„Threat Detection & Response“ gilt heutzutage als unverzichtbares Mittel zur Absicherung der Unternehmensnetzwerke. Durch groß gewachsene Umgebungen und komplexe Anforderungen heißt es mehr denn je: Potenzielle Gefahren und „Threats“ möchten gefunden bzw. verhindert und entsprechende Systeme wiederhergestellt und/oder gesäubert werden – möglichst aktiv, schnell, effizient und automatisch.
Hinter den drei Buchstaben verstecken sich mehrere Arten der auf dem Markt präsenten „Detection & Response“-Modelle. Wofür stehen die Kürzel und was unterscheidet die eine Lösung von der anderen?
Hier eine kurze Übersicht.
EDR
… steht für „Endpoint Detection & Response“. Jedes mit einem Netzwerk verbundenes Gerät stellt einen potenziellen Angriffsvektor für Gefahren aus dem Internet dar, und jede dieser Verbindungen ist ein potenzielles Einfallstor zu Ihren Daten. Im Allgemeinen sammeln EDR-Lösungen Daten von Endgeräten, verwenden diese, um potenzielle Gefahren zu identifizieren und liefern hilfreiche Möglichkeiten, um diese potenzielle Bedrohungen zu untersuchen und auf sie zu reagieren – moderne Lösungen sogar automatisiert mit anschließendem Reporting.
- Scope: Endpoints und Hosts
- Intention: Schutz des Endpoint-/Access-Bereichs vor Infiltration, Monitoring & Mitigation, Bewertung von Vulnerabilität, Alerting & Response
- Methoden: Malicious Behavior, Indicator of Attack (IoA), Indicator of Compromise (IoC), Signaturen, Machine Learning
- Challenges: Advanced Persistent Threats (APT), Ransomware, malicious Scripts, etc.
NDR
…ist „Network Detection & Response“, entwickelte sich von der klassischen Network Security und ist ein Teilbereich der NTA (Network Traffic Analysis). Es gewährleistet volle Transparenz über bekannte und unbekannte Bedrohungen, die das Netzwerk durchlaufen. Die Lösungen bieten i.d.R. zentralisierte, maschinenbasierte Analysen des Netzwerkverkehrs und Reaktionslösungen, einschließlich effizienter Workflows und Automatisierung. Aufgrund der Positionierung im Netzwerk und mithilfe von Machine Learning ist eine volle Einsicht und Analyse des Netzwerks möglich, um so auch vor allen Dingen sog. Lateral Movements zu identifizieren und eliminieren.
- Scope: Netzwerk- und Inter-Device-Traffic
- Intention: Sichtbarkeit/Tranzparenz des Netzwerk-Traffics, Detektion bekannter und unbekannter Threats sowie Lateral Movements, Alerting & Response
- Methoden: Indicator of Attack (IoA), Anomaly Detection, User Behavior, Machine Learning
- Challenges: Advanced Attacks and Intrusions, malware-free Attacks
MDR
… steht für „Managed Detection & Response”. Hier steht nicht eine Technologie im Vordergrund, sondern der Service. Mit MDR lagern Kunden ihren Sicherheitsbetrieb aus und erhalten so ganzjährig, rund um die Uhr zuverlässige Sicherheit.
Security Provider bieten ihren MDR-Kunden Zugang zu ihrem Pool von Security Analysts und Engineers, die auf die Überwachung von Netzwerken, die Analyse von Vorfällen und die Reaktion auf Sicherheitsfälle spezialisiert sind.
Gerade im Bereich von SOC (Security Operation Center) und SIEM (Security Information and Event Management) ein gefragter Service aufgrund der benötigten Skills und Ressourcen.
- Scope: Kunden
- Intention: Outsourcing der Security-Expertise, Zentralisierung der Security-Informationen, hochqualitative Beratung und Security-Compliances
- Methoden: Integration der Kundensysteme via diverse Schnittstellen (API, Logging, DataLake, etc. pp)
- Challenges: Mangel an Security-Skills/Ressourcen innerhalb einer Organisation, Deployment von xDR-Tools, Vereinfachung des Security-”Alltags”: Aufbereitung/Minimierung von Alerts/Events
XDR
… erweitert das Potential von EDR mithilfe eines deutlich stärkeren KI- sowie Automatisierungsansatzes, daher auch „eXtended Detection & Response“.
XDR bindet zudem nicht nur Endpoints ein, sondern erwirkt Transparenz auch im Unternehmensnetzwerk, da es über die Einzelvektor-basierte Punktlösung hinausgeht und Inter-Device-Traffic als auch Applikationen mit zur Analyse und Bewertung heranzieht.
Durch die entstehenden gewaltigen Datenbanken/Data Lakes ist eine präzise Analyse auf maschinenbasierter Basis sowie effiziente Erkennung möglich, vorranging durch die tiefe Integration und Korrelation der Daten mit Hilfe der eingesetzten Komponenten.
Zusammen mit einem Einsatz eines SIEMs kann die Korrelation sowie Visibilität noch erhöht werden. Indikationen und Events können mit weiteren (Meta-)Daten versehen werden, was Mitigation (Verhindern der Attacke) und/oder Remediation (Wiederherstellung der Systeme nach Befall) von Schadsoftware erleichtert.
- Scope: Endpoints, Hosts, Netzwerk- und Inter-Device-Traffic, Applikationen
- Intention: Sichtbarkeit/Transparenz auf mehreren Sicherheitsebenen (Netzwerk, Endpoint, Applikationen), Detektion bekannter und unbekannter Threats auf lateraler Ebene inklusive aller Komponenten, ganzheitliches Monitoring & Mitigation, Bewertung von Vulnerabilität, Alerting & Response, Vereinfachung und Konsolidierung der Events und Aktivitäten und gezieltes Reagieren
- Methoden: Machine Learning, Indicator of Attack (IoA), Anomaly Detection, User Behavior, Malicious Behavior, Indicator of Compromise
- Challenges: Integrationsmöglichkeit/Schnittstellen der Hersteller, Transparenzlücken, teils EDR- und NDR-typische Challenges
Möchten Sie mehr über dieses Thema erfahren?
Unsere Experten und Vertriebsteams stehen Ihnen gerne zur Verfügung. Hinterlassen Sie Ihre Kontaktdaten und wir werden uns in Kürze bei Ihnen melden.