Endpoint Detection & Response, Daniel Litterst.
Gehalten auf der Veranstaltung: Bechtle Competence Days 2019.
Informationen zur Veranstalung: https://www.bechtle.com/news/bechtle-update/2019/trend/das-waren-die-bechtle-competence-days-2019
3. |
Endpoint Detection and Response (EDR)
Was ist EDR und wozu brauche ich es?
Endpoint
Flugdaten-
schreiber
Anomalie- und
Bedrohungs-
Erkennung
Untersuchungs-
Werkzeuge
Eindämmung
und Behebung
EDR dient der weitergehenden Analyse einer Bedrohung:
• Was ist hier wirklich passiert?
• Hat sich die Bedrohung ausgebreitet, in meinem oder anderen Unternehmen?
• Ist ein Angriff noch im Gange und kann ich ihn stoppen, bevor mehr Schaden angerichtet
wird?
• Gibt es noch „schlafende“ Malware in meinem Unternehmen?
• Kann ich dem Chef Entwarnung geben, dass keine Daten gestohlen wurden?
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 3
4. |
Probleme bei herkömmlichen EDR-Systemen
REAKTION
Durch aufwändige Untersuchungen dauert es
oft lange, bis reagiert werden kann. Der
Schaden ist dann oft viel größer geworden.
SICHTBARKEIT
& ERKENNUNG
Bei unvollständigen Daten und
Erkennungstechniken können Bedrohungen
nicht erkannt werden
ANALYSE
& UNTERSUCHUNG
Das Untersuchungsteam hat entweder zu
wenige Daten oder wird damit geflutet.
Sicherheitsexperten werden benötigt
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 4
5. |
Vorteile von Intercept X Advanced with EDR
REAKTION
Bedrohungen können sowohl automatisch per
Synchronized Security als auch manuell
eingedämmt werden
SICHTBARKEIT
& ERKENNUNG
Umfangreichste Schutz- und
Erkennungstechnologien auf allen Systemen
ANALYSE
& UNTERSUCHUNG
Ohne Expertenwissen können Angriffe schnell
und einfach untersucht werden. Know-How der
SophosLabs ist im direkten Zugriff
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 5
6. |
Aktivitäten der Prozesse werden grafisch dargestellt
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 6
9. |
Vorgehen Erkennung einer
Bedrohung
Erzeuge
Bedrohungsfall
Isoliere System
Untersuche
Ereigniskette
Unternehmensweite
Suche
Isoliere Systeme
Blockieren / Bereinigen
Entferne aus Isolation
Unerkannte „Low Reputation“
Prozesse?
Anfrage an SophosLabs
SQLite Snapshot
Untersuchung
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 9
10. |
Vom Admin gesteuerte Isolation
Admin isoliert
möglicherweise
unsicheren Client
Admin
Voraussetzungen
Beliebige Firewall
Intercept X Advanced with EDR
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 10
11. |
Self Isolation
Infizierter Client
isoliert sich selbst
Voraussetzungen
Beliebige Firewall
Central Endpoint Protection
Intercept X
Intercept X Advanced
Intercept X Advanced with EDR
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 11
12. |
Automatische Netzwerkquarantäne mit XG Firewall
Security Heartbeat™
XG Firewall nimmt infizierten
Client in Netzwerkquarantäne
Voraussetzungen
XG Firewall
Central Endpoint Protection
Intercept X
Intercept X Advanced
Intercept X Advanced with EDR
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 12
13. |
Lateral Movement Protection
XG Firewall verteilt Infos
über infizierten Client
Keine Kommunikation
mit infiziertem Client
Security
Heartbeat™
Voraussetzungen
XG Firewall
Central Endpoint Protection
Intercept X
Intercept X Advanced
Intercept X Advanced with EDR
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 13
14. |
Eindämmung von Bedrohungen - Übersicht
CENTRAL ENDPOINT
PROTECTION
Advanced Advanced with EDR
AV Signaturen / HIPS / Live Protection
Device / Web / App Control
Data Loss Protection (DLP)
Malicious Traffic Detection (MTD)
Security Heartbeat
Deep Learning
CryptoGuard
WipeGuard
Anti-Hacker-Technologien (CredGuard etc.)
Exploit Protection
Ursachenanalyse
Automatische / manuelle Client-Isolation /- /- /- /
Malware-Analyse durch SophosLabs
Unternehmensweite Bedrohungssuche
Mitbewerber-
Endpoint
Protection
April 2019 Endpoint Detection & Response I Daniel Litterst I Stand Sec 5 14
15. Zeit für Fragen.
Über eine Bewertung dieses Vortrags
in der App würden wir uns freuen.
Besuchen Sie uns an Stand Sec 5.
Weitere Informationen finden Sie hier:
https://www.bechtle.com/it-loesungen/security