Multi-Vector-EDR von Qualys verfolgt einen neuen, breit gefächerten Ansatz für Endpoint-Detection & Response (EDR) und nutzt dazu die integrative Kraft der skalierbaren Qualys-Cloud-Plattform.
Herkömmliche EDR-Lösungen fokussieren ausschließlich auf die bösartigen Aktivitäten bei Endpunkten, um Cyberangriffe zu erkennen und zu untersuchen. Der Multi-Vektor-Ansatz von Qualys bietet dagegen wichtigen Kontext und einen vollständigen Einblick in die gesamte Angriffskette. So ermöglicht Qualys ´-Multi-Vector-EDR umfassende, stärker automatisierte und schnellere Reaktionen auf Angriffe.
Mit Multi-Vector-EDR können die Sicherheitsteams zahlreiche Kontextvektoren vereinigen. Dazu zählen etwa die Asset- und Software-Bestände, Übersicht über End-of-Life-Software, Schwachstellen und Exploits, Fehlkonfigurationen, Überblick über den Netzwerkverkehr, MITRE ATT&CK-Taktiken und -Techniken, Malware, Endpunkt-Telemetrie und Netzwerk-Erreichbarkeit. Das Qualys-Backend ermöglicht die Korrelation mit Threat-Intelligence für eine präzise Erkennung, Untersuchung und Reaktion – Alles über eine einzige, cloudbasierte Anwendung mit einem einzigen, schlanken Agenten.
„Qualys-Multi-Vector-EDR bietet einen breiteren Überblick, der über den Endpunkt hinausreicht. Das ist die Voraussetzung, um False-Positives zu vermeiden und Seitwärtsbewegungen von Angreifern wirksamer zu unterbinden. Diese umfassende Übersicht kann die Lösung bieten, weil sie nativ auf der Cloud-Plattform aufsetzt, enorme Mengen an Telemetriedaten von zahlreichen Sensoren erfasst und gleichzeitig Netzwerkinformationen sammelt. Der Qualys-Cloud-Agent – kombiniert mit der hochskalierbaren Cloud-Plattform und den kommenden Incident Response-Funktionen – bietet MSSPs eine einzigartige Chance, ihren Technologiestack für Managed-Services zu konsolidieren und die richtigen Reaktionen zu steuern. Auf diese Weise können sie Systeme schneller und wirksamer schützen“, so Vishal Salvi, Chief Information Security Officer bei Infosys.
„Qualys Multi-Vector EDR ist eine bedeutende Erweiterung sowohl der Qualys Cloud-Plattform als auch unserer Agententechnologie“, erklärt Philippe Courtot, Chairman und CEO von Qualys. „Der zusätzliche Kontext und die Korrelation von Milliarden globaler Ereignisse mit Threat-Intelligence, Analysen sowie den Ergebnissen maschinellen Lernens bewirken einen wirklich bahnbrechenden EDR-Ansatz. So werden nicht nur raffinierte Multi-Vektor-Angriffe gestoppt, sondern auch automatisch die richtigen Reaktionen ausgelöst – alles mit einer einzigen Lösung. Das verkürzt die Reaktionszeiten erheblich und senkt zugleich drastisch die Kosten.“
Erwerb der Assets von Spell Security
Außerdem gab Qualys heute den Erwerb der Software-Assets des Startups Spell Security bekannt. Diese Akquisition stärkt die Sicherheits- und Bedrohungsforschung bei Qualys noch weiter, verbessert die Erkennung des Endpunktverhaltens und bereichert die Qualys-Cloud-Plattform um umfangreiche Telemetriefunktionen. Für Multi-Vector EDR bringt das Know-how, das Spell Security in den Bereichen Threat-Hunting und Angriffstechniken besitzt, zusätzliche Funktionalitäten und ermöglicht Analysen der spezifischen Bedrohungen, die die Kunden in ihren Unternehmen entdecken.
Übersicht dank Qualys-Multi-Vektor-EDR
Qualys-Multi-Vector-EDR hilft den Sicherheitsteams, während des gesamten Angriffslebenszyklus die Kontrolle zu behalten: vom präventiven Schutz, der Erkennung vor und nach Sicherheitsverletzungen und den automatisierten Untersuchungen bis hin zu mehrschichtigen Reaktionsmöglichkeiten in der gesamten Umgebung über eine leistungsstarke, cloudbasierte Plattform.
Sammlung von Telemetriedaten durch den Cloud-Agenten – Die bereits weithin genutzten Qualys-Cloud-Agenten wurden weiterentwickelt, um große Mengen an Telemetriedaten erfassen zu können. Diese Daten werden in Echtzeit an die Qualys-Cloud-Plattform gesendet, wo sie binnen kürzester Zeit eingehend analysiert werden. Dank dieses Ansatzes müssen die Kunden keinen zusätzlichen EDR-Agenten auf ihren Endpunkten installieren.
Multi-Vektor-Erkennung – Mithilfe des hochskalierbaren Datensees, der Teil der Qualys-Cloud-Plattform ist, können die Sicherheitsanalytiker weitere Vektoren – etwa das Software-Inventar, die Patch-Level oder Informationen zu Schwachstellen und Fehlkonfigurationen – schnell mit Endpunkt-Telemetriedaten korrelieren, so etwa Datei-, Prozess-, Registrierungs-, Netzwerk- und Mutex-Daten. Dieser Ansatz erspart es den Threat-Huntern, auf mehrere Sicherheitslösungen zugreifen zu müssen, um Kontext zu erhalten.
Untersuchen und priorisieren – Da die eigenen, MITRE ATT&CK-basierten Erkennungen von Qualys um weitere, mit externen Bedrohungsfeeds angereicherte Kontextvektoren ergänzt werden, können die Sicherheitsteams Echtzeitwarnungen erhalten und Sicherheitsvorfälle effektiv untersuchen und priorisieren. Zudem können sie beim Threat-Hunting intuitive Workflows nutzen, die die Wichtigkeit von Assets und die Angriffspfade im Netzwerk berücksichtigen.
Reagieren und vorbeugen – Qualys-Multi-Vector-EDR wendet mehrschichtige Reaktionsstrategien an, um in Echtzeit Bedrohungen zu beseitigen und Risiken zu minimieren. Neben den herkömmlichen EDR-Reaktionen orchestriert Qualys-Multi-Vector-EDR auch Arbeitsabläufe, um in der gesamten Umgebung ausnutzbare Schwachstellen zu patchen und Fehlkonfigurationen zu beheben. So lassen sich Angriffe auf weitere Endpunkte verhindern. Um die Effektivität von Multi-Vector EDR noch zu erhöhen, wird der Cloud-Agent im 4. Quartal 2020 um Schutzfunktionen für Endpunkte erweitert, wie etwa Anti-Malware/Anti-Virus.
Verfügbarkeit
Qualys Multi-Vector EDR befindet sich derzeit in der Beta-Phase für Windows-Endpunkte und wird Ende des 3. Quartals 2020 allgemein verfügbar. Wer am Beta-Programm teilnehmen möchte, kann sich registrieren unter http://www.qualys.com/beta-signup/. Die Linux-Unterstützung ist für Q1 2021 geplant.
#Qualys
