EDR vs. Segmentierung: die Unterschiede
EDR (Endpoint Detection and Response) und Segmentierung sind wichtige Sicherheitstools, die Kunden beide einen Mehrwert bieten und wachsende Akzeptanz erfahren. Anbieter beider Kategorien vermarkten jedoch häufig ähnliche Vorteile wie etwa den Schutz vor Ransomware und Zero-Day-Bedrohungen.
Wie gehen also EDR und Segmentierung mit ähnlichen Herausforderungen um? Lesen Sie weiter, um mehr zu erfahren.
In welchen Bereichen sind sich EDR und Segmentierung ähnlich?
EDR- und Segmentierungslösungen bieten sowohl Kontrollmaßnahmen vor einem Angriff als auch Abwehrmaßnahmen im Falle eines erfolgten Angriffs. Sie kommen auch zunehmend in den gleichen Bereichen des Netzwerks zum Einsatz – etwa auf Servern, Cloud-Instanzen, Endnutzer-Geräten und Containern. Sicherheitslücken sind unvermeidlich und beide Lösungen können die Auswirkungen von Angriffen abwehren oder reduzieren, bevor sie erhebliche Schäden im gesamten Netzwerk anrichten. Sie zielen jedoch mit unterschiedlichen Ansätzen darauf ab, die Möglichkeit und Verbreitung von Angriffen zu verhindern.
Wie unterscheiden sich EDR und Segmentierung?
Das Ziel von EDR ist die Erkennung von schädlichen Angriffen auf einem Erstgerät oder einem ersten Server. Dies kann durch die Alarmierung über unerwünschte Verschlüsselungen, die Erkennung von Verbindungen zu IP-Adressen, die mit cyberkriminellen Organisationen in Verbindung stehen, oder die Benachrichtigung eines Administrators über verdächtige Aktivitäten geschehen. Dank Fortschritten in den Bereichen künstliche Intelligenz und maschinelles Lernen ist EDR zudem in der Lage, Zero-Day-Angriffe auf Grundlage von Ähnlichkeiten der Dateisignaturen mit bekannten Angriffen zu identifizieren.
Segmentierungslösungen zielen darauf ab, das Netzwerk in isolierte Buckets zu unterteilen, um die lateralen oder East-West-Bewegungen eines Angriffs zu begrenzen, wenn die EDR ihn nicht erkennt. Bei entsprechender Konfiguration für die Abschirmung kritischer Anwendungen, granulare Zugriffskontrollen und Richtlinien zur Risikominderung kann eine Segmentierungslösung sicherstellen, dass Angriffe, die in das Netzwerk gelangen, letztendlich aufgehalten werden.
Obwohl EDR in der Lage ist, den Beginn dieser Angriffe zu erkennen, kann keine EDR-Lösung diese schädlichen Ereignisse in 100 % der Fälle erkennen. Falls ein Angreifer ein Gerät unentdeckt angreift, ist das Ausmaß dieses Angriffs davon abhängig, wohin der Angreifer sich anschließend bewegen kann – und hier kommt Segmentierung ins Spiel.
Segmentierungslösungen und ihre Netzwerksicherheitskontrollen können sicherstellen, dass ein angegriffenes Gerät sich nur mit wenigen Geräten oder Anwendungen verbinden kann. Beispielsweise kann die Segmentierung verhindern, dass ein Satz gestohlener Laptop-Anmeldedaten zu einem kritischen Angriff auf das Rechenzentrum führt, sofern die Netzwerksicherheitsrichtlinien vorschreiben, dass eine solche Verbindung zum Rechenzentrum niemals möglich sein sollte.
Anwendungsfälle von EDR und Segmentierung
Anwendungsfälle |
EDR |
Segmentierung |
Transparenz |
Bietet Transparenz und Statusinformationen zu Einzelgeräten |
Bietet Transparenz zwischen Geräten, Anwendungen, Netzwerken und Workloads |
Abwehr von Ransomware |
Zielt darauf ab, einen beginnenden Angriff auf einem Gerät oder Server zu erkennen |
Implementiert granulare East-West-Sicherheitsmaßnahmen, um die Auswirkungen eines Angriffs zu begrenzen |
Untersuchung von Bedrohungen |
Sucht auf einem Gerät oder Server nach Anomalien, Bedrohungen und Malware-Signaturen |
Führt netzwerkweite Abfragen und Richtlinienaktualisierungen durch, um aktive oder inaktive Schwachstellen zu identifizieren Untersucht die gesamte Angriffskette, wo auch immer sie entstanden ist oder sich ausgebreitet hat |
Weiterentwicklung der Netzwerksicherheit |
Bietet ähnliche Funktionen unabhängig vom Gerätestandort |
Sorgt für eine starke Netzwerksegmentierung, auch wenn Mitarbeiter den Remotezugriff auf Anwendungen nutzen |
Anwendungsfall: Transparenz
EDR
Diese Lösungen bieten einen Überblick darüber, was auf dem Gerät passiert, auf dem sie installiert sind. EDR überwacht das Gerät ständig auf bekannte und potenziell unbekannte Bedrohungen und sendet eine Warnung, wenn abnormales Verhalten auftritt. Manchmal kommt auch maschinelles Lernen zum Einsatz, um normales Geräteverhalten zu verstehen. Diese ständige Überwachung kann gelegentlich zu einer hohen CPU-Auslastung führen.
Segmentierung
Um eine Umgebung gründlich zu segmentieren, müssen diese Lösungen im gesamten Netzwerk vollständige Transparenz bieten, einschließlich aller Server, Endnutzergeräte, Cloud-Instanzen, Container sowie alle dazwischen bestehenden Verbindungen. Diese Transparenz umfasst aktive Datenflüsse zwischen Assets sowie versteckte, risikobehaftete Verbindungen und Netzwerkabhängigkeiten, die die Auswirkungen einer Richtlinienänderung oder eines infizierten Servers beeinflussen könnten. Mit diesen Informationen können Segmentierungsrichtlinien erstellt werden, die alle Schwachstellen berücksichtigen und so die Möglichkeit lateraler Netzwerkbewegung deutlich reduzieren.
Anwendungsfall: Abwehr von Ransomware
Die meisten Ransomware‑Angriffe können auf Nutzerfehler wie schlechte Passworthygiene oder einen geklickten Link in einer Phishing-E-Mail zurückgeführt werden. In diesen Fällen schützen EDR und Segmentierung in verschiedenen Stadien und auf unterschiedliche Weise vor der Ausbreitung des Angriffs.
EDR
EDR-Lösungen zielen darauf ab, Ransomware zu erkennen, die auf überwachten Geräten ausgeführt wird. Wenn die EDR Ransomware erkennt, kann sie den Prozess beenden, das Gerät in Quarantäne verschieben und manchmal eine Verschlüsselung rückgängig machen.
Segmentierung
Vor dem Angriff: Durch das Mapping der gesamten Umgebung über eine einzige Nutzeroberfläche, einschließlich aller Geräte, Verbindungen und Prozesse, kann die passende Sicherheitsrichtlinie angewendet werden. Dies verhindert, dass ein Ransomware-Angriff auf die Verbindung zwischen einem Gerät und dem Rechenzentrum zugreifen kann, die ansonsten für den Administrator unsichtbar wäre.
Nach dem Angriff: Wenn ein Ransomware-Angriff auf das Netzwerk zugreift, können mithilfe der Segmentierungslösung Maßnahmen ergriffen werden, um die Auswirkungen des Angriffs zu begrenzen. Bei diesen Maßnahmen kann es sich beispielsweise um die Isolierung kritischer Anwendungen, die Verhinderung unerwünschter Verbindungen zu Datenbanken oder die Begrenzung von lateralen Bewegungen handeln. Vordefinierte Maßnahmen zur Reaktion auf Ransomware können dem Nutzer außerdem helfen, Ressourcen taktisch zu isolieren oder bestimmte Datenflüsse zu begrenzen, ohne dabei die restliche Umgebung zu stören oder die Geschäftskontinuität zu beeinträchtigen.
Anwendungsfall: Untersuchung von Bedrohungen
EDR
EDR erfordert häufig, dass der Administrator oder ein Security Operations Center Team ebenso aufwändig nach Bedrohungen suchen wie die Lösung selbst. Ein talentiertes Team und eine bewährte EDR-Lösung können eine gute Kombination sein, um schädliche Akteure zu entdecken, die sich auf Geräten verstecken.
Segmentierung
Erfahrene Sicherheitsanalysten können problemlos Anfragen in ihrem gesamten Netzwerk ausführen, egal ob auf On-Premise-Servern mit älteren Betriebssystemen oder über Platform-as-a-Service- Infrastrukturen in öffentlichen Cloudumgebungen unter Verwendung von Segmentierungslösung.
Darüber hinaus bieten Segmentierungslösungen im Falle eines Angriffs eine bessere Untersuchung der gesamten Angriffskette, da alle Verbindungen und Netzwerkereignisse über die Nutzeroberfläche der Segmentierungslösung eingesehen werden können. Dadurch wird die Compliance bei einem Angriff deutlich vereinfacht, da in kürzester Zeit ein detaillierter Bericht zum Angriff erstellt werden kann.
Anwendungsbeispiel: Weiterentwicklung der Netzwerksicherheit
EDR
Unabhängig davon, ob Mitarbeiter mit dem Büronetzwerk oder ihrem Router zu Hause verbunden sind, kann EDR das Endnutzergerät auf schädliche Aktivitäten überwachen. Die Transparenz der Netzwerkaktivität bleibt jedoch ein blinder Fleck, und die Kontrolle über den Netzwerk-Traffic vom und zum Endpunkt ist begrenzt.
Segmentierung
Die Segmentierung ist eine grundlegende Sicherheitsmaßnahme für sich entwickelnde Netzwerke, da diese Plattformen einen Angriff unabhängig von ihrem Ursprung eindämmen können. Segmentierungsrichtlinien berücksichtigen Endnutzergeräte und stellen sicher, dass kein direkter Weg zu den wichtigsten Ressourcen des Unternehmens besteht, sodass das Netzwerk vor katastrophalen Angriffen geschützt bleibt.
Wie ergänzen sich EDR und Segmentierung?
EDR und Segmentierung adressieren beide wichtige Sicherheitsherausforderungen, jedoch in verschiedenen Stadien der Angriffskette und auf unterschiedliche Weise. EDR ist eine wirkungsvolle Lösung, um beginnende Angriffe zu identifizieren. Wenn Ihr Ziel jedoch ist, die Angriffsfläche Ihres Netzwerks deutlich zu reduzieren und die Routen zu begrenzen, die Malware im Falle eines Angriffs nutzen kann, benötigen Sie eine Segmentierungslösung.
Beide Lösungen können agentenbasiert sein, wobei sich der jeweilige Agent auf unterschiedliche Ziele konzentriert und gleichzeitig dafür sorgt, dass die CPU-Auslastung minimiert wird. In einigen Fällen reicht eine integrierte Lösung aus, um für ein bestimmtes Gerät sowohl EDR-Funktionen als auch Segmentierungsfunktionen zu bieten.
Mehr dazu
Weitere Informationen darüber, wie Segmentierungslösungen Ihr Netzwerk vor Angriffen schützen, die von einem Gerät ausgehen, finden Sie in diesem Lösungsüberblick.
