EDR und NDR im Vergleich
Bedrohungsabwehr muss Netzwerk und Endpunkte umfassen
Der massive Anstieg von Angriffen auf remote Mitarbeiter hat das Security-Design der Firmen strukturell verändert. Allerdings zeigt sich, dass der alleinige Einsatz von Endpoint-Security-Lösungen zu kurz greift.
Der Artikel liefert unter anderem Antworten auf folgende Fragen:
- Was sind die Stärken und Schwächen von Endpoint Detection and Response (EDR)?
- Was sind die Stärken und Schwächen von Network Detection and Response (NDR)?
- Wie lassen sich EDR und NDR kombinieren?
In Rekordzeit haben Cyberkriminelle Wege gefunden, die neuen Unternehmenswelt aus Hybrid Work und Cloud-Diensten für sich zu nutzen. Der massive Anstieg von Angriffen auf remote Mitarbeiter hat das Security-Design der Firmen strukturell verändert. Anstelle klassischer „Protect & Defend“-Strategien werden heute „Detect & Respond“-Ansätze präferiert, wobei für viele Firmen der Schutz der Endgeräte Priorität besitzt. Allerdings zeigt sich, dass der alleinige Einsatz von Endpoint-Security-Lösungen zu kurz greift. Angesichts der heutigen Gefahrenlage muss die Bedrohungsabwehr den Schutz von Netzwerk und Endpunkten auf geschickte Weise kombinieren.
Aufgrund der Auflösung des Netzwerkperimeters benötigen Unternehmen Systeme für Endpoint Detection and Response (EDR). Diese umfassen sowohl herkömmliche Antivirus-Funktionen, die häufig signaturbasiert sind, als auch eine vollständige Aufzeichnung und algorithmische Überwachung der Endgeräte-Aktivität. Dies ermöglicht eine Reaktion auf aktuelle Angriffe, wobei infizierte Systeme über Kernel-Treiber aus dem Netzwerk isoliert werden. Einige Lösungen erlauben dabei eine vollständige Remote-Administration.
Die Stärken und Schwächen von EDR
Unabhängig vom Aufenthaltsort des Endgeräts bieten EDR-Systeme eine hohe Transparenz über alle Vorgänge bis hinab auf Prozess- und Nutzerebene. Das ermöglicht eine umfassende Kontrolle sowohl innerhalb als auch außerhalb des Firmennetzwerks. EDR-Lösungen besitzen administrative Rechte auf dem Endgerät und können daher direkt und automatisch aktive Angriffe abwehren, wenn diese bekannte Muster aufweisen. Da sie zusätzlich alle Aktivitäten auf dem Endpunkt kontinuierlich aufzeichnen, erlaubt dies Security-Experten, Attacken durch gezielte Suchen aufzuspüren und retrospektiv zu verfolgen.
Dieses detailgenaue Monitoring ermöglicht jedoch eine vollständige Überwachung der Nutzeraktivität und führt möglicherweise zu Herausforderungen beim Datenschutz. Gerade beim Einsatz privater Geräte im Firmennetz (Bring Your Own Device) ist die Compliance kaum zu gewährleisten, so dass sie häufig ungeschützt bleiben. Ein weiterer Nachteil ist die notwendige Installation von Software-Agenten auf dem Endgerät. Diese Programme sind meist nur mit aktuellen Windows- und macOS-Systemen kompatibel. Linux-basierte Endpoints, IoT-Devices oder Spezialgeräte, etwa für Logistik und Einzelhandel, bleiben dann außen vor.
Gleichzeitig sind EDR-Produkte für Cyberkriminelle sichtbar. Daher können diese relativ einfach Prozesse zu ihrer Umgehung entwickeln und einsetzen. Viele gehen sogar noch weiter und greifen die EDR-Lösungen selbst an, da sie weitgehende Rechte auf den Endgeräten besitzen. Denn mit der Kontrolle über das EDR benötigt der Angreifer keine Exploits und keine Seitwärtsbewegung mehr, da er bereits alle notwendigen Rechte auf den Geräten besitzt. Das bedeutet, dass Unternehmen ihre EDR-Produkte wiederum mit einer weiteren Security-Lösung schützen sollten.
Die Vor- und Nachteile von NDR
Dies kann mit einer Lösung für Network Detection and Response (NDR) erfolgen. Sie nutzt Sensoren in- und außerhalb des Firmennetzes, um unabhängig vom Endgerät dessen Kommunikation zu überwachen, zu prüfen und auf einen aktuellen Angriff zu reagieren. Je nach Produkt reicht es aus, diese Sensoren an einigen zentralen Knotenpunkten des Netzwerks einzurichten und ihnen den Datenverkehr weiterzuleiten. Bei einer geringen Anzahl von Sensoren ist die Einrichtung relativ schnell und mit wenig Aufwand möglich – im Gegensatz zu EDR-Lösungen, deren Client auf jedem Endgerät zu installieren ist.
Die Sensoren erkennen Angriffe im Netzwerk auf Basis von Signaturen sowie Abweichungen vom normalen Verhalten. Dabei erfasst die NDR-Lösung jedes angeschlossene Endgerät, vom PC und Smartphone über den Drucker und die Videokonferenzanlage bis zum IoT-Device und den Handscanner. Dies ist ein deutlicher Vorteil im Vergleich zu EDR, das auf bestimmte Gerätetypen beschränkt bleibt. So erkennt NDR mögliche Angriffe auf allen Endgeräten und im gesamten Netzwerk, allerdings meist nicht in der Detailgenauigkeit und -tiefe wie EDR-Lösungen.
Zudem sind Netzwerk-basierte Lösungen oft widerstandsfähiger gegen direkte Angriffe und Umgehungen, da sie für Angreifer nicht sichtbar sind. Sie glauben daher nach der Manipulation oder Umgehung des EDR in der Regel, dass sie sich nun ungestört im Netzwerk bewegen können. Eine NDR-Lösung informiert dann als zweite Schutzebene die Security-Verantwortlichen. Dass NDR-Lösungen für Hacker weitgehend unsichtbar bleiben, liegt an der passiven Erkennung von Angriffen. Der Datenverkehr lässt sich sogar über SPAN- oder TAP-Ports auf den Core-Switches spiegeln, um komplett passiv zu bleiben. So ist die Überwachung für einen Angreifer praktisch nicht zu erkennen, während der EDR-Agent auf dem Endgerät sichtbar bleibt.
Als Nachteil der passiven Erkennung gilt jedoch, dass sich Datenströme nicht direkt blockieren lassen. Dies können Unternehmen nur über eine Integration mit Firewalls oder ähnlichen Lösungen umsetzen. Eine aktive Reaktion gelingt, wenn sich die Sensoren direkt im Traffic-Weg befinden. Allerdings sind sie dann für Cyberkriminelle sichtbar und damit werden die Sensoren zu einem weiteren Single Point of Failure. Die meisten Produkte bieten derzeit beide Möglichkeiten an und es ist im Einzelfall zu entscheiden, welche Variante an welcher Stelle optimal ist.
Die Kombination der Ansätze
Der Vergleich zeigt deutlich, dass nur eine Kombination beider Ansätze die jeweiligen Schwächen beheben und die Stärken nutzen kann. Entsprechend gibt es auf dem Markt immer mehr Lösungen, die EDR und NDR zu XDR (Extended Threat Detection and Response) zusammenfassen. Sie zeigen die korrelierten Monitoring-Ergebnisse und Alarmmeldungen aus beiden Systemen auf einer Oberfläche. Allerdings sind diese Vorteile auch mit Vorsicht zu genießen. Denn die sichtbaren Agenten und Sensoren können von Cyberkriminellen umgangen oder manipuliert werden. Im schlimmsten Fall übernehmen sie sogar die Kontrolle über die Lösung. Bei einer Vollintegration sind dann beide Schutzebenen ausgeschaltet, so dass nur ein unabhängiges NDR diesen Vorfall erkennen und melden kann.
Das zeigt die Gefahr eines Vendor Lock-in, da sich in der Regel nur Produkte eines Anbieters integrieren lassen. Entsprechend sollten Unternehmen aus Sicherheitsgründen EDR- und NDR-Lösungen von zwei unterschiedlichen Anbietern kombinieren, wodurch jedoch der Installations- und Wartungsaufwand steigt. So ist individuell abzuwägen, ob sich aufgrund begrenzter Kapazitäten eher integrierte Produkte eignen oder bei hochsensiblen Bereichen eher zwei unabhängige Lösungen einzusetzen sind.
Die Installation der NDR-Lösung verläuft dabei meist einfacher als bei EDR-Systemen, da sie zentral im Netzwerk geschieht. Zudem gefährdet nicht jedes Betriebssystem-Update die Funktionsfähigkeit, im Gegensatz zu Software auf dem Endgerät. Bei Traffic-Spiegelung kann die NDR-Lösung sogar ganz ausfallen – und der Betrieb läuft trotzdem weiter. Dafür weist sie im Vergleich zu EDR meist mehr Fehlalarme auf. Um den damit verbundenen Aufwand zu reduzieren, stehen Managed NDR Services bereit. Hier prüfen externe Security-Spezialisten die Alarmmeldungen und korrelieren sie mit anderen Quellen, um effizient und mit hoher Trefferquote Fehlalarme von echten Warnungen zu trennen.
Nur eine Kombination aus EDR- und NDR-Lösungen kann Unternehmen effektiv und umfassend vor Angriffen schützen. Höchste Sicherheit bietet der Einsatz zweier unabhängiger Produkte. Bei weniger sensiblen Bereichen oder limitierten Ressourcen können voll integrierte XDR-Lösungen oder Managed Services die optimale Lösung sein.
Das könnte Sie auch interessieren
Bitdefender
Von EDR zum nativen XDR
Barracuda-Analyse
Sicherheitsbedrohungen zur Urlaubszeit gestiegen
XDR und Cyber Skills Gap
Gelebte Sicherheit
Kaspersky informiert
Cyberbedrohungen für mittelständische Unternehmen
