De termen EDR, MDR en XDR zijn HOT, maar zeker meer dan ‘buzzwords’.
Helaas, zoals dat wel vaker gebeurt met ‘trending’ technologie en terminologie, wordt er nogal wat mee gegoocheld: ze worden door elkaar gebruikt zonder een goed begrip van de nuances tussen de verschillende benaderingen.
Gevolg: organisaties weten daardoor vaak niet waarmee ze het best geholpen zijn. Daarom gaan we wat dieper in op de drie detectie- en responstechnologieën:
EDR, wat staat voor Endpoint Detectie en Response.
MDR, wat staat voor beheerde detectie en reactie of Managed Detection & Response.
XDR, wat staat voor uitgebreide detectie en reactie of eXtended Detection & Response.
1. Endpoint Detection & Respone (EDR)
Elk apparaat dat verbonden is met een netwerk, kan een mogelijke toegangspoort zijn voor aanvallers om toegang te krijgen tot je netwerk. Een EDR-oplossing houdt dus al je endpoints in de gaten: laptops, smartphones, desktops, tablets, printers, IoT apparaten, servers, … Dat deed een ‘traditionelere’ EPP-oplossing (Endpoint Protection) ook al, maar EDR kan beschouwd worden als een opvolger die een groot gat slaat tussen beide technologieën.
Geavanceerde EDR-oplossingen voegen een intelligente laag toe aan je beveiligingsstrategie. Ze doen aan gedragsanalyse waardoor afwijkend gedrag kan worden gedetecteerd. Dat betekent bijvoorbeeld dat onbekende dreigingen zoals APT’s (Advanced Persistent Threats) geïdentificeerd kunnen worden. Bij EPP-oplossingen was het enkel mogelijk om gekende cyber threats te detecteren. Vandaag worden verdachte activiteiten op een endpoint dankzij actieve monitoring opgemerkt en gemeld. De endpoint met verdachte activiteit wordt automatisch geïsoleerd om te voorkomen dat er malware of virussen zich kunnen verspreiden. Dankzij de isolatie kan het incident ook geanalyseerd worden. De malware / het virus wordt vervolgens onschadelijk gemaakt zodat het endpoint terug in gebruik genomen kan worden.
70% van alle datalekken begint bij endpoints, dus we hoeven niet te vertellen dat EDR een belangrijk en waardevol onderdeel is van elke cybersecurity strategie. Zoals al eerder gemeld, biedt het een extra beschermingslaag die kan geïntegreerd worden met andere oplossingen zoals je anti-virus, DNS Security of je SIEM-platform (Security Information and Event Management). EDR is dus een extra preventiemaatregel en zeker geen vervanging voor een anti-virus oplossing en andere.
» Lees ook de blogpost: EDR versus Anti-virus
Een goede integratie is niet onbelangrijk. Heb je dat niet, dan mis je als security professional of IT-verantwoordelijke essentiële context. Het is namelijk niet omdat je activiteiten op je endpoint detecteert, dat je weet wat er aan de gang is op je netwerk of in de cloud. Maar dat geldt natuurlijk voor alle soorten beveiliging.
AXS Guard maakt gebruik van de AI-gebaseerde EDR-oplossing van QRadar (IBM).
2. Extended Detection & Response (XDR)
Een XDR-oplossing verzamelt gegevens en datastromen en maakt het geheel inzichtelijk via een centraal dashboard. De verzameling data brengt niet enkel de data samen van de afzonderlijke aangesloten endpoints, maar ook van firewalls, emails en (cloud) servers en andere netwerkcomponenten. Zo kan een veel completer beeld geschetst worden. Waarom is dat interessant? Het maakt het zoeken naar correlaties tussen incidenten en bredere kwetsbaarheden een stuk eenvoudiger. Het haalt de data uit hun afzonderlijke silo's, zodat je een overzichtelijk plaatje krijgt met nog nuttige inzichten. Extended Detection and Response is dus een bredere benadering van EDR.
3. Managed (Extended) Detection & Response (MDR/MXDR)
De afkorting MDR staat voor Managed Detection and Response. Een MDR- of MXDR-oplossing is niet meer of minder dan de bovengenoemde oplossingen EDR of XDR, maar dan opgevolgd / beheerd door specialisten (van meestal een externe partij). Cybersecurity experts dus, zoals je (gespecialiseerde) IT-partner of AXS Guard.
De cybersecurity-experts beheren dan de security-oplossingen en tools om de online veiligheid van je organisatie te waarborgen. Het beheer gebeurt centraal en daarom vanuit een zogenaamde ‘SOC’ (Security Operations Center).
Waarom kiezen voor MDR of MXDR?
De meeste organisaties (in de Benelux) beschikken niet over een ‘inhouse SOC’, en al zeker niet de bedrijven in het KMO / MKB segment. Kleinere bedrijven beschikken soms wel over een IT-afdeling of een IT-medewerker, maar daar is de cybersecurity expertise vaak beperkt. Dat is logisch, want het is een complex vakgebied dat je dankzij MDR / MXDR formules kan overlaten aan specialisten, zodat je je zelf niet al te druk hoeft te maken over cyberdreigingen.
Observe & Protect is de Managed Cybersecurity Service van AXS Guard. MDR / MXDR zijn een essentieel onderdeel van Observe & Protect. Kies je voor Observe & Protect, dan kan je rekenen op de expertise van de AXS Guard beveiligingsspecialisten, 24 op 7.
EDR / MDR / XDR: Gelijkenissen en verschillen