Cyberbedrohungen erkennen und reagieren

Was NDR, EDR und XDR unterscheidet

Karl Heuser ist Account Manager Security DACH bei NETSCOUT.
Detection & Response ist entscheidend, um Unternehmensnetzwerke vor Angriffen zu schützen. Wofür stehen die Kürzel NDR, EDR und XDR und was unterscheidet die eine Lösung von der anderen?
Mit Hilfe von NDR, EDR und XDR können Unternehmen Cyberbedrohungen in ihrem Netzwerk aufspüren.
Mit Hilfe von NDR, EDR und XDR können Unternehmen Cyberbedrohungen in ihrem Netzwerk aufspüren.
Foto: alphaspirit.it - shutterstock.com

Die ständig wachsende Zahl von Abkürzungen in der IT-Sicherheit macht es schwierig, den Überblick zu behalten und einzelne Technologien zu vergleichen. Ein Beispiel sind die drei eng verwandten Technologien zur Bedrohungserkennung: Network Detection and Response (NDR), Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR). Jede von ihnen bietet eine umfassende Lösung zur Erkennung von und Reaktion auf verschiedene Cyberangriffe. Obwohl sie auf ähnlichen Ansätzen beruhen, gibt es dennoch einige Unterschiede.

EDR identifiziert spürbare Veränderungen auf der Endpunktebene

EDR, die älteste der drei Erkennungstechnologien, ist eine Sicherheitslösung, die Endpunkte überwacht, um Angriffe auf sie zu entschärfen. Endpunkte sind Netzwerkgeräte wie PCs, Dateiserver, Smartphones und Internet-of-Things-Geräte (IoT), die eine Verbindung zum Netzwerk herstellen, um zu kommunizieren. Mit Hilfe eines Software-Agenten werden EDR-Malware und verdächtige Aktivitäten inventarisiert, die auf dem Endpunkt erkannt werden, wie zum Beispiel Änderungen der Registrierung und Manipulation von Schlüsseldateien.

Da Netzwerkumgebungen im Laufe der Zeit immer komplexer und Bedrohungsakteure und Malware immer ausgefeilter werden, steht EDR vor folgenden Herausforderungen:

  • Erforderliche EDR-Agenten können nicht auf allen Geräten oder in allen Umgebungen eingesetzt werden, was Lücken in der Sichtbarkeit hinterlässt und die Tür für Angriffe öffnet.

  • Einige gängige Anwendungen können EDR umgehen. Beispielsweise hat Microsoft SQL Server administrativen Zugriff auf das zugrunde liegende Windows-Betriebssystem, ohne dass eine der oben genannten EDR-überwachten Umgebungen verwendet wird, wodurch ein Angreifer die Endpunkt-Erkennung umgehen kann.

  • Malware und Angreifer werden immer raffinierter und sind in der Lage, Anti-Malware-Software auf dem Endpunkt zu erkennen oder Beweise für eine Kompromittierung des Endpunkts ganz zu verbergen.

EDR ist zwar ein notwendiger Bestandteil einer modernen Cybersicherheitsstrategie, kann aber nicht allein für eine umfassende Cybersicherheit eingesetzt werden.

XDR bietet einen ganzheitlichen Schutz

Viele halten XDR fälschlicherweise für ein Produkt oder die Weiterentwicklung von EDR. XDR ist jedoch eine Strategie, die aus einer Kombination von sicherheitsrelevanten Telemetriedaten in Verbindung mit High-Fidelity-Detektionen besteht, um eine schnellere und effektivere Reaktion auf Vorfälle zu ermöglichen.

Es gibt verschiedene Arten von XDR. Es gibt eine proprietäre XDR-Strategie, die sich auf einen einzigen Anbieter oder eine "All-in-One"-Plattform konzentriert, die Telemetriedaten von den verschiedenen Produkten eines Anbieters bereitstellt, zum Beispiel von dessen Firewalls, EDR, NDR und so weiter. Darüber hinaus gibt es eine offene XDR-Strategie, die aus mehreren Anbietern oder "Best-of-Breed"-Technologien oder -Tools besteht. Dabei werden die Telemetriedaten von verschiedenen Produkttypen (etwa Firewall, Intrusion Detection System [IDS], EDR und NDR) und Anbietern bereitgestellt.

Viele Unternehmen glauben, dass eine EDR-zentrierte XDR-Strategie ausreicht, aber das führt zu einem problematischen blinden Fleck. Wenn der Überblick über den EDR-Agenten verloren wird, gibt es keine andere Möglichkeit, eine potenzielle kritische Sicherheitsverletzung zu finden oder zu untersuchen. Mit dieser auf einen einzigen Punkt fokussierten Telemetrie-Strategie brauchen Angreifer nur eine Technologie oder eine Verteidigung zu umgehen, um in das Netzwerk einzudringen. Cybersicherheitsverantwortliche müssen Veränderungen in der Netzwerkaktivität erkennen und diese mit Endpunkt- und Cloud-Daten vergleichen. Hier können NDR-Lösungen den notwendigen Kontext liefern, um sich auf potenzielle Cyberbedrohungen zu konzentrieren.

Lesetipp: Die 11 besten XDR-Tools

NDR erkennt Bedrohungen auf Paketebene und reagiert in Echtzeit

Im Gegensatz zu EDR- oder XDR-Lösungen konzentriert sich NDR auf die Analyse von Paketdaten im Netzwerkverkehr, um potenzielle Cyberbedrohungen zu erkennen, und nicht auf Endpunkte oder andere Datenströme. Durch die Kombination von NDR mit anderen Lösungen wie Log-Analyse-Tools über Security Information and Event Management (SIEM) und EDR können Unternehmen blinde Flecken in ihren Netzwerken entschärfen. Zusammen erhöhen NDR-Lösungen die Sicherheitsfunktionen, indem sie Netzwerkkontext bereitstellen und Reaktionen auf Bedrohungen automatisieren, was eine bessere Zusammenarbeit zwischen Netzwerk- und IT-Sicherheitsteams und eine schnellere Schadensbegrenzung ermöglicht.

Im Zusammenhang mit NDR ist es jedoch wichtig, die Fähigkeiten von Advanced Plattformen zu unterscheiden, die Funktionen bieten, welche moderne Cybersicherheits-Stacks enthalten sollten. Bei der Bewertung verschiedener NDRs muss beispielsweise sichergestellt werden, dass sie eine zuverlässige Forensik mit langfristiger Datenspeicherung bieten. Zudem ist es entscheidend, dass sie sich nicht auf NetFlow-basierte Daten verlassen. Diese werden nämlich nicht in allen Umgebungen unterstützt und bieten Möglichkeiten für raffinierte Angriffe, die auf Tunneling beruhen.

Advanced NDR Systeme sollten sogar eine retrospektive Betrachtung des Netzwerkverkehrs ermöglichen, um das Verhalten von Bedrohungen vor, während und nach Angriffen zu untersuchen. Wenn also ein Indikator für eine Kompromittierung (Indicator of Compromise, IOC) entdeckt wird, können Sicherheitsteams die Kommunikation der kompromittierten Hosts untersuchen, laterale Bewegungen feststellen und ermitteln, ob eine Datenverletzung stattgefunden hat.

EDR, XDR, NDR: Gemeinsam sind sie stark

Zusammenfassend lässt sich sagen, dass EDRs darauf ausgelegt sind, Angriffe auf Endgeräte über angeschlossene Computer und Server zu überwachen und zu entschärfen. Allerdings nur dort, wo Agenten bereitgestellt werden können. Daher funktioniert EDR beispielsweise nicht in einigen Cloud-basierten Hosting-Umgebungen. Im Gegensatz dazu bieten XDRs einen einheitlicheren Plattformansatz für die Überwachung von Geräten und Datenströmen, verfügen aber oft nicht über den Netzwerkkontext, den NDRs durch Echtzeit-Paketüberwachung bieten.

Die meisten großen Unternehmen benötigen heute eine umfassendere Lösung, die Netzwerk- und Endpunktdaten mit anderen Sicherheitslösungen kombiniert, um einen robusteren Echtzeitüberblick über die sich ständig verändernde Bedrohungslandschaft zu erhalten.

Advanced NDR Lösungen liefern hier ein hohes Maß an Netzwerkintelligenz und ergänzen den restlichen Security-Stack wirkungsvoll. Auch lässt sich eine Advanced NDR Lösung neben SIEM-, auch in SOAR (Security Orchestration, Automation and Response) oder Firewall Plattformen integrieren, um eine sofortige Blockierung am Netzwerk-Perimeter zu veranlassen.

Schließlich ist es unmöglich, seine Spuren im Netzwerk zu verwischen, und Cyberangriffe werden immer raffinierter. Im Zusammenspiel bieten diese Systeme einen vollständigen Überblick über das Verhalten von Angreifern und Indikatoren für eine Gefährdung.

Advanced NDR leistet einen wichtigen Beitrag in der gesamten Cybersicherheitsstrategie und hilft das Betriebsrisiko zu minimieren. (jm)

Zur Startseite