Antivirus, EPP, EDR, XDR, MDR: Was sie sind, was sie bedeuten und welche man wählen sollte

Wer in der Informationssicherheit arbeitet, ist es gewohnt, mit Abkürzungen, Akronyme und Nomenklaturen zu arbeiten, die oft sehr ähnlich, aber mit unterschiedlichen Bedeutungen sind. Das ist zum Beispiel bei den gängigsten Cybersecurity-Lösungen auf dem Markt der Fall:

• AV - Antivirus
• EPP - Endpoint Protection Platform
• EDR - Endpoint Detection and Response
• XDR - Extended Detection and Response
• MDR - Managed Detection and Response

AV - Antivirus

Das Antivirus (AV) ist wahrscheinlich die bekannteste Lösung zum Schutz vor IT-Bedrohungen, obwohl es leider oft unzureichend ist, um einen angemessenen Schutz vor Bedrohungen der neuen Generation zu bieten. Antivirus basiert auf einem System bekannter Signaturen und Hashes und beschränkt sich darauf, bekannte Bedrohungen aus der Datenbank zu blockieren. Dies macht es unwirksam gegen alle sogenannten Zero-Day-Vulnerability, die noch nicht von den Antiviren-Herstellern identifiziert und katalogisiert wurden: Das ist der Grund, warum wir bei ACS empfehlen, vom alten Antivirus zu MDR zu wechseln.

EPP - Endpoint Protection Platform

Mit dem Begriff Endpoint Protection Platform (EPP) beziehen wir uns auf das, was allgemein als Next-Generation-Antivirus bekannt ist. EPP geht über die Blockierung schädlicher Dateien mit Signaturen hinaus und verwendet vorhersagbare Modelle, die auf KI (Künstliche Intelligenz) basieren, um zu verstehen, wann eine Datei oder ein Code versucht, schädliche Aktionen durchzuführen, auch wenn er sie noch nie zuvor gesehen hat. Das größte Problem mit EPP ist, dass, sobald eine Bedrohung die Abwehr überschreitet, sie nicht mehr erkannt werden kann.

EDR – Endpoint Detection and Response

Endpoint Detection & Response (EDR) erkennt Bedrohungen und Anomalien und konzentriert sich speziell auf Endpunkte und verlagert den Fokus vom Netzwerk auf die Geräteaktivität. Die Geräte, auf die EDR wirkt, sind normalerweise PCs, Laptops und Server. Ein EDR fügt dem Sicherheitsdienst Wert hinzu, weil er die Bedrohungen erkennt, die die Präventions- und Voraussageebene überschritten haben.

XDR – Extended Detection and Response

Das Extended Detection & Response (XDR) ist ein System, das Daten automatisch sammeln und korrelieren kann, die aus der gesamten Infrastruktur stammen. Diese Lösung verbessert somit die Sichtbarkeit von Bedrohungen im gesamten Unternehmen, beschleunigt Sicherheitsvorgänge und reduziert Risiken, indem sie die gesamte IT-Infrastruktur vollständig abdeckt.

MDR - Managed Detection and Response

EDR und XDR Lösungen sind derzeit die fortschrittlichsten auf dem Markt in Bezug auf Sicherheit und bieten Kontrolle über das Verhalten der einzelnen Unternehmensendpunkte. So effektiv diese Lösungen auch sind, sie setzen voraus, dass eine Person oder ein Expertenteam in der Lage ist, sie zu verwalten, die zentralisierte Plattform zu überwachen, das System mit den neuesten Patches zu aktualisieren und ständig auf dem Laufenden zu bleiben, um zu wissen, wie man auf die verschiedenen und immer neuen Bedrohungen reagiert: kurz gesagt, EDR und XDR setzen die Anwesenheit eines oder mehrerer Cyber-Analysten innerhalb des Unternehmens voraus.

Aus diesem Grund wird der Einsatz von Diensten wie Managed Detection & Response (MDR) immer verbreiteter, bei dem das Management einer EDR- oder XDR-Plattform auf die Erfahrung eines IT-Dienstleisters ausgelagert wird. Es handelt sich also um einen verwalteten Dienst, durch den nicht nur Zugang zu einer modernen und leistungsfähigen Sicherheitslösung erhältlich ist, sondern auch ein qualifiziertes und kompetentes Team für deren Verwaltung.

Warum man sich für eine Managed Detection & Response-Lösung entscheiden sollte

Wie wir gesehen haben, gibt es viele Unterschiede zwischen Antivirus und MDR, die Unternehmen dazu veranlassen, ihre IT-Sicherheit zu verbessern und sich für einen verwalteten Dienst zu entscheiden. Die Vorteile sind zahlreich und greifbar.

Schutz vor externen Bedrohungen

Das Netzwerk ist gegen interne und externe Bedrohungen, Verstöße gegen Richtlinien, Ransomware, Dateilose Angriffe und Speicher-residente Angriffe sowie gegen komplexe Zero-Day-Malware geschützt.

Automatische Erkennung von komplexen Angriffen rund um die Uhr

Es wird eine ständige Analyse durchgeführt, die KI-Algorithmen und Verhaltensanalysen nutzt. Vom Benutzer definierte Regeln gewährleisten die zuverlässige Erkennung von Advanced Persistent Threats (APT) und anderen versteckten Angriffen.

Starke Endpunktschutztechnologien zum Schutz vor bekannten und aufkommenden Bedrohungen

Die Erkennung von Verhaltensbedrohungen und die auf KI basierenden lokalen Inspektionsmechanismen blockieren die meisten Angriffe (Malware, Exploits und Dateilose Angriffe).

Kontinuierliche Verbesserung des Sicherheitsniveaus

Bedrohungserkennungsmethoden können als Analyse-Regeln gespeichert und verwendet werden, um ähnliche Bedrohungen zu erkennen, wodurch eine Historie zur Identifizierung verdächtiger Verhaltensmuster erstellt und das Verständnis der flexiblen Berichterstellungsfunktionen verbessert wird.

Eliminierung von Bedrohungen ohne Unterbrechung des Geschäftsbetriebs

Angriffe werden mit chirurgischer Präzision gestoppt, ohne die Verfügbarkeit der Infrastruktur und der Benutzersysteme zu beeinträchtigen.

Vorteil aus der Erfahrung des IT-Partners

Der MDR-Dienstleister verfügt über qualifiziertes und geschultes Personal. Darüber hinaus kommt der IT-Dienstleister durch seine vielen Kunden aus verschiedenen Branchen mit vielen verschiedenen Arten von Bedrohungen in Berührung und nutzt diese Erfahrungen, um die Sicherheit seines gesamten Kundenstamms zu erhöhen.