In het overvolle landschap van cybersecurity-tools kan het uitdagend zijn om de juiste tool te kiezen. Twee veelvoorkomende oplossingen zijn Endpoint Detection and Response (EDR) en Network Detection and Response (NDR). Hoewel beide hun nut hebben, is EDR essentieel voor iedere organisatie die zich serieus wil beschermen tegen hedendaagse dreigingen. Met hybride werk, toenemende afhankelijkheid van cloudinfrastructuur en verdwijnende netwerkgrenzen vormt EDR de kern van een sterke cybersecuritystrategie.
Wanneer moet je dan NDR overwegen? NDR wordt gepresenteerd als een aanvullende tool voor het verbeteren van netwerkzichtbaarheid, vooral voor apparaten die geen EDR kunnen draaien, zoals firewalls of legacy OT-systemen. Maar NDR brengt vaak meer complexiteit, meer onderhoud en een hoger risico op fout-positieven met zich mee.
In dit artikel vertellen onze Managed Detection & Response (MDR)-experts waarom EDR een duidelijk voordeel heeft ten opzichte van NDR voor het 24/7 beschermen van organisaties tegen hedendaagse cyberdreigingen. We behandelen specifieke use cases voor effectieve EDR- en NDR-setups en beargumenteren waarom NDR als aanvullende laag moet dienen, in plaats van als primair verdedigingsmechanisme.
Belangrijkste verschillen tussen EDR en NDR
Organisaties hebben vaak moeite met kiezen tussen Endpoint Detection and Response (EDR) en Network Detection and Response (NDR). In een notendop:
• EDR richt zich op individuele apparaten, zoals desktops, laptops en servers. Het monitort bestanden, processen, gebruikers en netwerkactiviteiten op endpoint-niveau, en detecteert dreigingen waar ze vaak beginnen en veranderen – op de endpoint zelf.
• NDR richt zich op de stroom van informatie in het netwerk, waarbij afwijkingen of potentiële dreigingen in het netwerkverkeer worden gedetecteerd. NDR monitort vooral netwerkactiviteit van oost naar west (intern) of van noord naar zuid (extern).
Het beveiligingslandschap is dramatisch veranderd, waarbij hybride werkomgevingen, cloudgebaseerde infrastructuren en bring-your-own-device (BYOD)-beleid het concept van een veilige netwerkperimeter effectief geëlimineerd wordt.
Implementatiestappen en zichtbaarheid
Zichtbaarheid is alles in beveiliging. Zonder duidelijk zicht op potentiële dreigingen is het bijzonder moeilijk om proactief actie te ondernemen. EDR biedt diep inzicht in host-gedrag in Windows-, Linux- en macOS-systemen. Dit omvat ook (virtuele) servers en laptops, onafhankelijk van waar ze staan. NDR biedt uitgebreid inzicht in netwerkgedrag via een centraal apparaat, wat bepaalde voor- en nadelen met zich meebrengt.
| EDR | NDR | |
| Implementatiemethode | Agentsoftware-implementatieprofiel geconfigureerd in gangbare MDM-oplossingen zoals Intune of AD Group Policy. | Virtueel of hardware-apparaat, centrale locatie in het netwerk, passieve SPAN-poort of in-line (komt minder voor). |
| Gefaseerde implementatie | Agents worden meestal geïmplementeerd in een leer- of passieve modus, wat een baseline voor gedrag creëert, terwijl processen niet gepauzeerd of onderbroken worden (en er dus minder impact is op de business). | Het NDR-implementatieplan moet opgesteld worden op basis van de lokale netwerkarchitectuur. Meerdere IT-stakeholders moeten firewalls aanpassen en hardware-onderhoudsprocessen toevoegen aan het team. |
| Time to value (TTV) | Zodra het agent-installatieprofiel is uitgerold, worden alle beheerde endpoints binnen enkele minuten tot uren aangemeld. | Een NDR-implementatie duurt doorgaans enkele weken of maanden. |
| Zichtbaarheid (telemetrie) | EDR monitort en verzamelt processen, draaiende applicaties, bestandswijzigingen, gebruikersactiviteit, cloud-verbindingen, naburige apparaten en zelfs netwerkverbindingen van en naar het apparaat. De meest geavanceerde EDR-oplossingen combineren de telemetrie van alle agents in één centraal IT-overzicht. | Afhankelijk van de netwerkarchitectuur monitort en verzameld de NDR netwerk-metadata, zoals bron-IP-adressen, bestemmings-IP-adressen en bijbehorende poortnummers. Bij sNAT is het bron-IP-adres niet beschikbaar. Relevante datavelden zijn vaak versleuteld met TLS wanneer SSL-offloading niet geïmplementeerd is. |
| Aandachtspunten bij correcte implementaties | EDR-dekking is essentieel voor voldoende inzicht om onbeheerde endpoints (Shadow IT) te minimaliseren. Asset discovery-telemetrie, beschikbaar in de meeste toonaangevende EDR-oplossingen, moet worden gebruikt om de EDR-dekking naar bijna 100% te brengen. Vergeet niet om de EDR-verwijderingsbeveiliging in te schakelen. | Forceer always-on VPN in hybride omgevingen, anders worden remote werknemers niet gezien. Overweeg het ontsleutelen van verkeer met SSL-offloading, anders blijven detecties waarschijnlijk onbruikbaar zonder context. Voorkom creatie van (onveilige) routes tussen gesegmenteerde netwerken naar NDR, aangezien dit mogelijk de waarde van de segmentatie elimineert. |
Detecteren van moderne cyberdreigingen
De jaarlijks bijgewerkte ENISA Threat Landscape (ETL) benadrukt dat ransomware-, phishing- en toeleveringsketenaanvallen tot de meest significante huidige uitdagingen voor organisaties horen. Het detecteren van deze dreigingen vereist een delicate balans tussen het maximaliseren van detectiemogelijkheden en het minimaliseren van fout-positieven, om alertmoeheid te voorkomen. EDR en NDR bieden ieder andere waarde bij het detecteren van deze moderne bedreigingen.
| EDR | NDR | |
| Laterale beweging | Volgt ongebruikelijke interne verbindingen, escalaties van privileges en procesafwijkingen op endpoints. Kan het detecteren als aanvallers tussen apparaten proberen te bewegen of privileges proberen te escaleren. | Afhankelijk van de netwerkarchitectuur monitort NDR verkeer tussen interne hosts op ongebruikelijke verbindingen of datastromen. Triage op deze waarnemingen is lastig, vanwege het gebrek aan endpoint-context. |
| Ransomware | Detecteert grootschalige bestandsversleuteling via bestandssysteemmonitoring en gedragsanalyse. Isoleert gecompromitteerde endpoints en stopt malafide processen. | Monitort ongebruikelijk uitgaand verkeer naar C2-servers, maar heeft moeite om fout-positieven te beperken, vanwege TLS en omdat de levensduur van de C2-infrastructuur erg kort is (enkele minuten tot dagen). |
| Phishing(pogingen) | Monitort e-mailclients en browsers om malafide bijlagen of URL’s te onderscheppen. Detecteert pogingen om inloggegevens te stelen en blokkeert installatie van malafide software. | Identificeert ongebruikelijk netwerkverkeer of DNS-verzoeken naar phishing-domeinen. Beperkt in het voorkomen van initiële inbreuken en HTTPS-afdwinging door browsers. |
| Toeleveringsketenaan-vallen | Monitort gecompromitteerde applicaties op ongebruikelijk gedrag en gebruikt IOC’s om te detecteren of vertrouwde software zich malafide gedraagt. | Detecteert onverwachte communicatie van gecompromitteerde software. Heeft moeite met onderscheid maken tussen legitiem verkeer en malafide verkeer als er geen endpoint-context is. |
|
Exploitatie(pogingen) |
Detecteert exploitatiepogingen aan de hand van gedragsanalyse en dreigingsinformatie. Biedt realtime waarschuwingen en kan de endpoint isoleren. | Houdt netwerkanomalieën in de gaten die duiden op misbruik, maar heeft moeite met aanvallen die uitsluitend op hostniveau plaatsvinden. |
|
Data (kroonjuweel)
|
Endpoints bevatten of beheren vaak de kroonjuwelen (zoals data) die aanvallers zoeken. Zelfs als eerdere detectiepogingen gemist worden, zorgt EDR ervoor dat er meerdere kansen langs het aanvalspad zijn om de aanvaller te identificeren en te stoppen, voordat er significante schade gedaan wordt. | Monitort op verdachte data-overdrachten en netwerkcommunicatie die mogelijk gericht zijn op gevoelige assets. Maar NDR mist inzicht in specifieke acties die op de endpoints plaatsvinden, die gemakkelijk gezien kunnen worden als goedaardige IT-beheeractiviteiten zoals het maken van backups. Zodra de dataexfiltratie naar externe IP-adressen gedetecteerd wordt, is het vaak al te laat. |
Reactiemogelijkheden om actieve dreigingen te mitigeren
Detectie is slechts één onderdeel van EDR en NDR. De mogelijkheid om effectief te reageren is wat een oplossing echt krachtig maakt.
- EDR biedt geavanceerde reactiemogelijkheden die veel verder gaan dan alleen beveiligingsteams op de hoogte stellen. Het biedt directe interventies, waaronder het isoleren van een endpoint, beëindigen van malafide processen en wijzigingen die door malware gedaan zijn terugrollen. Dit stelt organisaties in staat om dreigingen te beperken en neutraliseren voor ze escaleren tot een inbraak.
- De reactiemogelijkheden van NDR zijn daarentegen beperkt. NDR kan doorgaans alleen TCP-resetpakketten sturen om verdachte verbindingen te verstoren, wat de onderliggende dreiging niet wegneemt. Het resultaat is vaak een vertraging in het herstel, aangezien de daadwerkelijke oorzaak van de dreiging actief blijft. Bovendien kan het uitdagend zijn om zonder het gedetailleerde inzicht dat EDR biedt, vast te stellen welk apparaat de bron is van malafide netwerkactiviteit, zeker in complexe of slecht gedocumenteerde netwerkomgevingen.
In praktische beveiligingsworkflows wisselen analisten vaak van NDR naar EDR als ze de diepgang en context van een waarschuwing moeten begrijpen. NDR signaleert misschien verdacht verkeer, maar zonder inzicht op endpoint-niveau is het lastig om het volledige verhaal te bepalen – bijvoorbeeld welk proces het gedrag initieerde of dat er malafide veranderingen hebben plaatsgevonden. EDR vult dit gat in door de diepgang te bieden die nodig is voor effectieve, geïnformeerde reacties.
Veelvoorkomende misvattingen
Een veelvoorkomende misvatting is dat NDR, omdat het out-of-band is, fraudebestendig is en daarom een veiligere optie is voor netwerkbeveiliging. Aanvallers vinden het mogelijk moeilijker om NDR uit te schakelen, omdat het los van de endpoints opereert. Maar dat maakt het niet onverslaanbaar. Aanvallers kunnen NDR omzeilen door versleutelde communicatie of vertrouwde platformen als GitHub te gebruiken om malware te verspreiden – waardoor NDR niet meer in staat is om hun activiteit te monitoren.
EDR’s bescherming tegen manipulatie op kernelniveau verzekert daarentegen dat het functioneel blijft, zelfs als een aanvaller beheerdersrechten op een gecompromitteerd apparaat krijgt. Probeert iemand de agent te manipuleren, dat wordt er een kritieke waarschuwing getriggerd. Het is wel zo dat er software bestaat die EDR kan stoppen. Maar als een aanvaller dit wil inzetten, zijn vaak beheerdersrechten op een endpoint nodig, wat betekent dat EDR meerdere detectiekansen heeft langs het aanvalspad naar de admin.
Een ander argument voor NDR is de waarde die het biedt bij het monitoren van omgevingen waar endpoint agents niet geïmplementeerd kunnen worden, bijvoorbeeld bij OT-, IoT- en legacy-systemen. Maar deze systemen representeren doorgaans slechts een klein deel van de gehele infrastructuur en zijn beperkt blootgesteld aan het netwerk. De meer effectieve strategie is om deze legacy-systemen te isoleren en de IT-infrastructuur daar omheen te beschermen met EDR, zodat je zeker bent dat aanvallers zich niet naar de meer kritieke systemen kunnen bewegen.
Daar komt bij dat hoewel NDR inzicht biedt in netwerk-gebaseerde aanvallen, de meeste aanvallen tegenwoordig endpoint-gebaseerd zijn. Deze aanvallen gebruiken meestal remote access-methoden om via het internet in te breken op systemen. In onze incident response-ervaring hebben aanvallen zoals ransomware altijd te maken met inbreuk op afstand, waarbij endpoints het toegangspunt zijn. EDR is perfect uitgerust voor deze scenario’s, doordat het uitgebreide detectie- en reactiemogelijkheden biedt.
Conclusie: EDR als kern, NDR als aanvulling
Na het evalueren van de mogelijkheden en beperkingen van zowel EDR als NDR, wordt duidelijk waarom EDR de hoeksteen is van effectieve cybersecuritystrategieën. EDR biedt realtime inzicht, geavanceerde reactiemogelijkheden en de context die nodig is om dreigingen te detecteren en mitigeren – wat allemaal essentieel is in het huidige snel veranderende dreigingslandschap.
Hoewel NDR een ondersteunende rol kan spelen – het biedt aanvullende detectie op afwijkingen bij onbeheerde apparaten of laterale bewegingen binnen specifieke netwerkarchitecturen – moet het niet gezien worden als de voornaamste oplossing. NDR is het meest effectief als het EDR aanvult, waarbij het blinde vlekken in complexe omgevingen helpt wegnemen. Maar het komt tekort in de detectie, reactie en algehele operationele effectiviteit in vergelijking met de endpoint-focus die EDR heeft.
Om de beste resultaten te bereiken, moeten organisaties zich richten op de implementatie van een geavanceerde managed EDR-oplossing en zich verzekeren dat het goed geconfigureerd is met effectieve manipulatiebescherming en incident response-draaiboeken. NDR moet gezien worden als optionele laag, die alleen ingezet wordt als er specifieke inzichtvereisten zijn die alleen EDR niet kan vervullen.
Bij Eye Security adviseren we een no-nonsenseaanpak voor cybersecurity. Een aanpak die de nadruk legt op de basisprincipes, prioriteit geeft aan endpoint-verdediging en netwerkmonitoring selectief gebruikt om de hiaten op te vullen. Door dit te doen, helpen we een veerkrachtige beveiligingsaanpak op te bouwen die aanvallers voorblijft en zich aanpast aan opkomende bedreigingen.
Maak jij je zorgen over de bescherming van jouw netwerk tegen ransomware? Nieuwsgierig hoe Eye Security kan helpen? Plan nu een afspraak:
