Cyberangriffe werden immer häufiger, raffinierter und kostspieliger, sodass eine umfassende Cybersicherheitsstrategie immer wichtiger wird. Ein zentraler Bestandteil jeder Sicherheitsstrategie ist ein Tool zur Erkennung und Reaktion, das Bedrohungen identifiziert, die klassische Sicherheitsmaßnahmen umgehen konnten. Hier stellen wir drei wesentliche Tools zur Erkennung und Reaktion vor:
- Endpunktbasierte Detektion und Reaktion (EDR)
- Verwaltete Erkennung und Reaktion (MDR)
- Erweiterte Erkennung und Reaktion (XDR)
Was ist endpunktbasierte Detektion und Reaktion (EDR)?
Die endpunktbasierte Detektion und Reaktion (EDR) ist eine Cybersicherheitslösung, die alle Endgeräteaktivitäten erfasst und mithilfe erweiterter Analysen einen Echtzeit-Überblick über den Zustand aller Endgeräte liefert, ungewöhnliche Aktivitäten erkennt, das IT-Sicherheitsteam auf Ereignisse aufmerksam macht und Korrekturvorschläge sowie Optionen zum Beheben und Stoppen eines laufenden Angriffs oder Eindämmen seiner Ausbreitung bereitstellt.
Lösungen für die endpunktbasierte Detektion und Reaktion bieten:
- Überwachung von Endgeräten und Protokollierung von Ereignissen
- Datensuche, Untersuchung und Bedrohungssuche
- Triagierung von Warnmeldungen oder Validierung verdächtiger Aktivitäten
- Erkennung verdächtiger Aktivitäten
- Datenanalysen
- Verwertbare Informationen zur Unterstützung der Reaktion
- Behebung
Was ist verwaltete Erkennung und Reaktion (MDR)?
Die verwaltete Erkennung und Reaktion (MDR) ist eine Endgerätesicherheitslösung, die „als Service“ bereitgestellt wird und Endgerätesicherheitstechnologien für Unternehmen (einschließlich EDR) verwaltet. Der Service umfasst in der Regel:
- Kontinuierliche Überwachung
- Bedrohungssuche
- Priorisierung von Bedrohungen und Warnungen
- Managed Services für die Untersuchung
- Geführte Reaktionen
- Verwaltete Korrektur
Der wesentliche Vorteil von MDR ist die schnelle Identifizierung und Eingrenzung der Auswirkungen von Bedrohungen, ohne dass dafür zusätzliches Personal erforderlich ist. Das ist in Anbetracht des globalen Mangels an hoch qualifizierten Cybersicherheitsexperten sowie der entsprechenden Kompetenzlücken besonders wichtig und betrifft insbesondere den Schutz cloudbasierter Systeme und Assets.
Was ist erweiterte Erkennung und Reaktion (XDR)?
Die erweiterte Erkennung und Reaktion (XDR) ist ein ganzheitlicher Ansatz, der die Erfassung und Analyse von Sicherheitsdaten sowie Workflows in der gesamten Sicherheitsumgebung eines Unternehmens optimiert, um bessere Einblicke in verborgene und hochentwickelte Bedrohungen zu geben und die Reaktion darauf zu vereinheitlichen.
Eine XDR-Plattform erfasst und korreliert Daten aus der gesamten Infrastruktur, sodass Bedrohungen im gesamten Unternehmen besser sichtbar sind, Sicherheitsabläufe beschleunigt werden und das Risiko reduziert wird. Die XDR-Lösung analysiert, priorisiert und optimiert diese Daten, damit sie Sicherheitsteams über eine zentrale konsolidierte Konsole in einem normalisierten Format zur Verfügung gestellt werden können.
XDR-Plattformen bieten in der Regel:
- Breitgefächerte Sicherheitstelemetrie für mehrere Domänen
- Bedrohungsorientierte Ereignisanalyse
- Bedrohungserkennung und Priorisierung der Datengenauigkeit
- Datensuche, Untersuchung und Bedrohungssuche mit Telemetrie für mehrere Domänen
- Reaktion zur Eindämmung und Behebung von Bedrohungen
Warum benötigen Unternehmen einen XDR-Service?
Ältere Lösungen zur Bedrohungserkennung legen den Schwerpunkt auf jeweils eine Schicht der Sicherheitsarchitektur. EDR-Lösungen überwachen beispielsweise Endgeräte, während Lösungen zur Netzwerkverkehrsanalyse ausschließlich den Netzwerkverkehr abdecken. Daten aus diesen Tools lassen sich selten integrieren oder zusammenführen, sodass Unternehmen keinen umfassenden und präzisen Überblick über die gesamte Umgebung erhalten.
Wenn Unternehmen mehrere einzelne Sicherheitsprodukte kaufen, um eine mehrschichtige Sicherheitsarchitektur aufzubauen, entsteht häufig ein komplexer Sicherheits-Stack, der viele Warnungen ohne angemessenen Kontext liefert. Und je mehr Tools hinzugefügt werden, desto schwieriger gestaltet sich die Durchführung von Untersuchungen. Das ist einer der Gründe, warum die Identifizierung einer Kompromittierung bei mehrschichtigen Sicherheitsmodellen inzwischen länger dauert.
Außerdem führen einzelne Sicherheitstools oftmals zu Silos und Lücken in der Sicherheitsarchitektur. Je komplizierter die Sicherheitssilos sind, desto größer ist die Wahrscheinlichkeit, dass eine Sicherheitslücke entsteht und bis zu einer Kompromittierung unbemerkt bleibt.
Mit einer XDR-Lösung können Sie diese und andere Probleme bewältigen, die für mehrschichtige Verteidigungsstrategien typisch sind. Mit XDR werden isolierte Sicherheitstools koordiniert und ihr Mehrwert gesteigert, da die Sicherheitsanalyse, die Untersuchung und die Behebung in einer konsolidierten Konsole einheitlich zusammengefasst und optimiert werden. Folglich trägt XDR zur erheblichen Verbesserung der Einblicke in Bedrohungen, Beschleunigung von Sicherheitsabläufen und Senkung der Gesamtbetriebskosten bei. Zudem wird damit die ständige Belastung der Sicherheitsteams verringert.
EDR, XDR und MDR im Vergleich
Eine EDR-Lösung ist das grundlegende Endgerätetool zur Überwachung und Bedrohungserkennung sowie die Basis für jede Cybersicherheitsstrategie. Eine EDR-Lösung erfasst Informationen mithilfe von Software-Agenten oder Sensoren, die auf Endgeräten installiert sind. Diese Informationen werden zur Analyse an ein zentrales Repository gesendet.
MDR ist im Grunde eine EDR-Lösung, die als Service gekauft wird. Dieser Service verwaltet die Endgerätesicherheit und konzentriert sich auf die Eindämmung, Eliminierung und Behebung von Bedrohungen mit einem dedizierten, erfahrenen Sicherheitsteam.
Mit der XDR-Lösung werden die EDR-Funktionen auf Systeme jenseits von Endgeräten ausgeweitet, sodass die gesamte Infrastruktur abgedeckt wird. XDR optimiert die Erfassung und Analyse von Sicherheitsdaten sowie Workflows bei allen Sicherheitstechnologien des Unternehmens, um einen besseren Überblick über verborgene und hochentwickelte Bedrohungen zu ermöglichen und die Reaktionen zu vereinheitlichen. Wenn XDR als verwaltete Lösung erworben wird, sollte der Zugang zu erfahrenen Experten für Threat Hunting und Bedrohungsanalysen im Produktumfang enthalten sein.
EDR | MDR | XDR | |
---|---|---|---|
Funktionen | Überwacht Endgeräte, um Bedrohungen zu erkennen, die Virenschutzlösungen und andere Präventionstechniken umgehen konnten | EDR „als Service“ Bietet die gleichen Funktionen wie EDR und zusätzlich Managed Services zur Überwachung, Eindämmung, Eliminierung und Behebung von Bedrohungen – rund um die Uhr und an sieben Tagen pro Woche | Umfassende bedrohungsorientierte Sicherheitslösung, die Daten aus verschiedenen bestehenden Sicherheitstools integriert, um die Transparenz zu verbessern und Risiken zu reduzieren |
Komponenten |
| EDR-Funktionen plus Managed Services rund um die Uhr und an sieben Tagen pro Woche, die Folgendes umfassen:
| EDR-Funktionen plus:
|
KomponentenMethoden, Tools und Technologien | Softwarebasierte EDR-Lösung | Endgeräteschutz-Plattform (EPP) |
|
Sichtbarkeit von Bedrohungen | Endgeräte | Endgeräte | Alle Endgeräte, Benutzer, Netzwerk-Assets, Cloud-Workloads, E-Mails, Daten und andere Assets |
Schutz | + EDR-Tools sind eine zentrale Komponente jeder Cybersicherheitsstrategie und die Basis aller erweiterten Cyberlösungen und -funktionen. | ++ MDR kombiniert die Funktionen zur Echtzeit-Überwachung und Reaktion einer EDR-Lösung mit hoch qualifizierten Cybersicherheitsexperten, die proaktive Sicherheitsaktionen wie die Bedrohungssuche, Bedrohungsanalyse und verwaltete Reaktion übernehmen. | +++ XDR ist der nächste Schritt zu bedrohungsorientierter Sicherheitsprävention und bietet den stärksten Schutz mit EDR und einer starken Integration von Tools und Systemen in der gesamten Netzwerkarchitektur, um Silos und Lücken zu beseitigen, die das Unternehmen gefährden. |
Welche Lösung ist für mein Unternehmen am besten geeignet?
Unternehmen haben ganz individuelle Anforderungen. Sicherheit ist unerlässlich, aber es ist wichtig, ein Sicherheitstool zu wählen, das basierend auf dem Risikoprofil des Unternehmens die richtige Abdeckung bietet.
Wählen Sie EDR, wenn Folgendes auf Ihr Unternehmen zutrifft:
- Möchte die Endgerätesicherheit über Virenschutz der nächsten Generation hinaus verbessern
- Hat ein IT-Sicherheitsteam, das basierend auf den Warnungen und Empfehlungen der EDR-Lösung handeln kann
- Befindet sich beim Aufbau einer umfassenden Cybersicherheitsstrategie in der Anfangsphase und möchte die Basis für eine skalierbare Sicherheitsarchitektur schaffen
Wählen Sie MDR, wenn Folgendes auf Ihr Unternehmen zutrifft:
- Hat kein ausgereiftes Programm zur Erkennung und Reaktion, mit dem hochentwickelte Bedrohungen schnell mithilfe der vorhandenen Tools oder Ressourcen behoben werden können
- Möchte neue Kompetenzen nutzen und den Reifegrad verbessern, ohne weiteres Personal einzustellen
- Hat Schwierigkeiten beim Schließen von Kompetenzlücken innerhalb des IT-Teams oder Gewinnen hochqualifizierter, spezialisierter Mitarbeiter
- Wünscht sich Schutz, bei dem die neuesten Bedrohungen für Unternehmen berücksichtigt werden
Wählen Sie XDR, wenn Folgendes auf Ihr Unternehmen zutrifft:
- Möchte die Erkennung hochentwickelter Bedrohungen verbessern
- Möchte die Bedrohungsanalyse, Untersuchung und Suche für mehrere Domänen mit einer einzigen Konsole beschleunigen
- Hat Probleme durch Informationsüberlastung in einer unzusammenhängenden oder isolierten Sicherheitsarchitektur
- Möchte die Reaktionszeit verbessern
- Möchte die Investitionsrendite für alle Sicherheitstools verbessern