EDR, XDR, NDR, MDR, … – Wer soll da noch durchsehen?
Detection and Response (DR) zählt weiterhin zu den aktuellen Trendthemen. Herstellerübergreifend wird es als Must-have gepusht. Im Dschungel der Varianten verlieren nicht zu IT-Laien schnell den Durchblick. Also schauen wir genauer hin: Was genau steckt hinter DR? Wofür stehen die verschiedenen Buchstaben davor? Und wer braucht EDR wirklich?
Was genau ist Detection and Response?
Im Grunde ist Detection & Response eine Kombination aus verschiedenen Security-Mechanismen und -Modulen, die dauerhaft die Systemaktivitäten der integrierten „Geräte“ beobachten. Die dabei erlangten Informationen, zum Beispiel Datei- und Registry-Zugriffe, Programmaufrufe, Netzwerkverbindungen etc. werden zusammengeführt und gegen bekannte Schwachstellenmuster und Angriffskonzepte geprüft.
Somit können Rüchschlüsse darüber gezogen werden, ob bestimmte Anzeichen, sogenannte „Indicators of Attack (IoA)“ oder sogar „Indicators of Compromise (IoC)“, auf unzulässige/auffällige Aktivitäten oder das Eindringen eines Angreifenden hinweisen. Hierbei geht es nicht nur um potenzielle Angriffe von extern, sondern auch um interne Angreifende.
Sobald ein Kontrollmechanismus anschlägt (Detection), können passende Maßnahmen eingeleitet werden (Response), um Schaden abzuwenden. DR verfolgt also einen weniger reaktiven Ansatz als ältere Sicherheitstechnologien und sorgt dafür, dass Angriffe deutlich schneller erkannt und damit behoben werden können. Im besten Fall gelingt eine Erkennung, bevor Schaden entsteht.
Je nach DR-Variante gehen die eingeleiteten Maßnahmen weit über das Auslösen von Alarmen oder das Anstoßen von Meldeketten hinaus. So ist es z.B. möglich, betroffene Endgeräte automatisiert vom Rest des Netzwerks zu isolieren, Switchports zu deaktivieren, Netzwerkverkverbindungen über die Firewall zu unterbinden oder andere Systemvorgänge anzutriggern. – Was mich zu den Varianten von DR führt.
Welche Detection and Response-Varianten gibt es und was steckt dahinter?
EDR steht für Endpoint Detection and Response
Endpoint Detection and Response ist die bekannteste und geläufigste Form von DR. Wie der Name schon sagt, geht es hier um die Überwachung von Endgeräten. Wie bei Endpoint-Security-Software gewohnt, wird auch eine EDR-Lösung durch das Installieren eines Agenten auf den Endgeräten bereitgestellt. Die Verwaltung erfolgt meist über ein Cloud-basierte Konsole.
XDR steht für Extended Detection and Response
XDR ist eine Weiterentwicklung von EDR. Die Überwachung und Analysen werden hierbei deutlich ausgeweitet, z.B. auf Firewalls, CloudInfrastrukturen und andere Netzwerkgeräte. XDR produziert also noch mehr und noch ausführliche Berichte und Einblicke über Angriffe. Der einzige Nachteil ist, dass bei XDR ein direkter Zugriff auf die API der eingebundenen Produkte benötigt und somit meist nur für Ausgewählte Hersteller zur Verfügung steht.
NDR steht für Network Detection and Response
Der Name ist Programm. Eine NDR-Lösung zeichnet Verbindungsdaten aus dem Netzwerkverkehr auf und analysiert diese auf ungewöhnliches Verhalten. Sie ergänzt EDR und macht Berichte noch detaillierter. Noch besser: NDR-Lösungen arbeiten rein passiv. Angreifer, die gelernt haben, EDR zu umgehen und sich so Zugriff auf Unternehmensdaten verschafft haben, bemerken NDR-Lösungen nicht und können sie dadurch auch nicht aushebeln. Im Gegensatz zu XDR sind keine direkten Zugriffe die Geräte bzw. deren API notwendig.
MDR steht für Endpoint Detection and Response
Managed steht hierbei für das Auslagern der Überwachung, der Analyse bis hin zur aktiven Behandlung/Beseitigung von Incidents an einen Security-spezialisierten Security-Dienstleister oder -Hersteller. Diese stellen 24/7 Handlungsempfehlungen für die von der EDR-Lösung gefundenen Incidents bereit oder setzen diese sogar eigenständig um. Gerade für mittelständische Unternehmen, die nicht in der Lage sind, alle Aspekte der Cybersecurity mit eigenen Spezialisten 24/7 abzudecken, bringt dies Entlastung und gerade in den kritischen Momenten (Feiertagen, Wochenenden, Nacht) erheblich höheres Schutzniveau.
Wer braucht DR wirklich?
Die Antwort auf die Frage lautet eigentlich: Jedes Unternehmen. Denn die Bedrohungslage ist ernst. Und sie wird sich weiter zuspitzen. Standardmaßnahmen wie Antivirus und Firewall reichen eindeutig nicht mehr aus. Die „Handreichung zum aktuellen Stand der Technik“ von Teletrust als auch das BSI Grundschutzkompendium empfehlen weiterführende, automatisierte Maßnahmen.
Bevor Sie sich allerdings ein *DR-System anschaffen, sollten Sie einige Fragen geklärt haben, um sich für die richtige Variante und Ausbaustufe zu entscheiden. Ein *DR-System bedeutet nicht allein ein höheres Sicherheitsniveau, sondern auch einen höheren Zeit- und Know-how-Anspruch an die Mitarbeitenden in den IT-Abteilungen. Fragen Sie sich in dem Zusammenhang, ob es sinnig ist, das System um Services des Herstellers oder eines Dienstleisters zu ergänzen. Prüfen sollten Sie zuvor auch, ob bereits vorhandenen Sicherheitssysteme ggf. schon einen Teil der Funktionalitäten abdecken oder sich durch ein (Lizenz-)Upgrade einfach erweitern lassen.
Die Praxis zeigt auch, dass gerade der (kleinere) Mittelstand häufig noch weit entfernt ist vom Einsatz fortschrittlicher Security-Maßnahmen. *DR entbindet Unternehmen nicht davon, Ihre Grundhausaufgaben für IT-Sicherheit zu machen. Dazu zähle ich eine saubere Bestandsaufnahme und Dokumentation der IT-Landschaft und -Systeme sowie eine höchstmögliche Einheitlichkeit der Systemkonfigurationen und Softwarestände.
Mein Rat deshalb: Kümmern Sie sich zuerst um Ihre Hausaufgaben. Verschaffen Sie sich einen Überblick über ihre Systemlandschaft, die vorhandenen Security-Systeme und deren Aufgaben. Identifizieren und schließen Sie potenzielle Schwachstellen und schaffen sie eine einheitliche Systemstandards. Holen Sie sich, wenn nötig, Hilfe durch Tools und/oder Dienstleister. Wenn Sie so weit sind, vergleichen Sie die verschiedenen DR-Lösungen und entscheiden sich für die, die zu Ihnen und Ihren Bedürfnissen passt. Mit der bedachten Einführung eines passenden *DR-Systems erhöhen sie nicht nur deutlich Ihren Sicherheitsstandard, sondern auch die Transparenz in Ihrem Unternehmensnetzwerk.
Ihr
Johannes Ulbrich
Head of Cyber Security & Services
T: +49 931 250993-10
M:
Connect auf LinkedIn
Connect auf Xing
EDR buchen Sie bei uns als Security-Service