30 september 2024

EDR, NDR, XDR, MDR, wat zijn de verschillen?

In dit artikel behandelen we de belangrijkste cybersecurity afkortingen zodat je de diensten van verschillende cybersecurityexperts kunt duiden en vergelijken.

In de cybersecurity wereld is het gebruik van afkortingen net zo gebruikelijk als in de rest van de IT. Maar, hoewel afkortingen handig zijn binnen bekende kringen, leiden ze daarbuiten juist tot verwarring en onduidelijkheid. Vooral als het gaat om cybersecurity dienstverlening variëren de daadwerkelijke services die onder één afkorting worden verkocht enorm van bedrijf tot bedrijf. 

In dit artikel behandelen we de belangrijkste cybersecurity afkortingen zodat je de diensten van verschillende cybersecurityexperts goed kunt duiden en vergelijken.

DR – “Detection and Response”

Een van de meest gebruikte cybersecurity afkortingen is “DR”, wat staat voor “Detection and Response”. DR gaat over het detecteren van bedreigingen en het reageren op deze detecties (ook wel “alerts” genoemd). Omdat deze afkorting vrijwel universeel wordt toegepast, moet je altijd wat dieper graven om de daadwerkelijk aangeboden dienst te duiden.

De hamvraag hierbij is: op basis van wat wordt er gedetecteerd, en hoe wordt daarop gereageerd?

EDR vs. NDR

Om Detection and Response verder te specificeren publiceerde Gartner in 2019 het “SOC Visibility Triad” model. Hierin worden de informatiebronnen voor detectie en response verdeeld in drie hoofdgroepen: Network, Endpoint en Systems/Applications. Op basis van deze bronnen (Telemetrie genoemd) kan detectietechnologie worden toegepast, en alerts worden gegenereerd. Dit is schematisch weergegeven in het onderstaande model:

Bij de afkortingen EDR en NDR staat de “E” voor “Endpoint”, en de “N” voor “Network”. Bij EDR wordt er dus gedetecteerd en gereageerd op basis van Endpoint telemetrie en bij NDR gebeurt dat op basis van Network telemetry.

Aan deze afkortingen wordt ook nog weleens de term “Managed” toegevoegd, ofwel “Managed-EDR” en “Managed-NDR”. De term managed geeft aan dat de leverancier niet alleen Detectie en Response technologie levert, maar dat als een “managed service” aanbiedt. Dit betekent dat ook beheer van het detectiesysteem en vaak ook de opvolging van de alerts als dienst worden verschaft door de leverancier.

XDR – “Extended Detection & Response”

De afgelopen jaren hebben leveranciers van EDR- en NDR-systemen hun horizon verbreed. Boven op de detectie in hun eigen domein zijn functionaliteiten toegevoegd om alerts uit andere domeinen te integreren. Zo is eXtended Detection & Response ontstaan, afgekort als “XDR”. 

In een XDR oplossing wordt meestal een centraal dashboard aangeboden, waar alerts uit verschillende onderliggende systemen samen worden weergegeven. Let wel, het betreft hier over het algemeen alleen de alerts, de telemetrie (broninformatie) uit de deelsystemen wordt over het algemeen niet meegenomen en dat is een belangrijke nuance.

MDR – “Managed Detection and Response”

Met dit onderscheid komen we bij de laatste afkorting: “MDR”, ofwel “Managed Detection and Response”. Dit is de meest generieke cybersecurity afkorting en daardoor wordt deze afkorting door verschillende leveranciers in de markt niet altijd eenduidig uitgelegd. 

Zo komt het geregeld voor dat leveranciers een MDR-dienst aanbieden, terwijl het eigenlijk een Managed EDR of Managed XDR dienst betreft. Het is bij MDR dus altijd van belang om goed te bekijken welke telemetrie en welke alerts precies worden verwerkt en gebruikt.

Voor onze eigen MDR-dienstverlening gebruiken we bijvoorbeeld telemetrie en alerts van zowel netwerken en endpoints als systemen en applicaties. Dit geeft de meest complete detectie en response mogelijkheid. Vervolgens correleren we deze informatie met onze “Threat Intelligence” zodat we dreigingen kunnen identificeren die je met alleen telemetrie niet kunt identificeren. Deze combinatie verschaft de best mogelijke detection & response beveiliging.

Welke Detectie en Response heb ik nodig?

Zodra je duidelijk hebt welke varianten van detectie en response je aan het vergelijken bent, blijft er natuurlijk nog één belangrijke vraag over: welke mate van Detectie en Response is voldoende voor jouw situatie? Het antwoord daarop is afhankelijk van het risicoprofiel en de risicobereidheid van jouw organisatie. In deze overweging kan de wet- en regelgeving waar de organisatie aan moet voldoen natuurlijk ook een belangrijke rol spelen. 

Wil je graag meer weten over hoe je de behoefte van Detectie en Response voor jouw organisatie in kaart brengt? Of wil je gewoon even sparren over de verschillende DR-dienstverleningen? Neem dan contact met ons op – wij helpen je graag verder!


Advies nodig bij het vinden van de beste oplossing voor uw bedrijf?
Wij helpen u graag verder!