Die Grenzen zwischen EDR, NDR, TDR, XDR und MDR verstehen
In der Welt der Cybersicherheit gibt es absolut keinen Mangel an Akronymen. Ob Protokolle und Standards oder Tools und Technologien, der Markt wird von einer endlosen Reihe von Großbuchstaben beherrscht.
Um die ständig steigende Zahl von Angriffen auf Unternehmen zu bekämpfen, haben viele sicherheitsbezogene Akronyme in letzter Zeit eine sehr ähnliche Schreibweise, nämlich "D" für Detection und "R" für Response. Dies hat bei Käufern, die mit diesen Begriffen nicht vertraut sind, zu großer Verwirrung geführt. Lassen Sie uns also die Unterschiede zwischen diesen Erkennungs- und Reaktionsangeboten untersuchen, um herauszufinden, welches für Sie das Richtige ist.
Verstehen von Erkennen und Reagieren
Beginnen wir mit den Grundlagen: Die Kernfunktionen, die diese Angebote gemeinsam haben, sind Erkennung und Reaktion. Um diese Fähigkeiten zu verstehen, müssen wir uns den Ansatz ansehen, den viele ältere Sicherheitstools bei ihrer Veröffentlichung verfolgten.
In den Anfängen des Cybersicherheitsmarkts war Antivirus der dominierende Akteur, und der Ansatz war recht einfach. Jedes Mal, wenn eine potenzielle Bedrohung mit einem Muster oder einer Signatur einer bekannten Bedrohung übereinstimmte, wurde sie entweder beendet oder an der Ausführung gehindert. Dieser Ansatz funktionierte eine Zeit lang gut, war aber nicht mehr zeitgemäß, als sich die Bedrohungslandschaft zu entwickeln begann.
Erstens lernten Malware-Entwickler schnell, wie sie polymorphen Code erstellen konnten, der Antiviren-Tools umgehen konnte. Zweitens boten herkömmliche Antiviren-Tools, wenn überhaupt, nur wenig Schutz vor einem aktiven menschlichen Angreifer. Aus diesen Gründen war eine neue Taktik erforderlich.
Der moderne Ansatz umfasst die Erkennung eines breiten Spektrums von Bedrohungen mit Methoden, die über einen einfachen Signaturabgleich hinausgehen, und die Fähigkeit, schnell und effektiv zu reagieren, sobald eine Bedrohung erkannt wird. Bei der Durchsicht dieser Angebote werden Sie feststellen, dass dieser Ansatz die Grundlage für jede Lösung bleibt.
EDR
EDR (Endpoint Detection and Response) ist wahrscheinlich das am weitesten verbreitete Angebot in dieser Liste. Es wird erwartet, dass der globale Markt in den nächsten Jahren Exponentielles Wachstum haben wird.
Ein Großteil seiner Popularität ist darauf zurückzuführen, dass es als evolutionärer Nachfolger des traditionellen Virenschutzes angesehen wird, da es auch viele der Mängel von AV behebt.
Wie der Name schon sagt, liegt das Hauptunterscheidungsmerkmal von EDR in der Konzentration auf Endpunkte. Der Gedanke dahinter ist, dass jeder Endpunkt, sei es ein Laptop, ein Desktop, ein Server, eine virtuelle Maschine oder in manchen Fällen ein mobiles Gerät, ein potenzielles Einfallstor für einen Angreifer darstellt. Daher ist es wichtig, dass die Verteidiger ein Höchstmaß an Einblick in die Vorgänge auf diesen Geräten haben.
Die EDR-Agentensoftware wird auf den Endgeräten eines Unternehmens installiert und beginnt mit der Aufzeichnung der auf dem System stattfindenden Aktivitäten. Man kann sich diese Agenten wie Sicherheitskameras vorstellen, die sich auf die Prozesse und Ereignisse konzentrieren, die auf dem jeweiligen Gerät stattfinden. Der EDR-Agent nutzt dann diese aufgezeichneten Daten, um potenzielle Bedrohungen zu erkennen. Es gibt viele Ansätze zur Erkennung von Bedrohungen für EDR. Einige erkennen lokal auf dem Endpunkt mithilfe von maschinellem Lernen, andere leiten alle aufgezeichneten Daten zur Analyse an einen Kontrollserver vor Ort weiter, wieder andere laden die aufgezeichneten Daten zur Erkennung und Überprüfung auf eine Cloud-Ressource hoch, während viele andere einen hybriden Ansatz aus mehreren Methoden verwenden.
EDR-Erkennungen können je nach Anbieter auf einer Reihe von Mechanismen beruhen, darunter KI, Threat Intelligence, Verhaltensanalyse, Indikatoren für die Gefährdung (Indicators of Compromise, IOCs) und mehr. Diese Tools bieten auch eine Reihe von Reaktionsmöglichkeiten, die Aktionen wie das Auslösen von Warnungen, die Isolierung des Computers vom Netzwerk, das Zurücksetzen auf einen bekannten guten Zustand, das Löschen oder Beenden von Bedrohungen und das Erstellen forensischer Beweisdateien umfassen können.
Bei EDR ist es von entscheidender Bedeutung, den Agenten auf so vielen Systemen wie möglich einzusetzen. Dies kann als Nachteil angesehen werden, da das Ziel die vollständige Bereitstellung des Agenten auf allen Geräten in Ihrer Umgebung sein sollte, was eine zeitaufwändige und potenziell schwierige Aufgabe ist. Es ist jedoch unerlässlich, so viele Endpunkte wie möglich abzudecken, um den größten Nutzen aus den EDR-Erkennungsfunktionen zu ziehen.
NDR
Wenn wir den Nachteil von EDR verstehen, dass es sich nur auf Endpunkte konzentriert, können wir die Notwendigkeit verstehen, die viele Unternehmen in NDR (Network Detection and Response) sehen.
Wie der Name schon sagt, richtet NDR seine Erkennungsfähigkeiten auf Daten, die aus dem durch das Unternehmen fließenden Netzwerkverkehr stammen. NDR-Anbieter haben unterschiedliche Ansätze, wie sie diesen Datenverkehr beobachten und analysieren, aber im Allgemeinen ist ein Netzwerksensor erforderlich. Dabei handelt es sich in der Regel um ein physisches Netzwerkgerät, eine virtuelle Appliance oder eine Kombination aus beidem. Diese Sensoren werden dann in einer Linie mit dem Netzwerk platziert - sie beobachten den Datenverkehr im Wesentlichen auf dem Weg zu seinem Ziel - oder in einer gespiegelten Konfiguration, in der eine Kopie des Datenverkehrs zur Analyse weitergeleitet wird.
NDR-Erkennungen basieren oft auf einer allgemeinen Sicht auf die Umgebung. Anstatt Bedrohungen auf der Grundlage ungewöhnlicher Prozesse oder granularer Ereignisse zu erkennen, wie dies bei EDR der Fall ist, sucht NDR nach potenziellen Bedrohungen auf der Grundlage von anomalen oder nicht autorisierten Protokollen, Portnutzung, ungewöhnlichem Timing und Übertragungsgrößen und mehr.
Als Metapher können Sie sich NDR wie einen Autobahnpolizisten vorstellen, der den Fahrzeugverkehr überwacht. Stellt der Beamte einen Verstoß fest, kann er die notwendigen Maßnahmen ergreifen, um die Verkehrssicherheit zu gewährleisten. Der NDR kann Verwarnungen aussprechen, den Verkehr anhalten, ein Gerät unter Quarantäne stellen und forensische Beweise erstellen.
NDR hat Vor- und Nachteile, die wir immer berücksichtigen sollten. Ein wichtiger Vorteil ist, dass nicht auf jedem Endpunkt ein Agent installiert werden muss. Dies macht es ideal für Umgebungen, in denen EDR nicht alle Systeme abdecken kann. Ein weiterer Vorteil ist, dass NDR nicht autorisierte Geräte erkennen und auf sie reagieren kann. Wenn ein Angreifer einen nicht autorisierten Laptop in Ihre Umgebung einschleust, sollte NDR in der Lage sein, dies zu erkennen und Ihnen zu ermöglichen, auf den Datenverkehr von diesem Gerät zu reagieren.
Eine große Herausforderung für NDR ergibt sich jedoch aus der sich entwickelnden Natur moderner Netzwerke. In vielen Unternehmen gibt es heute Richtlinien für die Arbeit von zu Hause aus, die die Grenzen der traditionellen Netzwerke verwischen. Wenn ein Unternehmen eine große Anzahl von Außendienstmitarbeitern beschäftigt, die möglicherweise nie Datenverkehr innerhalb eines definierten Unternehmensnetzwerks erzeugen, hat NDR nur einen minimalen Einblick in die Vorgänge und kann nur einen begrenzten Nutzen bieten.
TDR
Threat Detection and Response (TDR) ist ein schwer zu definierender Begriff, da mehrere Anbieter unterschiedliche Tools mit dieser Terminologie anbieten. Um die Verwendung von TDR besser zu verstehen, werden wir uns auf zwei der gängigsten Verwendungszwecke der TDR-Technologie konzentrieren: Endpunkt-TDR und analytisches TDR.
Endpunkt-TDR ist im Wesentlichen ein modifizierter Ansatz für EDR und die große Menge an Daten, die dabei erzeugt werden kann. Wie bereits erwähnt, ist herkömmliches EDR darauf ausgelegt, so viele Daten wie möglich über die Vorgänge auf dem Endpunkt aufzuzeichnen. Das bedeutet, dass es nicht nur Bedrohungen aufspüren kann, sondern auch einen wertvollen Datenpool für Sicherheitsanalysten, Incident Responder und Bedrohungsjäger bereitstellt, den diese bei ihren Untersuchungen durchsuchen können. Leider führt dies auch zu einer Situation, in der viele der von EDR-Tools aufgezeichneten Daten als unnötiges Rauschen angesehen werden.
In unserer früheren Analogie haben wir uns EDR als eine Sicherheitskamera vorgestellt, die aufzeichnet, was in einem Raum passiert, und die bis zu 24 Stunden am Tag läuft. Wenn wir das Filmmaterial auf der Suche nach einem Vorfall durchsehen, müssen wir Zeit damit verbringen, durch irrelevantes Filmmaterial vorzuspulen. Einige TDR-Tools versuchen, dieses Problem zu lösen, indem sie nur dann Daten aufzeichnen, wenn sie glauben, dass eine potenzielle Bedrohung vorliegt, oder nur eine strategische Gruppe von Prozessen und Ereignissen aufzeichnen, die am ehesten eine Bedrohung erkennen lassen. Wenn eine Bedrohung erkannt wird, ähnelt diese Form des TDR oft dem herkömmlichen EDR.
Analytisches TDR hingegen ist ein ganz anderer Ansatz als Endpunkt-TDR. Bei analytischem TDR handelt es sich um Erkennungs- und Reaktionsmöglichkeiten, die auf vorhandene Daten angewendet werden. Viele Unternehmen bewegen sich auf Big-Data-Modelle zu, bei denen große Mengen an Informationen gesammelt und gespeichert werden. Der analytische TDR-Ansatz nutzt die vorhandenen Datenseen und wendet Analysen zur Erkennung von Bedrohungen an. Sobald eine Bedrohung erkannt wird, kann sie eine Warnung auslösen und das Problem kann angegangen werden. Ein Nachteil dieser Art von TDR ist die Abhängigkeit von diesen großen Datenstrukturen. Wenn ein Unternehmen nicht bereits große Datenstrukturen implementiert hat, ist diese Form von TDR nicht von Nutzen.
XDR
Wir haben gesehen, dass sich EDR auf den Endpunkt konzentriert, aber wenig zur Überwachung des Netzwerkverkehrs beiträgt. NDR hingegen eignet sich hervorragend für die Erkennung von Bedrohungen auf Netzwerkebene, bietet aber nicht die detaillierten Erkennungs- und Reaktionsmöglichkeiten für Endgeräte. Es ist daher nur logisch, dass der beste Ansatz darin besteht, diese Tools gemeinsam zu verwenden, was viele Unternehmen derzeit tun. Leider empfinden viele Sicherheitsanalysten diesen Ansatz als unbequem, da die Verwendung mehrerer Produkte und zahlreicher Konsolen uneinheitlich ist.
Aus diesem Grund gewinnt der aktuelle Trend zu XDR (Extended Detection and Response) zunehmend an Popularität. XDR basiert auf der Idee einer einzigen Plattform, die Daten von Endpunktagenten, Informationen auf Netzwerkebene und in vielen Fällen auch Geräteprotokolle aufnehmen kann. Diese Daten werden korreliert, und Erkennungen können aus einer oder mehreren Telemetriequellen stammen.
Zu den Vorteilen von XDR gehört die Vereinfachung der Funktionen der Analystenrolle, da sie von einer einzigen Konsole aus Erkennungen anzeigen und Reaktionsmaßnahmen ergreifen können. Der Single-Pane-of-Glass-Ansatz ermöglicht eine schnellere Wertschöpfung, eine geringere Lernkurve und kürzere Reaktionszeiten, da der Analyst nicht mehr zwischen verschiedenen Fenstern wechseln muss. Ein weiterer Vorteil von XDR ist die Fähigkeit, mehrere Telemetriequellen zusammenzufügen, um einen Gesamtüberblick über die Entdeckungen zu erhalten. Diese Tools sind in der Lage, nicht nur zu sehen, was auf den Endpunkten passiert, sondern auch, was zwischen den Endpunkten passiert.
Da XDR eine der neuesten Technologien auf dieser Liste ist, möchte ich ein Wort der Warnung aussprechen. Machen Sie sich bei der Bewertung von XDR-Lösungen gründlich mit deren Funktionen vertraut. Einige Tools bieten hochmoderne, funktionsübergreifende Erkennungs- und Reaktionsfähigkeiten, andere wiederum sind vielleicht einfach nur umbenannte Tools, die vermarktet werden, um von einem populären Trend zu profitieren. Informieren Sie sich über die Vorteile von XDR und vergewissern Sie sich, dass das Tool, das Sie evaluieren, diese Richtlinien erfüllt.
MDR
Managed Detection and Response (MDR) ist der Ausreißer unter den bisher untersuchten Angeboten, da es sich nicht unbedingt um eine Technologie, sondern um eine Servicelösung handelt, die Technologie, Mitarbeiter und Prozesse umfasst.
MDR wurde aus der Tatsache heraus entwickelt, dass es zwar viele großartige Erkennungs- und Reaktionstools gibt, viele Unternehmen jedoch sowohl zeitlich als auch personell stark eingeschränkt sind, um diese Tools zu verwalten. Daher bietet der MDR-Ansatz die Erkennung von Bedrohungen und die damit verbundenen Reaktionsmaßnahmen als verwalteten Service an.
Es gibt zahlreiche Arten von MDR-Diensten, aber der Einfachheit halber werden wir uns auf zwei konzentrieren: Pure-Play und produktorientierte Dienste.
Bei produktbezogenem MDR handelt es sich in der Regel um Anbieter, die Tools verkaufen und dann zusätzlich verwaltete Dienste für den Betrieb dieser Tools anbieten. Stellen Sie sich ein Autohaus vor, das Ihnen ein Auto zusammen mit einem Vertrag für einen Chauffeur verkauft, der Sie in diesem Auto, und nur in diesem Auto, fahren wird. Dies bringt eine Reihe von Vorteilen und Überlegungen mit sich. Die Anbieter sind Experten für ihre Werkzeuge und können daher eine fachkundige Beratung, Unterstützung und Verwaltung dieser Werkzeuge anbieten. Ihr Fokus ist dann allerdings meist auf die von ihnen verkauften Tools beschränkt.
Wenn Ihr Unternehmen über eine Vielzahl von Sicherheitstools verfügt, funktioniert ein produktorientierter MDR-Ansatz nur mit den Tools, die der Anbieter zur Verfügung stellt, und Ihr Team muss entweder den Rest verwalten oder Ihre Technologie auf die Angebote dieses Anbieters konsolidieren.
Ein reiner MDR-Anbieter arbeitet mit Ihrem bestehenden Sicherheitssystem zusammen, um Bedrohungen zu erkennen und darauf zu reagieren. In diesem Beispiel können wir uns einen Chauffeur vorstellen, der die Autos fährt, die Sie derzeit besitzen. Diese MDR-Anbieter dienen einer Organisation als benötigte Ressource, indem sie Experten zur Verfügung stellen, die die vorhandenen Tools nutzen, so dass die Organisation die Konsolidierung ihrer Technologie bei einem einzigen Anbieter vermeiden kann. Dies kommt dem Kunden zugute, der eine Reihe von Tools implementieren kann, die seinen Bedürfnissen am besten entsprechen, und dann den MDR-Anbieter für Erkennungs- und Reaktionsmaßnahmen nutzen kann.
Ein reiner MDR-Anbieter kann zusammen mit dem Kunden wachsen und sich weiterentwickeln und langfristige, vertrauensvolle Beziehungen aufbauen, die nicht auf den Verkauf von Produkten ausgerichtet sind.
Welche Erkennungs- und Reaktionslösung ist die beste für Ihr Unternehmen?
Die Unterschiede zwischen diesen Bedrohungserkennungs- und Reaktionsansätzen gehen weit über die Akronyme hinaus. Vielleicht ist ja auch die Kombination von Lösungen das richtige für Sie...