Der Unterschied zwischen EDR und XDR Wie wirksam ist Endpoint Detection and Response wirklich?

Autor: Melanie Staudacher

Extended Detection and Response gilt als die Weiterentwicklung von Endpoint Detection and Response, da die Technologie Bedrohungen über mehr Ebenen hinweg analysieren kann. Im Gegensatz zu Herstellern wollen Systemhäuser künftig weiterhin auf EDR setzen.

Firmen zum Thema

Endpoint Detection and Response (EDR) umfasst die Bedrohungssuche und -reaktion auf Endgeräten.
Endpoint Detection and Response (EDR) umfasst die Bedrohungssuche und -reaktion auf Endgeräten.
(Bild: Tierney - stock.adobe.com)

Bis zu 22.000 Ereignisse pro Sekunde kann ein Unternehmen mit 1.000 Mitarbeitern laut Trend Micro in einem SIEM-System (Security Information and Event Management) verzeichnen. Dies entspricht fast 2 Millionen Ereignissen pro Tag. Der Hersteller von Sicherheitslösungen bezieht sich damit auf ein Whitepaper von Solarwinds.

Aus dieser Menge an Ereignissen, ergibt sich für Analysten in Security Operations Centern (SOC) eine Flut an Warnmeldungen, die von verschiedenen Lösungen generiert wird. Alarm Fatigue, die sogenannte Alarmermüdung, kann eine Folge von häufigen Fehlalarmen sein. Sie kann zu längeren Reaktionszeiten und Fehlern der SOC-Mitarbeiter führen.

Als wirkungsvolle Waffe gegen Cyberbedrohungen, mit der die Anzahl der Alarme reduziert werden kann, gilt Endpoint Detection and Response (EDR). Das Ziel der Technologie ist es, verdächtige Aktivitäten von Cyberangreifern zu erkennen. EDR wurde speziell für IT-Security Operations und Threat Hunting entwickelt und soll mittels Verhaltenserkennung und Künstlicher Intelligenz (KI) verborgene Bedrohungen aufspüren und verhindern, dass sich Malware in Systeme einfressen kann.

XDR – die Weiterentwicklung von EDR

EDR ist zweifellos enorm wichtig, heißt es von Trend Micro. „Doch trotz umfassender Funktionen bleibt EDR letztendlich eingeschränkt, weil nur gemanagte Endpunkte untersucht werden können. Damit lassen sich Bedrohungen nur begrenzt erkennen. Außerdem ist nur eingeschränkt zu ermitteln, wer und was betroffen ist und welche Maßnahmen eingeleitet werden sollten.“

Abhilfe schaffen soll die Technologie Extended Detection and Response (XDR), die als Weiterentwicklung von EDR gilt. Damit erhalten Unternehmen die Funktionen der Erkennung und Reaktion nicht mehr über einzelne Lösungen und Sicherheitsebenen. Sondern XDR kombiniert die Daten aus verschiedenen Quellen wie Endgeräten, dem Netzwerk, der Cloud und Log-Dateien. Somit bringt XDR laut Trend Micro unterschiedliche Aspekte zusammen und liefert ein übersichtlicheres Bild als EDR.

Anwendungsfälle von EDR und XDR

Mit Intercept X bietet auch Sophos eine Reihe von Lösungen, die sowohl XDR- wie auch EDR-Funktionen liefern. Um die Unterschiede der Lösungen aufzuzeigen, erläutert der Hersteller, welche Funktionen Sophos mit EDR und XDR jeweils für IT Operations und das Threat Hunting mitbringt und welche Fragen Unternehmen mit den Technologien beantworten können.

IT Operations Threat Hunting
Endpoint Detection and Response
  • Warum läuft ein System langsam?
  • Welche Geräte haben bekannte Schwachstellen, unbekannte Dienste oder nicht autorisierte Browser-Erweiterungen?
  • Werden Programme ausgeführt, die entfernt werden sollten?
  • Welche Prozesse versuchen, eine Netzwerkverbindung über Nicht-Standard-Ports herzustellen?
  • Prozesse anzeigen, die kürzlich Dateien oder Registry-Schlüssel geändert haben
  • Erkannte Indicators of Compromise auflisten, die dem MITRE ATT&CK Framework zugeordnet werden
  • Extended Detection and Response
  • Nicht verwaltete, Gast- und IoT-Geräte erkennen
  • Warum ist die Netzwerkverbindung des Büros langsam? Welche Anwendung ist dafür verantwortlich?
  • Für die letzten 30 Tage auf verloren gegangenen oder zerstörten Geräten Verlaufsdaten auf ungewöhnliche Aktivitäten prüfen
  • Analyse auf 30 Tage ausweiten, ohne dass das betroffene Gerät wieder online gehen muss
  • Analyse verdächtiger Hosts mithilfe von ATP- und IPS-Erkennungen der Firewall
  • E-Mail-Header-Informationen, SHAs und andere IoCs vergleichen, um Datenverkehr zu einer schädlichen Domäne zu identifizieren


  • EDR oder XDR?

    „Trotz der Fortschritte in den vergangenen Jahren sind EDR-Produkte immer noch menschengesteuert und auf manuelle Arbeit angewiesen, um auf Angriffe zu reagieren. Das Ergebnis sind Zeitverzögerungen, die den Angreifern bei der Kompromittierung von Unternehmen zugutekommen“, sagt Yonni Shelmerdine, Vice President Product, EDR/XDR bei SentinelOne. Der Hersteller hat zuletzt eine XDR-Lösung entwickelt, die mithilfe von KI Ereignisse überwacht, verfolgt und gesammelte Daten miteinander verknüpft.

    Shelmerdine zufolge, sei das „R“ von EDR, die Reaktion, schon immer zu ressourcenintensiv gewesen und somit die Schwachstelle, bei der die heutigen Produkte, Mitarbeiter und Prozesse versagen würden.

    Bei allen Unternehmen, auch kleinen und mittelständischen (KMU), sieht Trend Micro den Bedarf nach XDR. Schließlich stellen schon E-Mails und Endpunkte zwei Ebenen dar, zu denen meinst noch Server, Netzwerke und Cloud-Infrastrukturen kommen. Daher nutzen praktisch alle Unternehmen mehrschichtige IT-Systeme.

    In begrenztem Umfang bietet der Hersteller auch EDR-Komponenten an, besonders in den SaaS- und Co-Managed-Lösungen für KMU. „Damit möchten wir unseren zahlreichen Kunden und den betreuenden Partnern Lösungen zur Verfügung stellen, die auf ihre Anforderungen zugeschnitten sind. Wir raten jedoch auch diesen Unternehmen klar zum Einsatz von XDR“, sagt Tobias Grabitz, PR & Communications Manager bei Trend Micro.

    EDR-Produkte produzieren Daten in einer Größenordnung von Milliarden von Ereignissen pro Tag. Das ist eine Herausforderung für die Analyse und Reaktion, da sie die menschlichen Kapazitäten übersteigt.

    Yonni Shelmerdine, Vice President Product, EDR/XDR bei SentinelOne

    Die Hersteller sehen mehr Vorteile in XDR. Doch welche Lösungen setzen Systemhäuser letztendlich wirklich bei den Endkunden ein?

    Detection and Response bei Systemhäusern

    Beim Hamburger Systemhaus Sysback setzt man auf die EDR-Lösung Complete 4.2. Die Erfahrungen, die der Dienstleister mit der Technologie bisher machen konnte, waren positiv. „Mit EDR ist es möglich, Bedrohungslagen direkt am Ort ihrer Entstehung zu erkennen und ihnen entgegenzuwirken“, sagt Norbert Blümle, General Manager und Senior Managed Consultant bei Sysback. „Wir sind dadurch in der Lage, die Ausbreitung einer Bedrohung in das restliche Netzwerk effizient zu verhindern. Gerade Geräte, die durch mobiles Arbeiten nicht ständig den Überwachungsmechanismen des Unternehmensnetzwerks unterliegen, profitieren sehr.“

    Auch in Zukunft will Sysback auf EDR setzen: „Insbesondere durch die zunehmende Integration von Methoden aus dem Bereich des Maschinellen Lernens erwarten wir uns in diesem Bereich eine deutliche Verbesserung bei der Bedrohungserkennung und eine schnellere, effiziente und effektive Implementierung von automatischen Gegenmaßnahmen.“

    Statt eines Produktes, bietet das Systemhaus Controlware einen EDR-Service an. Dieser kombiniert die Implementierung und den Betrieb von Risikoerkennungs-Plattformen mit SOC-as-a-Service-Modulen wie Incident-Analyse und Threat Hunting.

    Eine moderne Endpoint-Lösung bietet den effektivsten Schutz und hat überschaubare Investitionskosten. Daher ist EDR für die Mehrheit der Kunden auch in Zukunft die richtige Wahl.

    Hans-Peter Dietrich, Business Development Manager Information Security bei Controlware

    Laut Hans-Peter Dietrich, Business Development Manager Information Security bei Controlware, sollte dennoch jedes Unternehmen für sich klären, ob seine bisherige Endpoint-Lösung bereits auf moderne Technologien setzt und sein Team in der Lage ist, die Incidents zu bewerten, zu konsolidieren und zu priorisieren. Je nach Ausgangslage sei es oftmals sinnvoll, in XDR zu investieren.

    „Häufig fehlt in Security-Teams die Erfahrung, im Störfall routiniert und zeitnah zu reagieren und die Auswirkungen auf die Infrastruktur zu reduzieren. Deshalb empfehlen wir eigentlich allen Kunden, ihre Endpoint-Lösung mit EDR-Funktionalität auszustatten und mittelfristig zu klären, wie man in Richtung XDR durch eine Hersteller-Konsolidierung auf einen modernen Security-Plattfom-Anbieter migrieren kann.“

    Controlware sieht ein steigendes Interesse hinsichtlich der Einbindung von Cloud-Instanzen und Containern in Sicherheitslösungen, aber auch von OT- und IoT-Geräten. Deshalb wird der Dienstleister auch im nächsten Jahr auf Basis von Lösungen verschiedener Hersteller sowohl auf EDR wie auch XDR setzen.

    Auch Blümle hält EDR für zukunftsfähig. Vor allem durch Homeoffice und mobiles Arbeiten stehen IT-Administratoren vor neuen Herausforderungen. Bequemlichkeit und Effizienz für die Mitarbeiter würden auf der anderen Seite oftmals einen Mehraufwand und höhere Ansprüche an das Risikomanagement von Endgeräten bedeuten. Eine umfangreiche EDR-Lösung könne administrative Tätigkeiten erleichtern.

    (ID:47589655)

    Über den Autor

     Melanie Staudacher

    Melanie Staudacher

    Volontärin, Vogel IT-Medien GmbH