Die IT und ihre TLAs, gemeint sind Abkürzungen, wie eben Three Letter Acronym zu Beginn dieses einleitenden Satzes. Weitere Abkürzungen findet man im Bereich der IT-Sicherheit, um deren Erklärung es nachfolgend gehen soll. Dieser Beitrag stellt den Auftakt zu einer mehrteiligen Serie dar, die sich in der Hauptsache mit EDR und XDR befasst.

Eines Vorweg: Der Einfachheit halber wird nachfolgend meist EDR/XDR quasi als Synonym für die gesamte *DR-Familie verwendet.

Während entsprechende Lösungen nicht nur kostspielig und komplex waren, ziehen einfach zu handhabende Varianten immer mehr in den KMU-Bereich ein. Sei es als eigenständige Varianten, aus der Cloud oder als Erweiterung zu einer bestehenden Antiviren-Software. So oder so: Das ist gut! Quasi “Closing the Gap” kann man hierzu sagen. Alles was bislang eine Firewall mit IDS/IPS sowie ein Virenschutz nicht sehen kann, sollte einem entsprechenden EDR/XDR auffallen. Aber was ist nun ein wie auch immer geartetes *DR?

EDR (Endpoint Detection and Response)

Wie der Name bereits vermuten lässt, geht es hierbei um das Endgerät, also zum Beispiel den PC, das Notebook oder die Server um dort fortlaufend die Vorgänge überwachen. Auf Basis von Muster-Erkennung und KI/ML lassen sich so verdächtige Aktivitäten, die möglicherweise auf Angriffe hindeuten, erkennen und entsprechend mindestens eine Alarmierung durchführen oder gar Abwehrmaßnahmen starten.

In Verbindung mit einem Virenschutz, wenn EDR und AV entsprechend integriert sind, spricht man zudem gerne von einer EPP (Endpoint Protection Platform).

NDR (Network Detection and Response)

Während sich EDR auf die Endgeräte konzentriert, so liegt der Schwerpunkt von NDR auf dem Netzwerk. So in der Art “wer spricht mit wem, darf er das auch, ist das gewollt oder stimmt etwas nicht”. In diesem Zusammenhang wird fortlaufend der Datenverkehr analysiert. Dies geht über eine reine Firewall und Erweiterungen wie IDS/IPS hinaus.

XDR (Extended Detection and Response)

Quasi die logische Erweiterung von EDR und NDR stellt XDR dar. Hierbei geht es nicht mehr nur um das Endgerät, sondern möglichst um die IT-sicherheitstechnische Überwachung der gesamten Infrastruktur, sowie die Bekämpfung von möglichen Angriffen. XDR kann eine einzelne Lösung sein wie auch das Zusammenspiel vieler verschiedener Sicherheitseinrichtungen, die miteinander integriert sind.

MDR (Managed Detection and Respone)

Wie aus dem Namen hervorgeht, handelt es sich hierbei um eine EDR- oder XDR-Variation, die von einem entsprechenden Anbieter verwaltet wird. Der Vorteil liegt darin, das man selbst keinen entsprechenden Server installieren oder aus der Cloud beziehen und kein eigenes Wissen oder Manpower aufgewendet werden muss. Der Anbieter kümmert sich und gibt Bescheid, wenn etwas auffällt bzw. je nach Vereinbarung währt Angriffe direkt ab.

SDR (Securepoint Detection and Response)

Hierbei handelt es sich um eine Hersteller-spezifische EDR-Variante, die sich aktuell in der Entwicklung befindet. Wer von den Lüneburger der Technologie-Partner ist (soviel sei verraten, dieser wurde gewechselt), ist aktuell nicht bekannt. Es wird sicherlich noch eine Weile dauern, bis es zunächst für die Partner etwas zum Testen und später für den produktiven Einsatz beim Kunden geben wird. Hierzu wird es zu gegebener Zeit einen Blog-Beitrag geben.

Allgemein

Bei allen Varianten geht es darum Anomalien festzustellen, die im schlimmsten Fall auf einen Angriff oder unbefugte Nutzung hindeuten. Je nach Lösung, deren Konfiguration oder im Fall von MDR der Vereinbarung, werden Gegenmaßnahmen ergriffen. Ebenfalls gemein haben alle Lösungen, das Ereignisse protokolliert werden. So lässt sich nicht nur Live sondern auch im Nachhinein feststellen woher beispielsweise eine Datei gekommen ist oder was ein Prozess auf einem System verändert hat.

Handlungsempfehlungen wie “Updates installieren” oder “Konfigurationen ändern” runden den Bereich je nach Lösung entsprechend ab. Ein weiterer Pluspunkt kann sein, wenn die verwendete Lösung auf die Einhaltung bestimmter Richtlinien, wie beispielsweise DSGVO/GDPR, prüfen kann. So kann zusätzlich eine ggf. vorgeschriebene Compliance überwacht und eingehalten werden.

Wie hat Dir der Artikel gefallen ?

(1 Stimmen, durchschnittlich 5,00 von 5 Sternen)

Loading...

Du möchtest den Blog unterstützen ?

Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.

Andy

Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.