Was ist XDR (Extended Detection and Response)?

Remote-/Hybridarbeit und andere Trends vergrößern die Angriffsflächen, während gleichzeitig die Bedrohungsakteure immer raffinierter und aggressiver werden. Herkömmliche Verteidigungsansätze haben sich als unzureichend flexibel oder intelligent erwiesen. Da die Bedrohungen immer größer werden, benötigen Unternehmen kohärentere, ganzheitlichere, automatisierte und integrierte Methoden, um sie zu bewältigen. Hier kommt Extended Detection and Response (XDR) ins Spiel, ein vorgeschlagener Ansatz zur Vereinheitlichung von Bedrohungserkennung, -suche, -untersuchung und -reaktion. XDR optimiert all diese Funktionen, indem es eng integrierte Echtzeit- oder Fast-Echtzeit-Telemetriedaten aus den wichtigsten Quellen im gesamten Unternehmen nutzt.

Vor XDR haben Endpoint Detection and Response (EDR)-Systeme den Wert von Echtzeit-Erkennung und -Reaktion unter Nutzung von Endpunkt-Telemetrie gezeigt. Neue Cloud-native XDR-Systeme gehen über Endpunkte hinaus und integrieren auch wertvolle Telemetriedaten von E-Mail-Gateways, Identitäts- und Zugriffsmanagementsystemen, Netzwerk- und Cloud-Sicherheitstools und anderen wichtigen Quellen. Mithilfe von fortschrittlichem maschinellem Lernen analysieren sie diese fokussierten Datenströme kontinuierlich, decken mehr Bedrohungen auf und dann leiten sie automatische oder halbautomatische Reaktionen durch dieselben integrierten Systeme.

XDR Erklärt: Wie XDR funktioniert

XDR-Systeme erfassen kontinuierlich gezielte Daten und Warnungen von allen wichtigen Systemen, die mit ihnen verbunden sind, und speisen diese Daten in einen zentralisierten Datensee ein, wo sie bereinigt und normalisiert werden. Wie EDR beginnt auch XDR mit all Ihren immer vielfältiger werdenden Endpunkten - Computer, mobile Geräte, IoT und so weiter. Aber es greift auch auf Daten-Feeds von E-Mail-Sicherheitssystemen, Tools zur Netzwerkanalyse und -transparenz, Identitäts- und Zugriffsmanagement-Plattformen, Systemen zum Schutz von Cloud-Workloads und anderen Quellen zurück.

Anhand dieser einheitlichen, aktuellen Daten wenden XDR-Systeme fortschrittliches maschinelles Lernen an, das über die herkömmliche Korrelation hinausgeht, um neue Bedrohungen in Ihrer gesamten Infrastruktur zu erkennen und gleichzeitig weniger Fehlalarme zu erzeugen. Die Ergebnisse dieser Analyse führen zu spezifischen Maßnahmen. Viele dieser Maßnahmen können innerhalb des XDR-Systems vollständig automatisiert werden, das angeschlossene Systeme wie Endpunkte und E-Mail-Gateways anweisen kann, bestimmte Aktionen ohne menschliches Eingreifen durchzuführen. Andere, komplexere Empfehlungen können visuell dargestellt werden, und die Analysten können alle erforderlichen Maßnahmen von einer einzigen Konsole aus ergreifen, ohne zwischen verschiedenen Tools wechseln zu müssen.

XDR vs. EDR

EDR-Systeme haben gezeigt, dass Unternehmen Bedrohungen effektiver bewältigen können, wenn sie sich auf die aktuellen Aktivitäten an allen Endpunkten konzentrieren, fortschrittliches maschinelles Lernen einsetzen, um diese Aktivitäten zu verstehen und Reaktionen festzulegen, und die Automatisierung nutzen, um überall dort, wo es nötig ist, schnell handeln zu können.

XDR-Systeme bauen auf diesem Prinzip auf, indem sie Datenströme integrieren, die nicht von Endpunkten stammen - z. B. Netzwerke, E-Mails, Cloud-Workloads, Anwendungen, Geräte, Identitäten, Datenbestände, IoT und möglicherweise andere. Durch die Integration dieser Datenströme können mehr Bedrohungen, Sicherheitsverletzungen und Angriffe aufgedeckt werden, und es kann effektiver reagiert werden, da Sie Maßnahmen in der gesamten Infrastruktur und nicht nur an den Endpunkten ergreifen können. Da XDR außerdem einen tieferen Einblick in die genauen Vorgänge erhält, verspricht es, dass weniger Fehlalarme auftreten, die Sicherheitsanalysten frustrieren und ihre Zeit verschwenden.

Warum Unternehmen XDR-Sicherheit brauchen

In einer Zeit, in der es im Wesentlichen keine Netzwerkgrenzen mehr gibt und katastrophale Sicherheitsverletzungen jederzeit von überall her kommen können, müssen sich Sicherheitsteams verstärkt auf die Erkennung von und Reaktion auf Bedrohungen konzentrieren. In vielen Unternehmen haben sich frühere Ansätze wie SIEM-Systeme (Security Information and Event Management) der ersten Generation als unhandlich erwiesen. Sie können schwierig zu implementieren und zu integrieren sein, sind zu kostspielig und zu anfällig für Fehlalarme. Die Verknüpfung von SIEM mit Security Orchestration and Response (SOAR)-Systemen hat einigen Unternehmen geholfen, Reaktionspläne für die Automatisierung von Reaktionen auf bestimmte Bedrohungen zu erstellen, aber die Erstellung dieser Pläne war oft komplexer und schwieriger als erwartet.

Cloud-native XDR-Lösungen versprechen, jedes dieser Probleme zu überwinden, indem sie gezieltere und besser verwertbare Daten, eine bessere Integration, relevantere Erkenntnisse, weniger Fehlalarme und eine einfachere Automatisierung der Reaktionen bieten. Da XDRs über reine Endpunkt-EDR-Lösungen hinausgehen, versprechen sie eine umfassendere Sichtbarkeit und schnellere Reaktion, die mit früheren Tools nicht erreicht werden konnte.

Da XDR-Lösungen relativ neu sind, müssen die Unternehmen sorgfältig abwägen, ob sie diese Ziele in der Produktion tatsächlich erreichen können, ohne auf die gleichen Probleme der Komplexität und unzureichenden Integration zu stoßen wie bei früheren Ansätzen.

Ansätze für XDR: Proprietär vs. Offen

Analysten unterscheiden häufig zwischen zwei großen Kategorien von XDR-Lösungen. Die erste, manchmal als "proprietäres XDR" oder "natives XDR" bezeichnet, geht davon aus, dass ein Unternehmen den größten Teil oder das gesamte Sicherheitssystem eines Anbieters übernimmt. Der XDR-Anbieter sorgt für die Integration der Sicherheitssysteme, die XDR speisen und seine Anweisungen ausführen, indem er die meisten oder alle dieser Systeme selbst bereitstellt. Der Kunde erhält einen einzigen Ansprechpartner, trägt aber auch die erheblichen Risiken einer Sicherheitsmonokultur eines einzigen Anbieters - von der Bindung an einen Anbieter über suboptimale Subsysteme bis hin zu der Sorge, dass Angreifer die Schlüssel zum Königreich erlangen können, indem sie nur einen Verteidiger umgehen. Darüber hinaus kann die Einführung von Monokulturlösungen dazu führen, dass Unternehmen Sicherheitssubsysteme, die noch gut funktionieren, aufgeben müssen.

Im Gegensatz dazu gehen "offene XDR"-Systeme (manchmal auch "hybride XDR" genannt) davon aus, dass die Kunden weiterhin auf bewährte Lösungen wie E-Mail-Gateways zurückgreifen wollen. Diese Systeme werden hauptsächlich über offene APIs integriert. Sie funktionieren am besten, wenn die angeschlossenen Technologien über robuste, ausgereifte, gut dokumentierte und moderne APIs verfügen - zum Beispiel Streaming statt traditioneller REST-APIs.

Offenes XDR erfordert eine tiefe Integration über mehrere Systeme hinweg. Um dies zu fördern, schließen sich XDR-Anbieter und andere Teilnehmer an XDR-Ökosystemen nun in Allianzen zusammen, um gemeinsame XDR-Standards, -Architekturen, -APIs, -Workflows, -Playbooks und -Best Practices zu definieren und weiterzuentwickeln.

XDR-Vorteile und Anwendungsfälle

XDR bietet einen Mehrwert für alle drei Ebenen des typischen SecOps-Teams, von weniger erfahrenen Tier-1-Analysten, die in der Regel Netzwerke überwachen und auf einfache Probleme reagieren, bis hin zu erfahrenen Tier-3-Analysten, die Bedrohungen jagen und hochkomplexe Vorfälle bearbeiten. Durch die Integration von fokussierten Echtzeit-/Nahe-Echtzeit-Daten mit fortschrittlichen Machine-Learning-Analysen in einer Cloud-nativen Umgebung können XDR-Systeme verwendet werden, um:

• Erkennen Sie gezielte Angriffe früher, einschließlich solcher, bei denen die Gefahr besteht, dass wertvolle Kundendaten oder geistiges Eigentum (IP) verloren gehen.
• Erkennen Sie neue Bedrohungen, die von böswilligen oder unvorsichtigen Insidern ausgehen.
• Aufdeckung kompromittierter Endpunkte, die von EDR-Systemen übersehen wurden.
• Geben Sie Analysten der unteren Ebene das Wissen, um komplexere Bedrohungen zu erkennen.
• Rationalisieren Sie die Untersuchungen und kommen Sie der Ursache schneller auf die Spur.
• Lernen Sie aus früheren Angriffen, um zu verhindern, dass sie sich in Zukunft wiederholen.
• Automatisieren Sie viele Reaktionen auf Bedrohungen und vereinfachen Sie diejenigen, die nicht vollständig automatisiert werden können.
• Integrieren Sie eine proaktivere Bedrohungssuche in Ihre Sicherheitsabläufe.

XDR: Worauf ist zu achten, was ist jetzt zu tun, und welche Fehler sind zu vermeiden?

Ergreifen Sie diese Schritte und berücksichtigen Sie diese Punkte, um Ihre Chancen auf einen langfristigen Erfolg mit XDR zu erhöhen:

• Prüfen Sie sorgfältig, ob Sie bereit sind, auf XDR umzusteigen. Sind Sie zum Beispiel bereit, Silos zwischen Endpunkt-, Netzwerk-, Cloud-, Web- und anderen Sicherheitskontrollen sowie zwischen SecOps und IT aufzubrechen? Wenn dies der Fall ist, wird XDR einen weitaus größeren Nutzen bringen - daher sollten Sie sich vor der Einführung von XDR mit den Problemen von Mitarbeitern und Prozessen befassen.
• Planen Sie bei der Festlegung Ihrer XDR-Strategie auch die Anschaffung anderer Sicherheitsprodukte und -dienste - und deren Abschaffung - entsprechend.[1] XDR macht eine tiefgreifende Integration unabdingbar. Alle Systeme, die Sie kaufen oder behalten, sollten daher eine einfache Integration unterstützen, insbesondere über offene APIs.
• Verstehen Sie, was XDR derzeit leisten kann und was nicht. Beispielsweise lösen die meisten XDR-Systeme noch nicht die wichtigen Compliance- und Archivierungsprobleme, die traditionell mit SIEMs gelöst werden, aber Ihr SIEM kann oft XDR-Systeme füttern, da diese die Verantwortung für das Bedrohungsmanagement übernehmen.
• Bewerten Sie gründlich den aktuellen Stand jedes XDR-Produkts, das Sie in Betracht ziehen, einschließlich der zukünftigen Roadmap und Ihres Vertrauens in die Fähigkeit des XDR-Anbieters, diese Roadmap umzusetzen.
• Überlegen Sie, wie XDR Ihnen bei der Anwendung des MITRE ATT&CK® Frameworks helfen kann, um das Verhalten des Gegners während des gesamten Angriffslebenszyklus zu verstehen und darauf zu reagieren. Verstehen Sie, wie XDR-Produkte, die Sie in Betracht ziehen, das Bedrohungsmanagement und die Jagd mit MITRE ATT&CK erleichtern oder nicht.[2]
• Sie müssen sich über die Kompromisse im Zusammenhang mit proprietären und offenen XDR-Systemen im Klaren sein, insbesondere über die Gefahren und Kosten einer Sicherheitsmonokultur eines einzigen Anbieters.

Die Quintessenz

Die Erkennung von und die Reaktion auf Bedrohungen sind heute wichtiger als je zuvor, und mit dem Übergang zu einem vertrauenswürdigen System werden sie sogar noch wichtiger. Herkömmliche Lösungen reagieren zu langsam und ineffizient auf Bedrohungen, so dass Sicherheitsverletzungen unentdeckt bleiben und über einen unerträglichen Zeitraum nicht behoben werden können. XDR wurde entwickelt, um dieses Problem zu lösen. XDR vereint alle relevanten Telemetriedaten, die in einem Unternehmen generiert werden, nutzt diese Daten mit modernstem maschinellem Lernen, vereinfacht die Reaktionen, indem es sie effektiver als SIEM- und SOAR-Systeme automatisiert, und liefert Analysten auf allen Ebenen wertvollere und umsetzbare Erkenntnisse, wenn eine vollautomatische Reaktion nicht möglich ist. Mit XDR können Unternehmen proaktiver werden und Bedrohungen jagen, anstatt darauf zu warten, dass sie sich manifestieren.

Aber XDR ist neu. XDR-Lösungen verändern sich schnell und werden immer ausgereifter. Für Unternehmen bedeutet dies, dass sie sorgfältig planen und bewerten müssen. Sicherheitsteams müssen sich viele Fragen zu XDR-Technologie, -Prozessen und -Mitarbeitern stellen - und da XDR ein noch nie dagewesenes Maß an Integration erfordert, sollten sie ergänzende Systeme wählen, die die Integration erleichtern und nicht erschweren.

XDR-FAQs

Welche Probleme werden mit XDR gelöst?

XDR verspricht, die Erkennung und Verfolgung von Bedrohungen sowie die Untersuchung und Reaktion zu verbessern, zu beschleunigen und zu vereinfachen. Es tut dies durch:

• Vereinheitlichung und Korrelation der wertvollsten Telemetriedatenströme in Echtzeit und nahezu Echtzeit, um neue Bedrohungen schneller und zuverlässiger zu erkennen.
• Automatisierte Reaktion über dieselben Systeme, die Telemetriedaten liefern - z. B. E-Mail-Gateways und Tools zum Schutz von Cloud-Workloads.
• Bessere Unterstützung für Analysten, damit sie schneller und effektiver auf komplexe Bedrohungen reagieren können, die nicht vollständig durch automatische Antworten bewältigt werden können.

Was bedeutet Erkennung und Reaktion im Bereich der Cybersicherheit?

Im Bereich der Cybersicherheit bedeutet threat detection die Verwendung relevanter Datenquellen, um Anzeichen eines potenziellen Eindringens oder einer anderen Bedrohung durch Korrelation von Ereignissen, fortschrittliche Analysen, maschinelles Lernen oder andere Mittel zu erkennen. Threat response bedeutet die Identifizierung und Ergreifung von Maßnahmen zur Beseitigung der Bedrohung - zum Beispiel die Isolierung eines Systems vom Netzwerk oder die Deaktivierung kompromittierter Anmeldeinformationen.

Da Bedrohungen, die nicht beseitigt werden, schnell gefährlicher werden, muss die Erkennung von und Reaktion auf Bedrohungen schnell erfolgen, und das bedeutet, dass man sich so weit wie möglich auf Automatisierung und künstliche Intelligenz verlassen sollte. Oft erstellen Unternehmen automatisierte Playbooks, die komplexe Aktionen auslösen, wenn eine Bedrohung eines bestimmten Typs erkannt wird.

Wie funktioniert XDR mit SIEM?

Während einige Analysten der Meinung sind, dass XDRs SIEMs irgendwann ersetzen könnten, werden viele Unternehmen kurz- bis mittelfristig weiterhin beide Systeme nutzen. Während ein Unternehmen beispielsweise für das Bedrohungsmanagement auf XDR umsteigt, könnte es sein SIEM für die Protokollerfassung, Archivierung und Compliance beibehalten. Eine XDR-Plattform könnte von einem SIEM generierte Warnmeldungen empfangen, weitere Untersuchungen und Analysen automatisieren und dann entweder eine automatisierte Reaktion einleiten oder Analysten auf höherer Ebene bessere Einblicke für eine schnellere manuelle Reaktion geben.

Was ist MDR, und wie unterscheidet es sich von XDR?

Managed Detection & Response (MDR) ist ein Dienst, keine Plattform. Mit MDR delegieren Unternehmen die Rund-um-die-Uhr-Überwachung von Bedrohungen, die Erkennung von Bedrohungen, die proaktive Suche nach Bedrohungen und einige oder alle Reaktionen an einen Dienstanbieter, der sich auf diese Aufgaben spezialisiert hat. Einige Unternehmen nutzen MDR-Dienste, um ihre eigenen Erkennungs- und Reaktionsfähigkeiten zu ergänzen und zu erweitern, anstatt sie gänzlich zu verdrängen.

Wie unterstützt XDR Kunden, die Zero Trust anstreben?

Das Null-Vertrauens-Paradigma bedeutet, dass Sie niemals einem Zugriffsversuch auf ein System, eine Anwendung oder einen digitalen Datenbestand vertrauen. Stattdessen muss jeder derartige Versuch überprüft werden, selbst wenn er aus dem eigenen Netzwerk oder von einem Unternehmensstandort kommt oder wenn ein Benutzer bereits für einen anderen Zweck authentifiziert wurde. Das Engagement für Zero Trust erfordert, dass Unternehmen viele Sicherheitsaspekte neu überdenken und eine kontinuierliche risikobasierte Wachsamkeit an den Tag legen. Unternehmen erkennen nicht nur, dass jeder Zugriffsversuch ein Verstoß sein könnte, sondern auch, dass einige Verstöße unvermeidlich sind und schnell erkannt und behoben werden müssen. Accenture geht davon aus, dass XDR als zentrales Nervensystem dienen kann, das eine durchgängige Zero-Trust-Architektur integriert, die Endpunkte, Netzwerke, E-Mail, Cloud-Workloads, Anwendungen, Geräte, Identitäten, Datenbestände, IoT und mehr umfasst.[3] Echtzeit-Transparenz und schnelle, automatisierte Reaktionen werden für Zero-Trust unerlässlich sein. Da XDR ausgereift ist, verspricht es für viele Unternehmen der beste Weg zu sein, dies zu erreichen.

[1] Innovation Insight for Extended Detection and Response, Gartner

[2] Adapt or Die: XDR is on a Collision Course with SIEM and SOAR, Forrester Research

[3] Wachsende Zero-Trust-Sicherheit mit einer XDR-Strategie, Accenture