CRN-Interview mit Matthias Canisius von SentinelOne: »Den Rechner plattzumachen, wird dem vorherigen Aufwand kaum gerecht«

Mithilfe von Endpoint Detection & Response könne man »post mortem« verstehen, was bei einem Angriff passiert ist, erklärt Matthias Canisius, Regional Director CEEU bei SentinelOne, im Interview. Und idealerweise beseitige man die Schäden dann gezielt und setze nicht einfach nur das System komplett neu auf.

Matthias Canisius, Regional Director CEEU bei SentinelOne
(Foto: SentinelOne)

CRN: Herr Canisius, wie können »Endpoint Detection & Response«-Lösungen dabei helfen, bei Kunden für ein höheres Sicherheitslevel zu sorgen?

Matthias Canisius: Während der klassische Endpoint-Schutz dafür konzipiert ist, die digitale Straftat zu verhindern, setzen wir im Bereich EDR voraus, dass man dies eben nicht vollumfänglich sicherstellen kann. Es wird immer einen geringen Prozentsatz an Angriffen geben, der doch die Barrieren durchbricht. EDR gibt uns die Möglichkeit, »post mortem« zu verstehen, was geschehen ist, die Zusammenhänge herzuleiten und basierend auf diesen Erkenntnissen eine Bewertung vorzunehmen, wovon wiederum eine Reaktion abgeleitet wird, die das Sicherheitsniveau des Unternehmens erhöht.

Speziell die intelligente und autonome Verknüpfung zwischen Endpoint Protection und EDR hat eine deutliche Wirkung. Ein effektiver Schutz führt dazu, dass im Nachgang tatsächlich nur die wirklich anspruchsvollen und kritischen Events durchschlagen und analysiert werden müssen. Ferner kann die Erkenntnis, die im Bereich EDR gemacht wurde, im Idealfall wieder in Richtung Endpoint Protection zurückgespielt werden und zieht somit den Schutzwall – im Idealfall – automatisch wieder ein Stück höher.

CRN: Wie verbreitet ist der Einsatz von EDR bereits?

Canisius: EDR erfährt derzeit große Aufmerksamkeit, ist heute aber lediglich in wirklich großen Unternehmen zum Teil vertreten. Das liegt meist daran, dass man ein SOC mit entsprechenden Spezialisten vorhalten muss, was erst ab einer gewissen Größe fachlich und wirtschaftlich möglich ist. Fachkräftemangel ist eine weitere Hürde in diesem Bereich.

Interessant sind Ansätze, EDR als Dienstleistung anzubieten. In diesem Fall sitzt das SOC beim Integrator oder Managed Service Provider und der Kunde zahlt für Monitoring und Response. Gängig sind natürlich auch Konzepte, in denen dieser Service direkt vom Hersteller angeboten wird. Bei SentinelOne heißt dieser Service »Vigilance« und ist vor allem für Mittelstandkunden interessant, die den Betrieb eines eigenen SOC nicht in Betracht ziehen.

CRN: Also kann sagen, dass EDR aus dem Enterprise-Bereich in den Mittelstand vordringt?

Canisius: Ich würde das bejahen. Die Entwicklung erinnert mich ein bisschen an die Zeit, an der die Firewall mit IDP-Lösungen (Intrusion Detection and Prevention) ergänzt wurde. Ähnliches sehen wir jetzt im Endpoint-Bereich. Die Herausforderung im EDR-Bereich liegt in der technischen Komplexität und des Know-hows, das vorzuhalten ist, um zu wirklicher Erkenntnis und der richtigen Reaktion zu kommen. Aus diesem Grund wird der Mittelstand zunächst im Wesentlichen auf EDR as a Service zurückgreifen, der dann von Integratoren oder dem jeweiligen Hersteller selbst angeboten wird.

EDR wird erst commodity, wenn der Level an automatisierter Erkenntnis und Reaktion ein gewisses Maß erreicht hat und somit beherrschbar wird und ohne außerordentliches Expertenwissen oder externe (manuelle) Services auskommt.

Mittelfristig werden aber die Grenzen zwischen Endpoint Protection und EDR verschwimmen. Kaum einer hat heute noch Firewall und IDP getrennt voneinander, IDP ging quasi in der Firewall auf. Ähnliches werden wir im Bereich Endpoint Protection und EDR sehen.

CRN: Sie sprachen von »automatisierter Erkenntnis«. Inwieweit lassen sich die Daten, die EDR-Lösungen sammeln, maschinell auswerten und wo beziehungsweise in welchem Umfang braucht es noch menschliche Expertise?

Canisius: Das ist von der Lösung abhängig. Die meisten Lösungen bieten eine enorm hohe Sichtbarkeit, die mir aber nur etwas bringt, wenn ich das, was ich potenziell sehe, auch in Zusammenhang bringen und sauber bewerten kann. Und hier liegt das Problem, dass eben jene Zusammenhänge nach wie vor zu einem großen Teil händisch zusammengestellt werden müssen. Auch wenn hier viele Anbieter Services mit tollen Namen anbieten, am Ende sitzt meist ein Mensch dahinter, der nach Auffälligkeiten sucht und diese in Zusammenhang zu bringen versucht, um eine Beurteilung und schließlich eine Reaktion zu formulieren.

Bei SentinelOne versuchen wir dieses Problem zu lösen, indem wir eine Art digitalen SOC-Analysten im Kern des Systems platzieren, der sämtliche Prozesse und Vorgänge im Kern beobachtet, korreliert und im Zweifel sogar einschreitet, und das nahezu vollautomatisch.

Übersicht