Sind SOC-Teams bereit, die Komplexität mit XDR abzubauen?

Einfach ist nicht der Weg der SecOps. Cybersecurity-Teams neigen dazu, Stärke in der Zahl zu suchen und sich mit einer Reihe von Cybersecurity-Tools auszustatten, die von Endpunkten bis zur Cloud reichen. Dementsprechend verwendet fast die Hälfte der Sicherheitsexperten mehr als 20 Tools , um einen typischen Cybersicherheitsvorfall zu untersuchen und darauf zu reagieren, so eine aktuelle IBM-Studie.[1]

Bei diesem Grad an Komplexität ist die Lösung jedoch Teil des Problems geworden. Aus praktischer Sicht erfordert die Verwaltung mehrerer und oft unterschiedlicher Tools, dass Sicherheitsexperten mit zu vielen Dashboards jonglieren und Unternehmen gezwungen sind, Abonnementgebühren für Tools mit sich überschneidenden Funktionen zu zahlen. Bislang gibt es kaum Belege dafür, dass mehr Werkzeuge zu besseren Ergebnissen bei der Bekämpfung von Cyberangriffen führen. Die Vorfälle nehmen zu - im letzten Jahr um 50 %.^[2] Das gilt auch für die Ausgaben für Cybersicherheit, die laut Gartner in diesem Jahr um 12,2 % steigen werden.^[3] 

Und in einer kürzlich auf der diesjährigen RSA-Konferenz durchgeführten Umfrage bezeichneten mehr als vier von zehn Befragten das Überangebot an Sicherheitstools sogar als ihre größte Herausforderung. Mehr als die Hälfte gab an, dass sie "mehr als 50 % ihres Budgets für Cybersicherheit verschwendet haben". Der Clou? Sie konnten die Bedrohungen immer noch nicht beseitigen.[4]

Dennoch gibt es immer mehr Software-Tools für die Cybersicherheit, denn das Erkennen, Analysieren und Reagieren auf Bedrohungen ist kompliziert. Die Angriffsfläche wird immer größer und kann verschiedene Geräte, Anwendungen, Cloud-Dienste, Microservices und mehr umfassen. Ein Angreifer kann an einem Punkt durch das Netz schlüpfen und an anderer Stelle zusätzlichen Schaden anrichten. So können beispielsweise EDR-Tools (Endpoint Detection and Response) zwar Endpunkte abhören, decken aber keine Cloud-basierten Bedrohungen ab. 

Inzwischen ist das Ökosystem der Cybersicherheit so zersplittert, dass ein Experte namens Cole Grolmus sogar damit begonnen hat, es als "praktischen Ansatz zur Bewältigung der enormen Größe des Ganzen" zu kartieren. [5]  

Wie können Cybersicherheitsteams dieses Problem der Komplexität überwinden und eine widerstandsfähigere Zukunft aufbauen? Die Sicherheitsindustrie entwickelt neue Architekturen, wie z.B. Extended Detection and Response (XDR), und geht Kooperationen ein, wie z.B. Mimecast API Alliances, die die Sicherheitslösungen der Partner über Programmierschnittstellen miteinander verbinden.

XDR: Eine Alternative zur Komplexität 

Sicherheit ist alles andere als eine grüne Wiese. Ein "Do-over" mit einer einzigen Konsole und einer Architektur, die die Erfassung und Analyse von Endpunkt-, Netzwerk- und Cloud-Telemetrie automatisiert, wäre hilfreich. In der Praxis müssen neue Lösungen jedoch in bestehende Ökosysteme integriert werden und die Komplexität erheblich reduzieren, während sie gleichzeitig zu besseren Geschäftsergebnissen führen. 

Mit XDR können Sicherheitsteams überzeugendere Ergebnisse erzielen, indem sie eine Lösung einsetzen, die Cybersecurity-Risiken gründlicher angeht als andere bestehende Produkte wie SIEM (Security Information and Event Management) und SOAR-Plattformen (Security Orchestration, Automation and Response). 

XDR trägt dazu bei, die Erkennung von und Reaktion auf Bedrohungen zu verbessern, indem es verwertbare Erkenntnisse generiert, ohne dass es zu den zahlreichen Fehlalarmen kommt, die viele andere Systeme untergraben. Eine kürzlich durchgeführte Umfrage ergab, dass SOC-Teams in der Regel mehr als 11.000 Warnmeldungen pro Tag erhalten und dass Analysten fast 70 % ihrer Zeit damit verbringen, Warnmeldungen zu untersuchen, zuzuordnen oder darauf zu reagieren."[6]

Befürworter von XDR führen drei Möglichkeiten an, wie XDR die Komplexität für SOC-Teams reduzieren kann:

• Integrierter Einblick: SIEM ist schwierig zu implementieren und erzeugt zu viele Fehlalarme. In einer Cloud-nativen XDR-Lösung kann durch die Integration von Daten vom Endpunkt bis zur Cloud eine einzige Ursache für mehrere Systeme ermittelt werden, was einen besseren Einblick in Angriffe ermöglicht. XDR schafft in der Tat ein Netzwerk von Sicherheits-Ökosystem-Inputs. Integrierte Lösungen sind notwendig, da es keinen monolithischen Ansatz gibt, der in allen Bereichen der Beste ist. 
• Das Beste aus allen Welten: Während SIEM den Schwerpunkt auf die Erkennung und SOAR auf die Reaktion legt, benötigen Sie beide Fähigkeiten. SOC-Teams sind in der Regel personell unterbesetzt und überbesetzt. Durch die Konsolidierung und Zentralisierung von Funktionen zur Erkennung, Untersuchung und Reaktion auf Bedrohungen kann XDR ein breiteres Spektrum von Angriffen abdecken und schneller Ergebnisse liefern. SIEM wird jedoch nicht gänzlich verschwinden; Sie werden SIEM weiterhin für die Protokollverwaltung, die Datenaufbewahrung und andere Formen der Compliance-Überwachung benötigen.   
• Bessere Daten für datengesteuerte Entscheidungen: Laut Accenture kann XDR eine "Zero-Trust"-Architektur bereitstellen und Unternehmen dabei helfen, einen "datenzentrierten Ansatz für die Cybersicherheit" zu verfolgen, was zu einer "verbesserten Fähigkeit führt, bösartige Akteure zu erkennen und auf sie zu reagieren", die das Unternehmen bedrohen. SOC-Teams müssen ihre Sichtbarkeit auf in der Cloud bereitgestellte Anwendungen und Microservices erweitern.[7]

Trends in der Cybersicherheitsbranche: Weg von der Komplexität

Die Cybersicherheitsbranche ihrerseits konsolidiert sich mit aktiven Fusionen und Übernahmen unter den Anbietern verschiedener Punktsicherheitslösungen. Führende Sicherheitsanbieter treiben die Integration auch im Rahmen neuer Kooperationen wie der XDR Alliance voran.

Mit Mimecast als Mitglied hat die XDR Alliance kürzlich das Open Source Common Information Model als kollaboratives XDR-Framework veröffentlicht, das eine einfache Integration von Sicherheitstools ermöglicht. Viele der beteiligten Anbieter sind auch Partner in weniger formellen API-Allianzen, so dass ihre Produkte über APIs miteinander verbunden werden können und sie sogar bei der Integration von Standard-Sicherheitslösungen zusammenarbeiten. Wenn sie erfolgreich sind, könnten Allianzen wie diese einen Teil der Komplexität der heutigen SOC entwirren.        

Die Quintessenz

Sind die Sicherheitsteams bereit, unnötige Komplexität abzubauen? Die Antwort ist ein eingeschränktes Ja, denn niemand will mehr Monitore und Anwendungen mit redundanten Funktionen. An ihrer Stelle wird ein Ansatz wie XDR, der alle Eingaben vom Endpunkt bis zur Cloud verarbeiten und analysieren kann, das Gewirr an Sicherheitssoftware-Tools reduzieren, die den Sicherheitsexperten die tägliche Arbeit erschweren. Erfahren Sie mehr in unserem Whitepaper "XDR: Was Sie wissen sollten, was Sie jetzt tun müssen".

[1] "Cyber Resilient Organization Study," IBM und Ponemon Institute 

[2] "Businesses Suffered 50% more Cyberattack Attempts per Week in 2021," Dark Reading

[3] "Prognose für Informationssicherheit und Risikomanagement weltweit, 2020-2026," Gartner

[4] "Cybersecurity Budgets werden durch eine Überfülle von Tools verschwendet," Saryu Nayyar, in Forbes

[5] "Cybersecurity Ecosystem," Cole Grolmus

[6] "Cutting Through the Noise from Daily Alerts," Palo Alto Networks, in Threat Post

[7] "Wachsende Zero-Trust-Sicherheit mit einer XDR-Strategie," Accenture