NDR vs. EDR – miért nem elég csak az egyik?

2026. április 28., 10:33

A biztributor Security Solution Architect szakembere, Szatmári Antal összefoglalta, miért fontos az NDR és az EDR a vállalatok védelmében.

NDR vs. EDR – miért nem elég csak az egyik?

A biztributor Security Solution Architect szakembere, Szatmári Antal összefoglalta, miért fontos az NDR és az EDR a vállalatok védelmében.

Az utóbbi években a legtöbb vállalatnál az EDR‑megoldások váltak a végpontvédelmi stratégia központi elemévé. A „van EDR, tehát le vagyunk fedve” megközelítés azonban egyre kevésbé állja meg a helyét. A támadási technikák fejlődése és a hibrid infrastruktúrák térnyerése miatt ma már hálózati szintű láthatóság nélkül vakfoltok maradnak. Itt jön képbe az NDR.

Mit lát az EDR – és mit nem?

Az EDR elsősorban a végpontokon zajló tevékenységet figyeli. Erősségei, hogy:

  • folyamatok, driverek, memóriaműveletek, registrymódosítások szintjén észleli a gyanús viselkedést;
  • azonosítja a jól ismert támadási mintákat (ransomware, credential dumping, lateral movement);
  • részletes forenzikus képet ad egy kompromittált gép múltjáról és jelenéről;
  • automatizált válaszlépéseket indít (izolálás, folyamatkilövés, fájlkarantén).

Ugyanakkor az EDR‑központú modellnek vannak természetes korlátai:

  • Nem minden eszköz futtat EDR agentet: hálózati eszközök, OT/ICS, IoT, régi legacy rendszerek gyakran „láthatatlanok”.
  • Ha a „támadó” a hálózaton „alattad” vagy „melletted” mozog, az aktivitás egy része végpontszinten csak korlátozottan látszik.
  • East‑west forgalom anomáliái sokszor hálózati nézetben ismerhetők fel igazán.

Összefoglalva: EDR nélkül ma már nehéz védekezni, de önmagában nem ad teljes képet.

Mit tesz hozzá mindehhez az NDR?

Az NDR hálózati szinten figyeli a forgalmat, majd gépi tanulással, valamint szabály‑ és viselkedésalapú észleléssel próbálja kiszúrni az anomáliákat.

Erősségei:

  • Agentmentes láthatóság: ott is „látsz”, ahol agentet nem tudsz vagy nem akarsz telepíteni.
  • East‑west forgalom elemzése: észreveszi, ha két belső szerver szokatlan mennyiségű adatot kezd cserélni, ha belső gépek gyanús C2‑mintákat produkálnak, vagy ha valaki késő éjjel nagy mennyiségű adatot tol kifelé.
  • Protokollszintű mélyelemzés: HTTP-, DNS-, SMTP-, SMB- és más protokollok szintjén képes felismerni a kártékony vagy gyanús kommunikációs mintákat, akkor is, ha a végponton nincs egyértelmű malware‑indikátor.
  • Környezetszintű kontextus: egyetlen végpontról nem mindig derül ki, hogy „furcsa‑e” valamelyik viselkedés, hálózati nézetben viszont gyorsan látszik, ha egy eszköz „nem olyan, mint a többiek”.

Egy modern NDR különösen értékes olyan környezetekben, ahol sok a vegyes eszköz (on‑prem, cloud, OT, IoT), illetve ahol az üzletmenet szempontjából kritikus a hálózati forgalom folytonossága.

Miért egymás mellé, és nem egymás helyett?

A kérdés nem az, hogy EDR vagy NDR, hanem az, hogyan lehet a kettőt egymás erősségeire építve kombinálni.

  • Az EDR mélységben lát: tudja, pontosan mi történik a gépen, milyen folyamat indult el, milyen modulok töltődtek be, milyen fájlok módosultak.
  • Az NDR szélességben lát: megmutatja, hogyan viselkedik az eszköz a hálózatban, kivel kommunikál, hogyan változik a forgalmi profilja, milyen támadási útvonalak rajzolódnak ki.
  • Egy jól integrált rendszerben az EDR riasztásait kiegészíti az NDR által adott hálózati kontextus (és fordítva): így lehet gyorsabban eldönteni, hogy egy jelzés valódi támadás, félrevezetéssel járó mozgás, vagy csak téves riasztás.

Miért fontos újragondolni a témát?

Sok szervezetnél még mindig az a reflex, hogy az IT-biztonság egy „szoftver + licenc” jellegű kérdés: ha van jó EDR, a többi már csak extra. Ezzel szemben a támadók nem termékekben, hanem útvonalakban gondolkodnak. Az, hogy hol tudnak bejutni, majd észrevétlenül mozogni, nagyban múlik azon, milyen láthatóságot észlelnek velünk szemben.

Néhány tipikus félreértés:

  • „Nálunk minden gépen van EDR, minek NDR?” – Valójában soha nincs „minden”: mindig lesz vendor eszköz, OT, orvosi műszer, régi szerver, cloud resource, amit nem fed az agent.
  • „A tűzfal úgyis mindent logol.” – A klasszikus tűzfallogok mennyisége és minősége nem azonos egy NDR‑szintű analitikával, különösen TLS‑világban és east‑west forgalomnál.
  • „Később majd ráérünk a hálózati láthatósággal foglalkozni.” – A tapasztalat az, hogy egy nagyobb incidensnél pont az NDR‑szintű adatok hiánya „fáj” a legjobban a nyomozásban.

Merre érdemes elindulni?

Nem mindenkinél reális, hogy egyik napról a másikra komplett NDR‑bevezetéssel egészítse ki az EDR‑stacket. Érdemes lépésenként haladni:

  1. Kritikus szegmensek azonosítása: hol a legnagyobb az üzleti kitettség (adatbázisok, OT, pénzügyi rendszerek, felhős core‑szolgáltatások)?
  2. Pilot NDR‑láthatóság: néhány jól megválasztott SPAN/TAP-pont, cloud flow log, és ezek alapján első körös anomáliakép.
  3. Integráció a meglévő SOC/SIEM/EDR‑folyamatokba: szabályok, playbookok, riasztási logika finomítása úgy, hogy a két világ kiegészítse egymást – ne duplán zajongjon, minél kevesebb átfedés legyen.
  4. Folyamatos visszamérés: hogyan csökkent a „vakfolt”, mennyi „ismeretlen ismeretlenből” lett előre detektált esemény.

Összegzés helyett: gondolkodásmód‑váltás

Az NDR nem csodaszer, az EDR pedig nem „praktikusan mindenre jó”. A lényeg az a szemlélet, hogy:

  • ne egyetlen terméktől várjuk a megváltást,
  • hanem több, egymást kiegészítő jelzőrendszert építsünk,
  • amelyekben a végpont- és a hálózatfókuszú észlelés egymásra támaszkodva segít gyorsabban, pontosabban felismerni a valódi támadásokat.

Gyártóink, a Bitdefender és az N-able portfóliójában az EDR, míg a Trellix portfóliójában az EDR és az NDR is megtalálható.

Kérj mérnöki csapatunktól ingyenes demót!