nextgen.Exeon.com

 


Über Exeon

Exeon Analytics AG ist ein Schweizer Cybertech-Unternehmen, das sich auf den Schutz von IT- und OT-Infrastrukturen durch KI-gesteuerte Sicherheitsanalysen spezialisiert hat. Die Network Detection and Response (NDR)-Plattform ExeonTrace bietet Unternehmen die Möglichkeit, Netzwerke zu überwachen, Cyber-Bedrohungen sofort zu erkennen und somit die IT-Landschaft des eigenen Unternehmens effektiv zu schützen – schnell, zuverlässig und komplett Software-basiert.


 

Passende Artikel zum Thema

Compliance Assistant unterstützt bei DORA Umsetzung

Mithilfe des Compliance Assistant lassen sich Risiken leichter minimieren und zeitaufwändige Prüfungen von Konfigurationen im Rahmen von DORA verkürzen. Dazu ➡ Weiterlesen

Report: Angriffe auf kritische Infrastrukturen nehmen zu

Die Zahl der Sicherheitsvorfälle in kritischen Infrastrukturen ist seit 2022 um 668 Prozent gestiegen. Der Threat Roundup-Bericht 2024 wirft ein Schlaglicht ➡ Weiterlesen

Orchestrierung der E-Mail-Verschlüsselung

E-Mails sind ein unverzichtbares Werkzeug in einer Arbeitswelt, die immer dezentraler wird. Aber wie lassen sich Praktikabilität, Resilienz und Vertrauen ➡ Weiterlesen

Cybersecurity-Risiken durch DeepSeek

Die Nutzung von KI-Plattformen, wie beispielsweise DeepSeek, mögen ein Schritt nach vorn sein, Unternehmen müssen die Risiken aber sorgfältig abwägen ➡ Weiterlesen

Gefahren für Browser durch KI und Zero-Day-Schwachstellen

Wegen der zunehmenden Umstellung von Unternehmen auf Web-Arbeitsumgebungen, SaaS-Plattformen, Cloud-basierte Anwendungen, Remote-Arbeit und BYOD-Richtlinien konzentrieren sich Hacker verstärkt auf Browser ➡ Weiterlesen

Wie Bedrohungsakteure Gemini für Angriffe nutzen

Die Google Threat Intelligence Group (GTIG) hat einen neuen Bericht „Adversarial Misuse of Generative AI“ veröffentlicht, in dem die Sicherheitsexperten ➡ Weiterlesen

Supply Chain Risk Report

Ein Anbieter von Lösungen für das Nachhaltigkeitsmanagement in Unternehmen hat seinen Supply Chain Risk Report 2025 veröffentlicht. Dieser Bericht umfasst ➡ Weiterlesen

Engagierte IT-Admins als Risikofaktor

Sogar Cybersecurity-Experten, die sich den ganzen Tag mit nichts anderem als IT-Sicherheit beschäftigen, haben heute Mühe, sich auf dem aktuellen ➡ Weiterlesen