Kontakt aufnehmen
Detection & Response

EDR, NDR, XDR, MDR – die verschiedenen Konzepte von „Detection & Response“

3 min. Lesezeit
Placeholder for Edr ndr mdr xdrEdr ndr mdr xdr

Share

„Threat Detection & Response“ gilt heutzutage als unverzichtbares Mittel zur Absicherung der Unternehmensnetzwerke. Durch groß gewachsene Umgebungen und komplexe Anforderungen heißt es mehr denn je: Potenzielle Gefahren und „Threats“ möchten gefunden bzw. verhindert und entsprechende Systeme wiederhergestellt und/oder gesäubert werden – möglichst aktiv, schnell, effizient und automatisch.

Hinter den drei Buchstaben verstecken sich mehrere Arten der auf dem Markt präsenten „Detection & Response“-Modelle. Wofür stehen die Kürzel und was unterscheidet die eine Lösung von der anderen?

Hier eine kurze Übersicht.

EDR

… steht für „Endpoint Detection & Response“. Jedes mit einem Netzwerk verbundenes Gerät stellt einen potenziellen Angriffsvektor für Gefahren aus dem Internet dar, und jede dieser Verbindungen ist ein potenzielles Einfallstor zu Ihren Daten. Im Allgemeinen sammeln EDR-Lösungen Daten von Endgeräten, verwenden diese, um potenzielle Gefahren zu identifizieren und liefern hilfreiche Möglichkeiten, um diese potenzielle Bedrohungen zu untersuchen und auf sie zu reagieren – moderne Lösungen sogar automatisiert mit anschließendem Reporting.

  • Scope: Endpoints und Hosts
  • Intention: Schutz des Endpoint-/Access-Bereichs vor Infiltration, Monitoring & Mitigation, Bewertung von Vulnerabilität, Alerting & Response
  • Methoden: Malicious Behavior, Indicator of Attack (IoA), Indicator of Compromise (IoC), Signaturen, Machine Learning
  • Challenges: Advanced Persistent Threats (APT), Ransomware, malicious Scripts, etc.

NDR

…ist „Network Detection & Response“, entwickelte sich von der klassischen Network Security und ist ein Teilbereich der NTA (Network Traffic Analysis). Es gewährleistet volle Transparenz über bekannte und unbekannte Bedrohungen, die das Netzwerk durchlaufen. Die Lösungen bieten i.d.R. zentralisierte, maschinenbasierte Analysen des Netzwerkverkehrs und Reaktionslösungen, einschließlich effizienter Workflows und Automatisierung. Aufgrund der Positionierung im Netzwerk und mithilfe von Machine Learning ist eine volle Einsicht und Analyse des Netzwerks möglich, um so auch vor allen Dingen sog. Lateral Movements zu identifizieren und eliminieren.

  • Scope: Netzwerk- und Inter-Device-Traffic
  • Intention: Sichtbarkeit/Tranzparenz des Netzwerk-Traffics, Detektion bekannter und unbekannter Threats sowie Lateral Movements, Alerting & Response
  • Methoden: Indicator of Attack (IoA), Anomaly Detection, User Behavior, Machine Learning
  • Challenges: Advanced Attacks and Intrusions, malware-free Attacks

MDR

… steht für „Managed Detection & Response”. Hier steht nicht eine Technologie im Vordergrund, sondern der Service. Mit MDR lagern Kunden ihren Sicherheitsbetrieb aus und erhalten so ganzjährig, rund um die Uhr zuverlässige Sicherheit.

Security Provider bieten ihren MDR-Kunden Zugang zu ihrem Pool von Security Analysts und Engineers, die auf die Überwachung von Netzwerken, die Analyse von Vorfällen und die Reaktion auf Sicherheitsfälle spezialisiert sind.

Gerade im Bereich von SOC (Security Operation Center) und SIEM (Security Information and Event Management) ein gefragter Service aufgrund der benötigten Skills und Ressourcen.

  • Scope: Kunden
  • Intention: Outsourcing der Security-Expertise, Zentralisierung der Security-Informationen, hochqualitative Beratung und Security-Compliances
  • Methoden: Integration der Kundensysteme via diverse Schnittstellen (API, Logging, DataLake, etc. pp)
  • Challenges: Mangel an Security-Skills/Ressourcen innerhalb einer Organisation, Deployment von xDR-Tools, Vereinfachung des Security-”Alltags”: Aufbereitung/Minimierung von Alerts/Events

XDR

… erweitert das Potential von EDR mithilfe eines deutlich stärkeren KI- sowie Automatisierungsansatzes, daher auch „eXtended Detection & Response“.

XDR bindet zudem nicht nur Endpoints ein, sondern erwirkt Transparenz auch im Unternehmensnetzwerk, da es über die Einzelvektor-basierte Punktlösung hinausgeht und Inter-Device-Traffic als auch Applikationen mit zur Analyse und Bewertung heranzieht.

Durch die entstehenden gewaltigen Datenbanken/Data Lakes ist eine präzise Analyse auf maschinenbasierter Basis sowie effiziente Erkennung möglich, vorranging durch die tiefe Integration und Korrelation der Daten mit Hilfe der eingesetzten Komponenten.

Zusammen mit einem Einsatz eines SIEMs kann die Korrelation sowie Visibilität noch erhöht werden. Indikationen und Events können mit weiteren (Meta-)Daten versehen werden, was Mitigation (Verhindern der Attacke) und/oder Remediation (Wiederherstellung der Systeme nach Befall) von Schadsoftware erleichtert.

  • Scope: Endpoints, Hosts, Netzwerk- und Inter-Device-Traffic, Applikationen
  • Intention: Sichtbarkeit/Transparenz auf mehreren Sicherheitsebenen (Netzwerk, Endpoint, Applikationen), Detektion bekannter und unbekannter Threats auf lateraler Ebene inklusive aller Komponenten, ganzheitliches Monitoring & Mitigation, Bewertung von Vulnerabilität, Alerting & Response, Vereinfachung und Konsolidierung der Events und Aktivitäten und gezieltes Reagieren
  • Methoden: Machine Learning, Indicator of Attack (IoA), Anomaly Detection, User Behavior, Malicious Behavior, Indicator of Compromise
  • Challenges: Integrationsmöglichkeit/Schnittstellen der Hersteller, Transparenzlücken, teils EDR- und NDR-typische Challenges
Kontaktieren Sie uns

Möchten Sie mehr über dieses Thema erfahren?

Unsere Experten und Vertriebsteams stehen Ihnen gerne zur Verfügung. Hinterlassen Sie Ihre Kontaktdaten und wir werden uns in Kürze bei Ihnen melden.

Jetzt anrufen
Placeholder for Portrait of french manPortrait of french man
Updates

Weitere Updates

Placeholder for Industrial company NIS2Industrial company NIS2

NIS2

NIS2 in der Industrie – welche Umsetzungsschritte für die IoT?

Thousands of industrial companies will be affected by the implementation of NIS2, with issues varying widely from one entity to another. We present you 12 steps to achieve compliance.

Arnaud Masson
Placeholder for ARMARM

Arnaud Masson

4 min. Lesezeit
Placeholder for Adobe Stock 598538455Adobe Stock 598538455

SIEM

8 entscheidende Faktoren, die Sie vor der Einführung eines SIEMs berücksichtigen sollten

Die Implementierung eines SIEM umfasst wichtige Schritte wie die Definition von Zielen, die Sicherstellung der Kompatibilität, die Kostenkalkulation, die Bewertung von Qualifikationen, die Sicherstellung der Compliance, die Bewertung der Infrastruktur, die Auswahl eines zuverlässigen Anbieters und die Zukunftssicherheit für die Cybersicherheit.

2 min. Lesezeit
Placeholder for Engineer focused on taskEngineer focused on task

Cybersicherheit

Sichere deine Zukunft: Die wichtigsten Trends in der Cybersecurity für 2024

Wir stehen wieder an der Schwelle zu einem neuen Jahr. Zeit, alles über die wichtigsten und interessantesten Cybersicherheitstrends für 2024 zu erfahren.

Mohamed El Haddouchi
Placeholder for Mohamed El HaddouchiMohamed El Haddouchi

Mohamed El Haddouchi

10 min. Lesezeit
 Alle Artikel