XDR- und EDR-Lösungen im Vergleich – Gemeinsamkeiten und Unterschiede

Die Auswirkungen der Pandemie waren gewaltig und haben weltweit die Einführung moderner Cloud-basierter Endpunkt-Sicherheitslösungen zur Folge gehabt. Weil die Wirtschaft sich gegen Ransomware- und andere, komplexere Cyberangriffe schützen muss, investieren Unternehmen in neue Technologien. Daher steht zu erwarten, dass dieser Bedarf weiterhin rasant wachsen wird.

Der Schutz der Endpunkte (d. h. der Desktops, Mobilgeräte und Server) ist ein zentraler Baustein in der Sicherheitsstrategie jedes Unternehmens, unabhängig von der Größe. Der Endpunktschutz ist in der Regel eine Lösungskombination aus Endpoint Protection (EPP) sowie Endpoint Detection and Response (EDR). Viele Unternehmen haben ein solches Set-up übernommen, weil es die Entwicklungsstufe ist, die klassische On-premises-Antivirensoftware ablöst, und weil es die logische Reaktion auf die zunehmende Menge fortschrittlicher Bedrohungen ist, denen Unternehmen aller Größenordnungen ausgesetzt sind. Gartner prognostiziert: „Bis Ende 2025 werden über 60 % der Unternehmen klassische Antivirenprodukte durch kombinierte EPP- und EDR-Lösungen ersetzt haben, die Prävention durch Funktionen der Erkennung und Reaktion ergänzen" (1).

Und was ist mit Extended Detection and Response (XDR)? Ist dies die nächste Generation der Endgerätesicherheit, die früher oder später die EDR-EPP-Kombinationen ersetzen wird, so wie diese die klassischen Antivirenprogramme abgelöst haben? Oder ist es die gleiche Technologie wie früher, nur dass die Anbieter sie jetzt unter einem schicken neuen Akronym anbieten?

Was ist XDR?

Den Begriff XDR hat Nir Zuk auf einer Fachkonferenz 2018 in die Welt gesetzt. Die Idee dahinter ist, dass XDR die Erkennung und Reaktion über den Endpunkt hinaus erweitert und in EDR zusätzliche Komponenten wie sichere Cloud-basierte E-Mail-Gateways und IAM-Lösungen (Identitäts- und Zugriffsmanagement) integriert.

Die Nachfrage nach XDR wird durch den Bedarf an integrierten, ganzheitlichen Sicherheitslösungen getrieben. Marktdaten von F-Secure zufolge wünschen sich 82 % der Unternehmen eine All-in-one-Cybersicherheitslösung(2). Forrester teilt XDR-Lösungen in zwei Kategorien ein: hybride und native. Eine hybride XDR-Plattform integriert auch (Telemetrie-)Daten von Drittanbieterlösungen, während eine native XDR-Plattform nur mit Lösungen aus dem Portfolio desselben Anbieters arbeitet.(3).

In diesem Sinne ist XDR eigentlich keine neue Lösung, sondern eben die Zusammenführung bestehender Lösungen, die bisher nicht so bruchlos zusammengearbeitet haben, wie sie es hätten tun sollen. Die Idee ist, dass XDR verbesserte Erkennungsfähigkeiten mit einer konsolidierten Lösung möglich macht, die

  1. Telemetriedaten aus diversen Quellen korreliert,
  2. auf einen einzigen Data Lake zugreift (sodass Untersuchungen effizienter werden) und
  3. eine breitere Palette von Reaktionsmaßnahmen bietet als EDR allein.

Die Korrelation von Daten aus unterschiedlichen Quellen soll Sicherheitsexperten dabei unterstützen, Angriffsindikatoren (Indicators of Attack/IoA) bzw. Kompromittierungsindikatoren (Indicators of Compromise/IoC) miteinander zu verbinden, die allein wohl nicht auffällig wären; auf diese Weise wird es eher möglich, Angreifer abzufangen, die ansonsten unbemerkt geblieben wären.

An dieser Stelle ließe sich vielleicht einwenden, dass die Speicherung von Ereignissen aus mehreren Datenquellen eine SIEM-Aufgabe ist (Security Information and Event Management). SIEM-Lösungen sind für die Speicherung von Logs und die Erfüllung grundlegender Erkennungszwecke konzipiert, oft um Compliance-Anforderungen zu erfüllen – aber nicht für die Erkennung komplexer Angriffe. SIEM-Lösungen sind außerdem ressourcenintensiv und ihre Verwaltung erweist sich oft als schwierig, insbesondere wenn die Menge der Datenquellen sehr groß wird.

XDR, das ja auf EDR aufbaut, ist dagegen speziell für die Erkennung entwickelt und kann sofort Ergebnisse liefern, sobald es in einer neuen Umgebung gestartet wird. Darüber hinaus bringen XDR-Lösungen umfangreiche Reaktionsmöglichkeiten mit, während SIEM-Lösungen sich auf die Erkennung beschränken.

Schließlich ist noch zusagen, dass XDR-Lösungen zwar ein breiteres Spektrum an Telemetriedaten akzeptieren als EDR, aber nicht beliebige Quellen wie ein SIEM. Ein guter XDR-Ansatz konzentriert sich auf diejenigen Datenquellen, die einen klaren Beitrag zur Erkennung und Untersuchung ernsthafter Angriffe leisten können.

Kurzum: SIEM-Lösungen sind nicht dafür da, für bessere Erkennung und Reaktion zu sorgen, und XDR-Lösungen sind nicht als SIEM-Ersatz gedacht.

Was ist EDR?

EDR steht, wie erwähnt, für Endpoint Detection and Response, eine Technologie, die auf sämtlichen Endpunkten im Unternehmensnetzwerk eingesetzt wird. Einfach gesagt funktioniert die Erkennung so, dass EDR sicherheitsrelevante Ereignisse erfasst, die auf den Endpunkten stattfinden, etwa ausgeführte Prozesse oder Netzwerkverbindungen. Daraus ergibt sich ein Datensatz, den man auf bösartiges oder ungewöhnliches Verhalten analysieren kann, das dann mit Reaktionsfunktionen wie Prozessabbruch, Dateilöschung oder Netzwerksperrung gestoppt werden kann.

Im Gegensatz zu EPP, das eine präventive, automatisierte Schicht darstellt, die offensichtliche Schadaktivitäten abhalten soll, ist EDR die letzte Linie der Verteidigung; dort können menschliche Experten Angriffe, die durch die präventiven Kontrollen gekommen sind, erkennen und bereinigen, bevor sie wirklich Schaden anrichten.

Einen Überblick über die wichtigsten Erkennungs- und Reaktionsfunktionen von EDR und mehr dazu, warum letztlich jedes Unternehmen Endpoint Detection and Response braucht, finden Sie in unserem Beitrag „7 gute Gründe, die für eine EDR-Lösung sprechen“.

Gemeinsamkeiten und Unterschiede von EDR und XDR

Was die Gemeinsamkeiten betrifft, so verwenden sowohl EDR- als auch XDR-Lösungen Methoden der Verhaltens- und Bedrohungsanalyse, um fortschrittliche Bedrohungen zu erkennen und darauf zu reagieren, wobei die Endpunkte die Hauptquellen der Erkennung sind.

Dadurch können sie zentrale Sicherheitsaufgaben wahrnehmen, namentlich diese:

  • Echtzeit-Monitoring: Sowohl EDR- als auch XDR-Lösungen sammeln und analysieren kontinuierlich Daten, um ungewöhnliches oder bösartiges Verhalten zu erkennen. Weil sämtliche Daten in einen einzigen Data Lake einfließen, fällt Security-Analysten die Kontrolle ebenso leicht wie die Priorisierung nach Dringlichkeit.
  • Alarme und Reaktionen: Bei hoch entwickelten EDR- und XDR-Lösungen ist der Anteil von falsch positiven Alarmen minimal. Das beugt Alarmmüdigkeit vor und sorgt dafür, dass auf ernsthafte Bedrohungen schneller reagiert wird.
  • Proaktives Threat Hunting und Untersuchungen: Über die automatischen Warnmeldungen hinaus ermöglichen EDR- ebenso wie XDR-Lösungen Sicherheitsanalysten die Suche nach scheinbar unverdächtigen Angreiferaktivitäten, die (noch) keine Alarme auslösen.

Die Unterschiede zwischen den einzelnen EDR- und XDR-Lösungen sind jeweils eigene. In manchen Fällen hat man EDR einfach in XDR umbenannt, obwohl sich faktisch nichts geändert hat. Nur wenige XDR-Lösungen bieten einen echten Mehrwert gegenüber EDR, und darum ist es wichtig, genau zu prüfen, was eine bestimmte Lösung leistet.

Eine gute XDR-Lösung sollte in puncto Telemetriedatenquellen und Reaktionsintegration auf diejenigen Bereiche erweitert sein, auf die es wirklich ankommt. Einfach mehr Daten aus der Netzwerkinfrastruktur zu erfassen, führt nicht unbedingt zu einer besseren Erkennungsleistung. Was Sie brauchen, sind zum einen die geeigneten Telemetriedaten, anhand derer Sie die häufigsten Angriffe erkennen können, und zum anderen effektive Reaktionsfähigkeiten, mit denen Sie diese Angriffe stoppen können.

Untersuchungen haben gezeigt, dass 22 % aller Kompromittierungen auf Phishing zurückzuführen sind.(4) Anhand eines solchen Szenarios lässt sich gut zeigen, wie F-Secure mit einer XDR-Lösung, die EDR und E-Mail-Security kombiniert, Angriffe effektiv erkennen und darauf reagieren kann:

  1. EDR-Erkennung der Erstkompromittierung einer attackierten Workstation.
  2. Feststellung des Infektionsvektors: eine Phishing-Mail.
  3. Abgleich mit den gesammelten Daten aus der E-Mail-Sicherheitslösung zur Identifizierung weiterer Benutzer, die dieselbe Phishing-Mail erhalten, aber noch nicht geöffnet haben.
  4. Isolierung der E-Mail in Quarantäne, bevor es zu weiteren Infektionen kommt.

Dieses Beispiel zeigt, das es drei wesentliche Unterschiede zwischen EDR und XDR gibt:

  EDR XDR
Abdeckung Endpoint Detection and Response (EDR) nutzt Agenten oder Sensoren auf den Endpunkten. In der Regel arbeitet EDR nahtlos mit der Endpoint-Protection-Lösung (EPP) zusammen, die sich ebenfalls auf die Endpunkte konzentriert. XDR zielt auf einheitliche Fähigkeiten von Erkennung und Reaktion über vielfältige Telemetriequellen hinweg, nicht nur an den Endpunkten. In modernen IT-Umgebungen sind E-Mail und Identitäten die wertvollsten Datenquellen, die abgedeckt werden müssen.
Telemetriedaten EDR konzentriert sich ausschließlich auf die Endpunkte als die ergiebigsten Telemetriequellen. Andere Telemetriequellen bleiben unberücksichtigt. XDR ist auf Telemetriedaten aus vielfältigen Quellen ausgerichtet, die in einem Data Lake in der Cloud verfügbar gemacht und korreliert werden, sodass sich eine Analyseperspektive über den Tellerrand der Endpunkte hinaus ergibt.
Reaktionsreichweite EDR ermöglicht die Remote-Untersuchung und -Reaktion. Angriffe, die auf einem Endpunkt festgestellt werden und nicht schon durch EPP blockiert worden sind, lassen sich so stoppen. XDR hat das Ziel, die Reaktion möglichst über die Endpunkte hinaus auszuweiten und letztlich die Maßnahmen von Untersuchung und Reaktion zu automatisieren – wie im obigen Phishing-Beispiel.

Welche Detection-and-Response-Lösung ist die richtige für Sie?

Laut Cost of a Data Breach Report(5) des Ponemon Institutes erlebten 2020 zwei Drittel der Unternehmen einen Datensicherheitsvorfall, darunter auch Großkonzerne mit Milliardenumsatz und modernster Sicherheitstechnik. Also sollte man sich als Erstes vor Augen halten, dass man nicht gegen alle Arten von Cyberangriffen gefeit ist, wenn man einfach zusätzliche Tools oder Telemetriequellen hinzufügt. Im schlimmsten Fall bedeuten mehr Tools mehr Komplexität und lenken davon ab, was eigentlich oberste Priorität haben sollte: der Schutz Ihrer Umgebung.

Die Kombination von starken Präventivmaßnahmen und EDR senkt das Risiko einer Kompromittierung und hält deren Auswirkungen in Grenzen, weil sie eine schnelle Erkennung und Reaktion auf Angriffe möglich macht.

Wenn Sie bereits einen robusten Endpunktschutz und EDR-Funktionen haben und wenn Ihr Team (bzw. ein Service Provider) in der Lage ist, auf die Bedrohungen zu reagieren, die an den Endpunkten erkannt werden, dann ist das eine gute Ausgangsposition dafür, die Erkennung und Reaktion mit XDR zu erweitern.

Eine solche „extended“ Lösung für Erkennung und Reaktion (XDR) gibt Ihnen ein breiteres Leistungsspektrum als EDR allein, sodass Sie Ihr Unternehmen gegen zusätzliche Angriffsvektoren schützen und Eindringlinge effizienter abwehren können. Seien Sie aber vorsichtig bei Anbietern, die klassische On-premises-Sicherheitstechnologien (Firewalls, E-Mail-Security-Gateways etc.) mit EDR koppeln wollen und dies dann „XDR“ nennen. Diese Technologien sind nicht ohne Grund überholt, und jedes XDR, das darauf aufbaut, wird weit hinter den Vorteilen einer echten, integrierten, Cloud-nativen XDR-Lösung zurückbleiben.

Zuletzt sollten Sie nicht vergessen, wie wichtig das Sicherheitsbewusstsein in der Belegschaft ist. Keine Technologie kann Menschen durchgängig davor schützen, dass sie fortgeschrittenen Angriffen zum Opfer fallen, etwa einer präzise zugeschnittenen Phishing-Attacke. Die richtige Technologie hilft aber dabei, Angriffe schnell zu erkennen, darauf zu reagieren und so die Folgen für das Unternehmen zu minimieren.

Unser Beitrag „10 Punkte, die Sie bei der EDR-Auswahl beachten sollten“ listet die Kriterien auf, die für die Auswahl einer Lösung gelten – sie gelten nicht nur für EDR, sondern auch für XDR.

References

[1] Rustam Malik: Competitive Landscape: Endpoint Protection Platforms. Gartner 2021.
[2] F-Secure: 2020 B2B Market Research (Umfrage unter 2750 Influencern und Entscheidungsträgern in Sachen IT bzw. Netzwerksicherheit).
[3] Allie Mellen: Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR. Forrester 2021.
[4] Verizon: Data Breach Investigations Report. 2020.
[5] Ponemon Institue: Global Cost of a Data Breach Study. IBM 2020.