Wodurch unterscheidet sich XDR von EDR?
Die Evolution von Cybersicherheitslösungen ist offensichtlich: Wo vor wenigen Jahren noch grundlegende Technologien zur Untersuchung und Erkennung zum Einsatz kamen (und ausreichten), trumpfen nun hochentwickelte Lösungen zur Verhaltensanalyse mit Echtzeiterkennung und -reaktion. Wirklich effektiv sind diese jedoch nur, wenn sie auch vor anormalem Verhalten schützen, das erst auf den zweiten Blick – nach zusätzlicher Korrelation und Kontextualisierung – sichtbar wird. Erst nach eingehender Untersuchung zeigt sich meist das ganze Bild potenzieller Gefahren, auf die so schnell wie möglich reagiert werden sollte.
Der Begriff „Detection and Response“ (Erkennung und Reaktion) umfasst ganz allgemein Technologien, die darauf ausgelegt sind, eine höhere Visualisierung, bessere Identifizierung und effizientere Reaktion auf Bedrohungen über eine große Angriffsfläche hinweg zu ermöglichen. Da EDR (Endpoint Detection and Response) und XDR (eXtended Detection and Response) ähnlich klingen, kann es leicht zu Verwechslungen kommen.
EDR vs. XDR
Der Hauptunterschied zwischen beiden Konzepten besteht darin, dass XDR – als natürliche Weiterentwicklung von EDR – über weitaus umfangreichere Möglichkeiten verfügt. Bei genauerem Hinsehen werden wichtige Unterschiede deutlich, auf die im Folgenden näher eingegangen wird:
Datenerfassung:
EDR sammelt Telemetriedaten zu bestimmten Typen und Volumina von Aktivitäten an einem Endpoint und hinterfragt zudem dessen Kommunikation innerhalb und außerhalb einer Organisation sowie ein- und ausgehende Dateien. XDR greift auf zusätzliche Quellen zurück und ergänzt die Telemetrie aus der EDR-Lösung durch den Abgleich mit weiteren Daten aus dem Netzwerk oder im Hinblick auf Identitätsaktivität. All diese Daten werden korreliert und in einem breiteren Kontext analysiert.
Datenanalyse:
Im Fall von EDR werden Endpunktdaten an eine EDR-Analyse-Engine gesendet, die anormales Verhalten erkennt und dieses mit Angriffsindikatoren (Indicators of Attack, IoA) in Verbindung setzt. Diese Zuordnung lässt Rückschlüsse auf bereits bekannte Typen von böswilligen Aktivitäten zu. Durch das Sammeln weiterer Umgebungsdaten ist XDR darüber hinaus in der Lage, die Art und Quelle jeder erkannten böswilligen Aktivität verlässlich zu identifizieren. So können Fehlalarme („False Positives“) reduziert und die Zuverlässigkeit sowie Genauigkeit erhöht werden.
Threat Detection and Response:
Die EDR-Technologie verwendet künstliche Intelligenz (KI), maschinelles Lernen (ML) und erweiterte Dateianalysen, um das Geräteverhalten zu analysieren und fortschrittliche Bedrohungen inklusive Malware zu identifizieren. Die Lösung verfügt zudem über automatische Reaktionsmechanismen. Zu diesen zählen Aktionen wie das Senden von Sicherheitswarnungen, das Isolieren des betroffenen Endpunkts vom Netzwerk und das Entfernen oder Beenden potenzieller Bedrohungen. Die XDR-Technologie generiert durch domänenübergreifende und korrelierte Überwachung über unterschiedliche Sicherheitsprodukte hinweg einen Bedrohungskontext. Aktivitäten werden entsprechend bewertet und bösartige Szenarien anhand mannigfaltiger Indikatoren (Indicators of Compromise, IoC) erkannt. Dadurch verkürzt sich die mittlere Zeit bis zur Erkennung (Mean Time To Detection – MTTD) und Auswirkungen, Schweregrad sowie Umfang der jeweiligen Bedrohung können schnell eingedämmt werden. Zudem ermöglicht XDR eine domänenübergreifende, orchestrierte reaktive Herangehensweise, wie z. B. eine gemeinsame Endpoint- und Netzwerkreaktion, bei der Endpoints isoliert und die mit dem Vorfall verbundenen externen IP-Adressen blockiert werden.
EDR oder XDR: Welche Lösung für welches Bedürfnis?
Obwohl es hinsichtlich der Anwendung zwischen EDR und XDR unverkennbare Schnittmengen gibt, handelt es sich um unterschiedliche Lösungen, die spezifische Anforderungen erfüllen. Wenn Managed Service Provider erwägen, eine dieser Lösungen für ihre Kunden einzuführen oder zu empfehlen, sollten sie die aktuelle Situation auf Kundenseite bewerten, um genau die Option anzubieten zu können, die den jeweiligen Bedürfnissen am besten entspricht. Folgende Aspekte spielen in dem Zusammenhang eine Rolle:
-
IT-Infrastruktur: Der erste Schritt besteht darin, zu bestimmen, welche Assets geschützt werden müssen. Die XDR-Lösung ist ideal für mittelständische Unternehmen mit wenigen Mitarbeitern und einer begrenzten Anzahl an automatisierten Tools. Solche Unternehmen verwenden viel Zeit darauf, Bedrohungsmeldungen zu sortieren, Warnungen zu verwalten, entsprechende Informationen per Zugriff über verschiedene Konsolen zusammenzutragen und in den entsprechenden Kontext zu setzen, um zu wissen, wie sie im Fall einer potenziellen Bedrohung reagieren müssen.
-
Erforderliches Sicherheits-Know-how: EDR- und XDR-Lösungen erfordern ein gewisses Maß an Fachwissen, um sie effektiv einsetzen und verwalten zu können. Es zählen Erfahrungen im Hinblick auf IT-Sicherheit im Allgemeinen und Threat Hunting im Speziellen. Wenn ein Unternehmen auf Managed Services setzt, ist diese fachliche Grundlage bei der Implementierung möglicherweise nicht ganz so relevant. Bei der Abgabe einer Empfehlung gilt es, das Bewusstsein für Cyberangriffe, die Anzahl der Mitarbeiter und die auf Kundenseite implementierte Infrastruktur genauer ins Kalkül zu ziehen.
Anhand dieser Schlüsselkriterien können IT-Systemhäuser Organisationen hinsichtlich der Implementierung von Lösungen und Dienstleistungen gezielt an die Hand nehmen. WatchGuard stellt seinen Partnern mit WatchGuard ThreatSync sowohl Endpoint Detection and Response (EDR)- als auch XDR-Tools zur Verfügung, die diese entweder im Zuge der Bereitstellung von Mehrwertdiensten einsetzen oder Endkunden direkt empfehlen können. Entscheidend bei ThreatSync ist neben dem hohen Automatisierungsgrad vor allem, dass sich die Erkennung und Reaktion einfach über eine Vielzahl von Security-Lösungen hinweg orchestrieren lässt.
Der Blogbeitrag XDR: Hintergründe, Funktionsweise und Vorteile liefert weitere Informationen zum Thema.