Heute zählt eine aktive, schnelle und umfassende Gefahrenerkennung und -abwehr mehr denn je. Dafür setzen bereits viele Unternehmen unterschiedlichste „Threat Detection and Response“ Tools ein, die das Ziel haben, stattfindende Angriffsaktivitäten zeitnah aufzuspüren, zu melden und somit das Sicherheitsniveau maßgeblich zu erhöhen. EDR, XDR oder MDR gelten derzeit als relevante sicherheitstechnische Antworten auf aktuelle und zukünftige Bedrohungen.

EDR, XDR, MDR & Co. – Was brauche ich jetzt für meine IT Security?

Der Umgang mit Schwachstellen ist und bleibt laut BSI (Bundesamt für Sicherheit in der Informationstechnik) eine der größten Herausforderungen der Informationssicherheit. Neben raffiniert aufgebauter Malware müssen IT Security-Teams auch Social Engineering Angriffe, Advanced Persistent Threats und bösartige Skripte im Auge behalten. Die Zeiten, in denen der Einsatz von Antivirenlösungen für eine solide Absicherung der Unternehmensnetzwerke ausreichen, sind längst vorbei.

Was sind die Unterschiede zwischen EDR, XDR und MDR?

Hinter den drei Buchstaben von EDR, XDR oder MDR und verbergen sich „Detection and Response“-Modelle, die Cyberbedrohungen detektieren, also erkennen, und auf diese in unterschiedlicher Ausgestaltung reagieren. Die Lösungen und Services gelten aktuell als besonders relevant, um ein Unternehmensnetzwerk wirkungsvoll gegenüber Cyberangriffen abzusichern, bei denen klassische Sicherheitsmaßnahmen nicht mehr greifen. Welche Methoden sich hinter den Abkürzungen verbergen, wie die Lösungen und Services funktionieren und was Sie für eine ganzheitliche IT Security in Ihrem Unternehmen wirklich brauchen, erfahren Sie in diesem Beitrag.

Was leistet Endpoint Detection & Response (EDR)?

Der Begriff EDR steht für eine auf Endgeräte bezogene Detektion und Reaktion. Der Fokus von EDR-Lösungen liegt also auf der Erhöhung der Visibilität von Anomalien auf dem Endpunkt. Dadurch unterscheiden sich EDR-Systeme von anderen technischen Sicherheitslösungen wie Firewalls: Der Schutz findet direkt auf den Endgeräten und nicht an der Netzwerkgrenze statt. Endpunkte – also alle Geräte, die mit einem Netzwerk verbunden sind – stellen potenzielle Einfallstore für Cyberbedrohungen dar. In Zeiten des Internet of Things und einem stark gestiegenen Anteil von Mitarbeiterinnen und Mitarbeitern, die remote aus dem Homeoffice arbeiten, ist auch bei kleinen und mittleren Unternehmen die Zahl der Endgeräte in einem Unternehmensnetzwerk stark angestiegen. Mit Endpoint Detection & Response (EDR) werden die Aktivitäten der Endgeräte in Echtzeit erfasst, protokolliert und analysiert, um mögliche Angriffe frühzeitig zu erkennen. Die Möglichkeit der zentralisierten Bereitstellung von Artefakten bietet Analysten einen umfassenden Blick auf die gesamte Sicherheitslage des Unternehmens. Auch diese Reaktionen werden durch EDR-Systeme deutlich beschleunigt. Unterstützt wird die schnelle Reaktionsfähigkeit auf Sicherheitsvorfälle durch umfangreiche Automatisierungs-Möglichkeiten und die Verwendung einer API.

Identifizierte Auffälligkeiten werden von EDR-Lösungen an die IT-Sicherheitsteams gemeldet, die so zeitnah hierauf reagieren können. Genutzt wird EDR vor allem von IT-Sicherheitsadministratoren und der Gruppe der sogenannten “Threat Hunter” – dabei handelt es sich um speziell geschulte und erfahrene IT-Sicherheitsexperten, die Netzwerke mithilfe von Bedrohungsinformationen präventiv vor Angriffen schützen. Auf den Punkt gebracht kennzeichnet EDR die ersten Schritte hin zu einer automatisierten Bedrohungsabwehr, die von IT-Spezialisten kontrolliert wird.

fazitanfang

Eine moderne EDR-Lösung leistet zusammengefasst:

  • Kontinuierliche, automatische Überwachung von Endpunkten
  • Sammlung und Analyse von Daten
  • Aktive Bedrohungssuche
  • Erkennung und Analyse von Anomalien/Angriffsaktivitäten
  • Reporting
  • Bereitstellung von Maßnahmen zur Bekämpfung stattfindender Angriffe

fazitende

Was leistet Extended Detection & Response (XDR)?

Extended Detection & Response ist ein erweiterter Lösungsansatz, der die Prinzipien des EDR aufgreift und um Automatisierungsansätze und die Verwendung von KI ergänzt. XDR fokussiert sich nicht nur auf die Endpunkte im Unternehmen, sondern überwacht ganzheitlich den gesamten Datenverkehr sowie eingesetzte Applikationen innerhalb eines Netzwerks – dazu gehören E-Mail, Server, Endpoint, Netzwerk sowie Cloud Workloads. Durch den Einbezug der Aktivitätsdaten aller Risikoebenen der IT ermöglicht XDR eine mehrschichtige Verteidigungsstrategie über nur eine konsolidierte Konsole. Das Vorgehen: Eine XDR Security Plattform erfasst die kompletten Daten aus der IT-Infrastruktur und speichert diese in einer Datenbank. Die Daten werden automatisch analysiert, sortiert und priorisiert und der IT Security über ein zentrales Dashboard zur Verfügung gestellt. Den verantwortlichen Analysten werden so detaillierte und korrelierte Informationen zu Bedrohungen automatisiert zur Verfügung gestellt. Zudem liefert ihnen eine XDR-Lösung automatisierte Reaktionsempfehlungen.

Die Analyse der detektierten Angriffsaktivitäten ist jedoch komplex und aufgrund der diversen Parameter mit einer rein manuellen Auswertung kaum möglich – hier kommen unter anderem KI-Ansätze ins Spiel. Mit deren Unterstützung werden durch ein XDR-System so IT-Sicherheitsbedrohungen umfassend, zuverlässig und vor allem schnell erkannt.

Was kann XDR im Vergleich zu EDR mehr leisten?

Während eine EDR-Lösung auf die Erkennung und Abwehr von IT-Bedrohungen auf Endgeräten (Endpoints) spezialisiert ist, beherrschen XDR-Systeme (Extended Detection & Response) die Gefahrenerkennung und – abwehr in der gesamten IT-Infrastruktur eines Unternehmens. So entsteht ein ganzheitliches Bild der Bedrohungslage – anders als bei EDR-Systemen, die die IT-Sicherheit ausschließlich aus Sicht der Endpunkte betrachten.

Ein EDR-System kann demnach – abhängig von der Anforderung an die IT Security innerhalb des Unternehmens – ein guter Einstieg sein, um die Visibilität auf den Endpunkten zu erhöhen. Mit XDR wird dieser Ansatz auf die Ebenen des Netzwerkes, E-Mail, der Cloud sowie Container und Benutzer erweitert. Somit lassen sich über Korrelationen und maschinelles Lernen Angriffe bis zum Patient Zero zurückverfolgen. Für einen zuverlässigen Einsatz von XDR-Lösungen wird meist ein orchestriertes System aus dem Portfolio der Komponenten eines Herstellers benötigt.

fazitanfang

XDR leistet im Vergleich zu EDR maßgeblich:

  • Transparenz auf mehreren Sicherheitsebenen
  • Sammlung, Korrelation und Konsolidierung der Daten
  • Aufspüren von bekannten und unbekannten Bedrohungen auch auf lateraler Ebene
  • Dauerhaftes Monitoring
  • Automatisierte Vorselektion von Alerts

fazitende

Was leistet Managed Detection & Response (MDR)?

Der Begriff MDR steht für die verwaltete Erkennung und Reaktion von Angriffen. Hier steht nicht die Technologie im Vordergrund, sondern ein Service, der von spezialisierten IT Security Dienstleistern bereitgestellt wird. Als Managed Service erhalten Unternehmen durch MDR rund um die Uhr und an 365 Tagen im Jahr Sicherheitsleistungen von professionellen IT Security-Teams, die auf die Netzwerk-Überwachung, Analyse von detektierten IT-Sicherheitsvorfällen sowie die angemessene Reaktion darauf spezialisiert sind. So kann ein extern verantwortlicher Security Analyst bei Erkennung und Bestätigung einer realen Bedrohung umgehend Abwehrmaßnahmen ergreifen, einschließlich des Einsatzes eines Orchestrierungs-Tools (Security Orchestration Automation and Response, kurz: SOAR). Die meist modular aufgebauten MDR-Leistungen können je nach Bedarf eines Unternehmens in Anspruch genommen werden und entlasten interne IT-Sicherheitsteams von anfallenden Routineaufgaben oder der zeitintensiven Bearbeitung von Fehlalarmen. Ein weiterer, großer Vorteil bei Managed Detection & Response: Die Kunden erhalten qualitativ hochwertige Beratungsleistungen und einen wertvollen Wissenstransfer.

Wann ist MDR für mein Unternehmen sinnvoll?

Die vorangegangene Definition eines MDR-Services fasst bereits im Wesentlichen zusammen, warum sich viele Unternehmen für die Inanspruchnahme dieser Dienstleistung entscheiden: Kaum ein Unternehmen hat intern die passenden Tools sowie die notwendige Manpower an IT Security Experten, um notwendige Sicherheitsprogramme zu verwalten und sich proaktiv und umfassend gegen neue Cybersicherheitsbedrohungen zu schützen. Es bedarf im Idealfall einen Dienstleister, der je nach Kundenbedarf ganz oder teilweise IT-Sicherheitsbedrohungen detektiert, identifiziert und darauf reagiert – und zwar aufgrund seiner Expertise und Manpower so schnell, dass maßgeblicher Schaden vom betreffenden Unternehmen abgewendet oder zumindest stark reduziert wird.

Die Inanspruchnahme von MDR-Dienstleistern, die genau dieses leisten, wird in der IT Security Branche daher eine immer größere Rolle spielen. Hierfür greifen MDR-Experten in der Regel auf eine Kombination aus verschiedenen Host- und Network-Security Layer zurück. Im Zusammenspiel gewährleisten MDR-Services umfassende Analysen von Bedrohungsdaten, forensischen Daten und stellen dazu ihre menschliche Expertise zur Verfügung, um auf Bedrohungen schnell zu reagieren und diese zu beseitigen. Idealerweise sollten MDR-Dienstleister eine 24/7 Verfügbarkeit ihrer Services gewährleisten.

Zusammengefasst sind die 3 wichtigsten Argumente für MDR-Services nach Meinung unserer Cyber Defense Experten:

  • Proaktive Bedrohungserkennung und -abwehr durch Expertenteam

Je mehr Daten innerhalb eines Unternehmens generiert werden, desto komplexer und umfangreicher gestaltet sich die Erkennung von aktuellen Bedrohungen. Damit eine proaktive Bedrohungsanalyse und -abwehr zuverlässig funktioniert, müssen Angriffsszenarien und -alarme verstanden werden und außerdem das Know-How vorhanden sein, wie angemessen zu reagieren ist. Ein MDR-Service managt nicht nur die Vielzahl an Alarmmeldungen eines Unternehmens, sondern übernimmt auch deren professionelle Überprüfung bzw. Analyse. Denn nicht jeder Alarm stellt automatisch eine reale Bedrohung dar. Die methodische Analyse effektiver MDR-Services minimiert False Positives: Professionelle und modernste Analysetools gepaart mit der Cyber Defense Expertise des MDR-Dienstleisters sorgen dafür, dass Ereignisse korrekt interpretiert, bewertet und auf tatsächliche Bedrohungen angemessen reagiert wird. Sind diese Voraussetzungen in Ihrem Unternehmen nicht gegeben, sollten Sie sich an dieser Stelle auf MDR zurückgreifen.

  • Herausfordernde Suche nach spezialisierten Fachkräften entfällt

Unternehmen stehen vor der zunehmenden Herausforderung, IT-Sicherheitsfachkräfte für die Gewährleistung ihre Cyber Resilience zu finden. Versierte und erfahrene IT Security Experten sind schon lange Mangelware auf dem Arbeitsmarkt und diese Situation wird sich auch noch weiter verschärfen. Bei Managed Detection and Response (MDR) Services wird die IT-Sicherheitsüberwachung von externen Cyber Defense Experten gemanagt, eigene Ressourcen und Fachkräfte müssen hierfür nicht eingeplant werden.

  • Überwachung rund um die Uhr  

Um eine proaktive Bedrohungsanalyse und -abwehr wirkungsvoll sicherzustellen, müssen Unternehmensnetzwerke und -systeme rund um die Uhr und an 365 Tagen im Jahr kontinuierlich überwacht werden. Gerade in Unternehmen, die über ein nur kleines IT-Sicherheitsteam verfügen, birgt dies die Gefahr von Kapazitätsengpässen. Mit MDR lässt sich die 24/7 Überwachung auslagern. Die IT Security-Experten des Dienstleisters überwachen dann dauerhaft Ihre IT-Infrastruktur, identifizieren, analysieren und bearbeiten IT-Sicherheitsvorfälle und ergreifen im Ernstfall alle erforderlichen Maßnahmen, um die Bedrohung auszuschalten. Das eigene IT Security-Team hat dadurch genügend Freiraum, schnell und effizient auf akute Probleme zu reagieren.

Wie wähle ich den passenden MDR-Anbieter aus?

Bei der Auswahl des für Ihr Unternehmen geeigneten MDR-Anbieters sollten u.a. folgende Aspekte in den Entscheidungsprozess einbezogen werden:

  • Eigene Unternehmensgröße
  • Bereits vorhandene IT Sicherheitstools und -lösungen
  • Manpower und Expertise des eigenen IT Security-Teams
  • Unternehmensrichtlinien (Compliance-Vorschriften), die berücksichtigt werden müssen

fazitanfang

Fazit

Komplexe Bedrohungslagen erfordern effiziente Maßnahmen – das gilt auch und insbesondere für den Bereich der Cybersicherheit. Derzeit stehen Unternehmen weltweit im Visier von Cyberkriminellen, müssen sich mit Spionage genauso auseinandersetzen wie mit Erpressungsversuchen oder Social Engineering Angriffen. Entsprechend mehrschichtig bauen Unternehmen mittlerweile ihre Cyberabwehr auf – häufig mit mehreren parallel eingesetzten Tools, die jeweils ein spezielles Bedrohungsszenario abdecken. Dadurch werden Unmengen von Daten generiert, die anschließend ausgewertet werden müssen und dadurch Kapazitäten der IT-Sicherheitsteams über Gebühr in Anspruch nehmen. Als Managed Service erhalten Unternehmen durch MDR rund um die Uhr und an 365 Tagen im Jahr Sicherheitsleistungen von professionellen IT Security-Teams, die auf die Netzwerk-Überwachung, Analyse von detektierten IT-Sicherheitsvorfällen sowie die angemessene Reaktion darauf spezialisiert sind.

Möchten Sie mehr zum Thema Detection & Response erfahren? Kontaktieren Sie uns und vereinbaren Sie gerne mit unseren Experten einen Beratungstermin für Ihre individuelle Cyber Defense Strategie!

fazitende

SECUINFRA SIEM Experts Team · Autor:in

Managed SIEM & Co-Managed SIEM Experten

Das SECUINFRA SIEM Experts Team ist auf die Bereiche “Managed SIEM” und “Co-Managed SIEM” spezialisiert. Dabei führt das Team nicht nur die klassischen operativen SOC Tätigkeiten wie das Analysieren und Bewerten von SIEM Alarmen oder dem Threat Hunting durch, sondern konzeptioniert, implementiert und betreibt die SIEM-Umgebungen.

Das SECUINFRA SIEM Experts Team ist auf die Bereiche “Managed SIEM” und “Co-Managed SIEM” spezialisiert. Dabei führt das Team nicht nur die klassischen operativen SOC Tätigkeiten wie das Analysieren und Bewerten von SIEM Alarmen oder dem Threat Hunting durch, sondern konzeptioniert, implementiert und betreibt die SIEM-Umgebungen. Dazu gehören unter anderem die Wartung des SIEM-Systems, die Use Case Entwicklung und Weiterentwicklung inklusive Erstellen und Pflege von Audit-Logpolicies und Runbooks sowie die Überwachung der Log-Quellen-Anbindung. Als weiteren Mehrwert für unsere Kunden leiten unsere SIEM Experten erkannte Sicherheitsvorfälle nicht nur weiter, sondern unterstützen die Incident response Aktivitäten mit detaillierten Analyse-Informationen und Handlungsanweisungen.

Managed SIEM and Co-Managed SIEM experts

The SECUINFRA SIEM Experts Team is specialized in the areas of "Managed SIEM" and "Co-Managed SIEM". The team not only performs the classic operational SOC activities such as analyzing and evaluating SIEM alerts or threat hunting, but also designs, implements and operates the SIEM environments.

The SECUINFRA SIEM Experts Team is specialized in the areas of "Managed SIEM" and "Co-Managed SIEM". The team not only performs the classic operational SOC activities such as analyzing and evaluating SIEM alerts or threat hunting, but also designs, implements and operates the SIEM environments. This includes SIEM system maintenance, use case development and enhancement including creation and maintenance of audit log policies and runbooks as well as monitoring of log source connectivity. As a further added value for our customers, our SIEM experts not only forward detected security incidents, but also support the incident response activities with detailed analysis information and instructions for action.
Beitrag teilen auf: