Blog

EDR, NDR, XDR, MDR - Verschillende concepten van Detection & Response

'Threat Detection & Response' wordt nu beschouwd als een onmisbaar middel om bedrijfsnetwerken te beveiligen. Door grootschalige omgevingen en steeds complexer wordende eisen moeten potentiële gevaren en bedreigingen gevonden of voorkomen worden en overeenkomstige systemen zo actief, snel, efficiënt en automatisch mogelijk hersteld of opgeschoond worden.

Achter een set van drie letters gaan verschillende soorten 'Detection & Response' modellen schuil die op de markt worden aangeboden. Waar staan deze acroniemen voor en wat onderscheidt de ene oplossing van de andere?

Hier is een overzicht van wat je moet weten.

EDR

... staat voor 'Endpoint Detection & Response'. Elk apparaat dat op een netwerk is aangesloten, vormt een potentiële aanvalroute voor bedreigingen vanaf het internet, en elk van deze verbindingen is een potentiële toegangspoort tot jouw gegevens. Over het algemeen verzamelen EDR-oplossingen gegevens van endpoints, ze gebruiken die om potentiële bedreigingen te identificeren, en ze bieden handige manieren om die potentiële bedreigingen te onderzoeken en erop te reageren - moderne oplossingen automatiseren zelfs de rapportage achteraf.

  • Scope: Endpoints en hosts
  • Doel: Bescherming van endpoints/toegangsgebieden tegen infiltratie, bewaking en beperking, beoordeling van kwetsbaarheden, waarschuwing en reactie
  • Methoden: Schadelijk gedrag, Indicator of Attack (IoA), Indicator of Compromise (IoC), handtekeningen, machine learning
  • Uitdagingen: Advanced Persistent Threats (APT), ransomware, schadelijke scripts, enz.

NDR

... is 'Network Detection & Response'. Dit is voortgekomen uit de conventionele netwerkbeveiliging en is een deelgebied van NTA (Network Traffic Analysis). Het zorgt voor volledig inzicht in bekende en onbekende bedreigingen die het netwerk passeren. De oplossingen bieden meestal een gecentraliseerde, machinegerichte analyse van het netwerkverkeer en respons, inclusief efficiënte workflows en automatisering. De positionering in het netwerk en de hulp van machine learning zorgen voor een volledig inzicht in en analyse van het netwerk om met name laterale bewegingen te identificeren en te elimineren.

  • Scope: Netwerk en inter-device verkeer
  • Doel: Zichtbaarheid/transparantie van netwerkverkeer, detectie van bekende en onbekende bedreigingen en laterale bewegingen, alarmering en respons
  • Methoden: Indicator of Attack (IoA), onregelmatigheidsdetectie, gebruikersgedrag, machine learning
  • Uitdagingen: Geavanceerde aanvallen en inbraken, aanvallen zonder malware

MDR

... staat voor 'Managed Detection & Response'. De nadruk ligt hier niet op technologie, maar op service. Als onderdeel van MDR besteden klanten hun beveiligingsactiviteiten uit en profiteren ze het hele jaar door van betrouwbare beveiliging, dag en nacht.

Security providers bieden hun MDR-klanten toegang tot hun pool van security analisten en engineers die gespecialiseerd zijn in netwerkmonitoring, incidentenanalyse en security incident response.

Deze dienst is vooral in trek op het gebied van SOC's (Security Operation Center) en SIEM's (Security Information and Event Management) vanwege de vereiste vaardigheden en middelen.

  • Scope: Organisaties
  • Doel: Uitbesteding van beveiligingsexpertise, centralisering van beveiligingsinformatie, hoogwaardige consultancy en naleving van beveiligingseisen
  • Methoden: Integratie van klantsystemen via diverse interfaces (API, logging, DataLake, etc.)
  • Uitdagingen: Gebrek aan beveiligingsvaardigheden/middelen binnen een organisatie, inzet van xDR-tools, vereenvoudiging van de dagelijkse beveiliging: Verwerking/beperking van alerts/events

Ontdek MDR

XDR

... breidt het potentieel van EDR uit met behulp van een aanzienlijk sterkere AI en een automatiseringsaanpak, vandaar 'eXtended Detection & Response'.

XDR integreert niet alleen endpoints, maar biedt ook inzicht in het bedrijfsnetwerk door verder te gaan dan de single-vector point solution en ook inter-device verkeer en applicaties mee te nemen voor analyse en beoordeling.

De resulterende enorme databases/datalakes maken nauwkeurige, machinegebaseerde analyse en efficiënte detectie mogelijk, voornamelijk door de diepgaande integratie en correlatie van gegevens met behulp van de ingezette componenten.

Samen met het gebruik van een SIEM kan deze correlatie en zichtbaarheid verder worden verbeterd. Aanwijzingen en gebeurtenissen kunnen worden voorzien van verdere (meta)gegevens, waardoor beperking (preventie van aanvallen) en/of sanering (herstel van systemen na de aanval) van malware wordt vergemakkelijkt.

  • Scope: Endpoints, hosts, netwerk- en inter-device verkeer, applicaties
  • Doel: Zichtbaarheid/transparantie op meerdere beveiligingsniveaus (netwerk, endpoint, applicaties), detectie van bekende en onbekende bedreigingen op lateraal niveau, inclusief alle componenten, holistische monitoring en mitigatie, kwetsbaarheidsbeoordeling, alarmering en respons, vereenvoudiging en consolidatie van events, en activiteiten en gerichte respons
  • Methods: Machine learning, Indicator of Attack (IoA), afwijkingsdetectie, gebruikersgedrag, kwaadaardig gedrag, Indicator of Compromise
  • Challenges: Integratiemogelijkheid/interfaces van de fabrikanten, hiaten in de transparantie, deels EDR-typische en NDR-typische uitdagingen

Ervaar Managed Services

Wil je meer weten over onze Managed Services? Bel ons dan of laat een bericht achter. We nemen snel contact met u op.

Bel direct Stuur een bericht

Florian Kloss - 10 mei 2021

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer