XDR vs. EDR – Ansätze zur Cybersicherheit

In der Cybersicherheitsbranche findet eine Evolution statt / Ein Vergleich von Palo Alto Networks

[datensicherheit.de, 18.01.2021] In der Cybersicherheitsbranche findet eine Evolution statt. Während die Mitarbeiter immer verteilter agieren, vereinheitlicht sich die Sicherheitsarchitektur zu einer einzigen Sicherheitsanalysefunktion für die Erkennung und Reaktion auf Bedrohungen. Erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) steht im Mittelpunkt dieses Wandels und bietet einen zentralen Überblick über verschiedene Sicherheitsdatenquellen. Unternehmen, die in Erkennungs- und Reaktionstools investieren, sollten XDR in ihre Überlegungen einbeziehen. XDR bietet alle Funktionen der traditionellen Endpunkt-Erkennung und -Reaktion (Endpoint Detection and Reaction, EDR), jedoch mit einer überlegenen Erweiterbarkeit und Analytik, um die Anforderungen der Cybersicherheit in der Zukunft zu erfüllen.

XDR ist eine Erweiterung der EDR-Fähigkeiten

Die Geschichte von XDR beginnt mit herkömmlicher EDR, denn es ist die Grundlage, auf der XDR aufbaut. EDR-Funktionen sind eine wichtige Vorstufe zu einer XDR-Lösung, da es keine bessere Möglichkeit gibt, ein Eindringen zu erkennen, als die tatsächliche Zielumgebung zu überwachen, die angegriffen wird, und die von EDR gesammelten Telemetriedaten bilden die Grundlage für die Triage und Untersuchung. Eine XDR-Lösung erfordert erstklassige EDR-Funktionen. 10 bis 20 Prozent der Laptops und Workstations eines Unternehmens werden jedoch nicht verwaltet, sodass EDR, so großartig es auch sein mag, nur situativ nützlich ist. Wie verbessert XDR nun diese Situation?

Cloud-Workloads erfordern eine andere Art der Endpunktüberwachung

Unter einem Endpunkt versteht man traditionell ein Endbenutzer-Computing-Gerät wie z. B. einen Laptop oder eine Workstation. Leider wird dabei ein weiterer wichtiger Endpunkt ignoriert, wenn wir die Netzwerkkommunikation mit der mittelalterlichen Definition eines Liniensegments betrachten, das zwei Endpunkte verbindet. Mit der zunehmenden Verbreitung von Cloud-Technologien wie Containern und Serverless ist es unabdingbar, dass wir in der Lage sind, diese Endpunkte mit dem gleichen Vertrauen zu überwachen, das wir in unsere Endbenutzer-Computing-Umgebung haben. Dieser kritische nächste Schritt in Richtung eines vollwertigen XDR-Produkts ermöglicht eine einheitliche Sicht auf die Endpunkte innerhalb der Umgebung, unabhängig von der Systemfunktion.

Die Netzwerktelemetrie erfüllt in einer XDR-Umgebung drei wichtige Funktionen:

1. Erkennung der Kompromittierung von nicht verwalteten Assets.
2. Erkennung von Anomalien auf der Anwendungsebene, wobei einige Angriffe möglicherweise nie das System selbst gefährden.
3. Korrelieren von Ereignissen über Systeme hinweg, um eine Triage von Alarmen als einen einzigen Vorfall in der Umgebung zu ermöglichen.

Während die ersten beiden Ziele Vorteile einer Network Detection and Response (NDR)-Lösung sind, lässt sich das dritte Ziel nur durch den Einsatz von XDR erreichen, um nicht nur die Häufigkeit von Alarmen zu reduzieren, sondern auch die Zeit für deren Triage und Untersuchung.

Die Überlegenheit des XDR-Ansatzes

XDR erweitert alle Vorteile, die von einem herkömmlichen EDR-Produkt erwartet werden, indem es Telemetriedaten von Nicht-Endpunkt-Quellen zusammenfügt, um eine bessere Erkennung und ein umfassenderes Bild dessen, was in der Umgebung vor sich geht, für das Sicherheitsteam zu liefern. Unternehmen ohne XDR investieren viel Zeit und Geld, um herkömmliche EDR-Daten in ihr SIEM zu  senden, um die gleichen Vorteile zu erzielen, die ihnen eine XDR-Lösung von Haus aus bietet. Mit XDR können Unternehmen ihre Fähigkeiten zur Erkennung von Bedrohungen vereinheitlichen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2019
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr