EPP, EDR, NDR, XDR – Hilfe!

Das Buzzword-Karussell in der IT Security dreht sich seit einiger Zeit wieder einmal kräftig. Zeit, dass wir die Begrifflichkeiten klären und den eigentlichen Sinn hinter all den Abkürzungen verstehen und die Lösungen voneinander abgrenzen.

Was ist EPP?

Eine Endpoint Protection Platform ist eine integrierte Security-Lösung, die Bedrohungen auf Geräte-Ebene erkennen und verhindern kann. Üblicherweise werden dabei Funktionen wie AntiVirus, AntiMalware, Data Encryption, Personal Firewalls, Intrusion Prevention Systems und DLP (Data Loss Prevention) abgebildet.

Die meisten EPP-Lösungen sind zu einem großen Teil präventiv und verhindern Angriffe oder Bedrohungen bevor sie Schaden anrichten können. Während die klassischen Lösungen größtenteils signaturbasiert arbeiten, bringen moderne Ansätze weitere Funktionalitäten mit sich. Dazu gehören beispielsweise Machine Learning, Artificial Intelligence oder Exploit Prevention Techniques.

Was ist EDR?

Endpoint Detection and Response kombiniert die bisherigen EPP-Lösungen um Echtzeit-Anomalie-Erkennung, forensische Analyse und Wiederherstellungsoptionen für Endgeräte. Über die Protokollierung von Maschinen- und Nutzerdaten auf den Endgeräten können somit auch fortgeschrittene Angriffe (APT Advanced Persistent Threat) erkannt werden und die Ursache identifiziert werden (Root Cause Analysis). Es geht im Kern darum, fortgeschrittene Angriffe zu erkennen, die durch reine punktuelle Analyse nicht erfasst werden können, Patient Null zu finden und einen solchen Angriff in Zukunft zu verhindern.

Was ist NDR?

Network Detection and Response verfolgt das gleiche Ziel wie EDR, allerdings arbeitet es nicht mit Agenten auf Endsystemen, sondern ist im Netzwerk platziert. Hiermit werden Lücken zum Beispiel bei nicht verwalteten Geräten geschlossen. Klassische Beispiele sind hierbei BYOD und/oder zertifizierte Systeme im Healthcare- und Produktionsbereich.

Was ist XDR?

Extended Detection and Response kombiniert EDR und NDR zu einer vereinheitlichten Lösung. Hier können Daten aus dem Netzwerk und von den Endgeräten zu einer Gesamtsicht kombiniert werden.

Zusammenfassung

Obwohl diese Begriffe zunächst einmal verwirrend klingen, ist die Praxis relativ „straight forward“. Eine EDR-Lösung kann die meistens vorhandene EPP-Lösung sinnvoll erweitern und den Reifegrad der IT Security erhöhen. Das präventive Verhindern von Angriffen ist der erste Schritt für den „Fall der Fälle“ und mit dem richtigen Toolset ausgerüstet zu sein der Zweite.

Dies lässt sich dann bei zunehmendem Reifegrad mit der Netzwerksicht (NDR, XDR) kombinieren und als Königsdisziplin mit weiteren Daten in einem SIEM-System zu einer Gesamtübersicht aller sicherheitsrelevanten Vorfälle und Informationen bündeln.

Die Erfahrung in der Praxis zeigt, dass der rein präventive Ansatz nicht zu 100 Prozent funktioniert. Der Hintergrund ist der, dass nicht alle Geräte mit Agents ausgestattet werden können, versehentliche Fehlkonfigurationen bestehen oder es sich um komplexe, zielgerichtete Angriffe (APTs) handelt. Wenn ein Angreifer es dann doch ins Unternehmensnetzwerk geschafft hat, können EDR/XDR-Systeme helfen, die Ursache zu finden und die Zeit bis zur Schließung der Sicherheitslücke drastisch zu verkürzen.

Folgender Artikel könnte Sie ebenfalls interessieren: Endpoint-driven security: Vom EDR zum SIEM zum SOC

 

< Zurück zur Übersicht
Home | Insights | Blog | EPP, EDR, NDR, XDR – Hilfe!