Auf der Suche nach Systemen zur Erkennung von und zum Umgang mit Cyber-Bedrohungen und -Angriffen setzen Unternehmen auf Sicherheitslösungen wie Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) sowie Managed Detection and Response (MDR). Doch worin liegen die Unterschiede? Kudelski Security gibt einen kurzen Überblick.
Was ist EDR?
EDR ist das grundlegende Überwachungs- und Bedrohungserkennungs-Tool für Endpunkte wie beispielsweise Mobilgeräte, Computer oder auch virtuelle Maschinen und intelligente Lautsprecher. Im Mittelpunkt jeder Cybersicherheits-Strategie steht das Zusammenspiel zwischen Menschen, Prozessen und Technologien. EDR ist für den ‚Technologie‘-Teil ein beliebter Ausgangspunkt: Das System sammelt Daten von Endpunkten, die auf Bedrohungen und Anomalien analysiert werden, und bietet Sicherheitsintegrationen mit anderen Lösungen. Darüber hinaus dient EDR als Ausfallsicherung, wenn Angreifer erfolgreich Firewalls, Zugangskontrollen, herkömmliche Antivirensoftware und andere Abwehrmechanismen überwunden haben. Als einen Nachteil von EDR nennt Kudelski, dass die Systeme auf Endgeräte beschränkt sind und keinen Einblick in den Rest der IT-Infrastruktur bieten. Studien hätten jedoch gezeigt, dass rund 90 Prozent der erfolgreichen Cyberangriffe und sogar 70 Prozent der erfolgreichen Datenschutzverletzungen von Endpunkten ausgehen.
Was ist XDR?
Im Gegensatz zu EDR bieten Extended Detection and Response (XDR)-Systeme einen Einblick in das gesamte Unternehmensnetzwerk. Anstatt mehrere isolierte Überwachungssysteme für die verschiedenen Elemente des Netzwerks zu implementieren, ermöglicht XDR die Überwachung, Untersuchung und Reaktion auf Bedrohungen mit einer einzigen Software. Diese sammelt Daten aus dem gesamten Netzwerk, korreliert Daten, um automatisch Bedrohungen zu erkennen, und ordnet diese Bedrohungen nach ihrem Schweregrad ein. Die Software löst dann entweder automatisierte Workflows aus oder informiert Sicherheitsteams. Bei XDR kommen zudem künstliche Intelligenz (KI) und maschinelles Lernen (ML) ins Spiel. Zu den weiteren Effekten zählen u.a. eine größere Effizienz bei der Behebung und Priorisierung von Bedrohungen sowie Echtzeitüberwachung.
Was ist MDR?
MDR kombiniert EDR und SIEM (Security Information and Event Management), die als ‚as-a-Service‘ angeboten werden. Hier kommen also externe Sicherheitsexperten hinzu. Dadurch sollen Sicherheitsteams entlastet werden. Sogenannte ‚MDR der nächsten Generation‘ enthalten mittlerweile auch XDR-Funktionen.