Get Cyber Resilient Ep 96 | Die wunderbare Welt von XDR - mit Jason Duerden, Regional Director für SentinelOne ANZ
Jason Duerden, Regionaldirektor von SentinelOne ANZ, ist diese Woche im Podcast zu Gast und führt uns durch die wunderbare Welt von XDR (Extended Detection and Response).
Jason führt uns durch die Entwicklung von Endpoint Antivirus über EDR zu dem, was XDR heute bedeutet.
Wir sprechen über die Überschneidungen und die Verwirrung mit SIEM- und Speichertechnologien und darüber, wo alle drei in das große Ganze passen, und werfen dann einen Blick in die Kristallkugel, um Jasons Ansicht über die Zukunft von XDR zu verstehen.
Die Get Cyber Resilient Show Episode #96 Mitschrift
Garrett O'Hara: Willkommen zum Podcast "Get Cyber Resilient". Ich bin Gar O'Hara. Heute sprechen wir mit Jason Duerden, dem Regionaldirektor für Australien und Neuseeland von SentinelOne, über die wunderbare Welt von XDR. Jason führt uns durch die Entwicklung von Endpunkt-AV über EDR zu dem, was XDR heute bedeutet. Wir sprechen über die Überschneidungen und die Verwirrung mit SIEM- und Speichertechnologien und darüber, wo alle drei in das große Ganze passen, und wir runden das Gespräch mit einem Ausblick auf die Zukunft von XDR ab. Zurück zum Gespräch.
Willkommen zum Get Cyber Resilient-Podcast. Ich bin Gar O'Hara. Heute haben wir Jason Duerden, den Regionaldirektor von SentinelOne für Australien und Neuseeland, zu Gast. Wie geht es Ihnen heute, Jason?
Jason Duerden: Hey Gar. Schön, wieder... Schön, wieder im Podcast zu sein. Ich hoffe, es geht Ihnen gut. Danke, dass ich dabei sein durfte.
Garrett O'Hara: Es ist fantastisch, dass Sie wieder da sind. Kaum zu glauben, dass es Oktober 2020 war, als Sie das letzte Mal hier waren, es ist also schon eine Weile her, aber, ähm, ja, schön... schön, dass Sie hier sind. Wir haben darüber gesprochen und gesagt, dass wir die Leute auf deine Biografie vom letzten Mal verweisen und auf die erweiterte Fassung der Biografie. Ähm, aber, äh, ja, nur um die Leute über die letzten paar Jahre zu informieren, was ist... was ist passiert?
Jason Duerden: Ja. Ich meine, ähm, wie jeder, die verrücktesten zwei Jahre deines Lebens. Ich denke, zumindest in unserer Generation [lacht]. Ähm, aber wissen Sie, ich bin vor fast einem Jahr zu SentinelOne gekommen, richtig? Ich bin schon seit geraumer Zeit in der Sicherheitsbranche tätig. Es ist ein wirklich spannender Ort, an dem wir uns befinden, und wir stehen wirklich an der Schwelle zur Entwicklung von Endpunkten und EDR, und das ist offensichtlich, worüber wir mit XDR sprechen. Und, ähm, ich hatte das Glück, den Börsengang des Unternehmens im letzten Jahr mitzuerleben, was, denke ich, wenn man in unserer Branche auf der... auf der Anbieterseite in welcher Rolle auch immer tätig ist, eine ziemlich coole Erfahrung ist, die man irgendwann in seiner Karriere machen sollte. Und es war natürlich ein Privileg, in so kurzer Zeit hier zu sein und das zu erleben. Aber es war wirklich cool und aufregend für all die Leute, die innerhalb des Unternehmens so hart gearbeitet haben, um den Erfolg zu erreichen, den wir haben. Das war also eine wirklich coole Erfahrung.
Und dann haben wir fleißig unsere Präsenz hier in Australien und Neuseeland aufgebaut, also... Ja, es waren ein paar wirklich gute Jahre, und ich glaube, wir kommen jetzt ein wenig zur Normalität zurück, also freue ich mich darauf, wieder zur Normalität zurückzukehren, ich schätze, Sie wissen schon, Interaktionen mit den Leuten da draußen auf dem Markt mit einigen der Konferenzen und Dinge, die anstehen. Also ja.
Garrett O'Hara: Ja, das ist... das... das ist großartig. Bei meinen letzten beiden Stellen habe ich buchstäblich fast einen Kalendermonat nach dem Börsengang angefangen. Ich konnte es nicht glauben. Ähm, ja, beide Male. Ich habe das Gefühl, dass ich ein paar magische Eigenschaften habe, bei denen ich einfach die Zeit vor dem Börsengang vermisse.
Hören Sie, wir wollten heute eigentlich über XDR sprechen. Offensichtlich ist das sozusagen der Sweet Spot von SentinelOne und das, wofür ihr Jungs bekannt seid. Ich dachte, wir könnten vielleicht ein wenig zurücktreten und zu EDR zurückkehren, um uns einen Überblick zu verschaffen. Sie wissen schon, was ist EDR im Vergleich zu, in Anführungszeichen, "legacy" endpoint protection. Ähm, und Sie sagten, sozusagen als Einstieg in das Gespräch damals auf XDR.
Jason Duerden: Ja. Ich meine, das ist sozusagen der Markt der Akronyme mit drei Buchstaben, oder?
Garrett O'Hara: [lacht]
Jason Duerden: Wir... Oder manchmal vier, je nachdem, ob Sie AV der nächsten Generation oder EPP oder EDR, XDR sagen. Das ist ziemlich verwirrend. Ähm, ich meine, ich denke, der einfachste Weg, das zu erklären, ist, dass es wirklich drei... es gibt wirklich drei Definitionen, die ich... Ich würde sehen, ist... AV ist die Vergangenheit, so Antivirus ist die Vergangenheit, die wirklich über den Schutz ist. EDR ist die Gegenwart, in der es vor allem um Erkennung, Reaktion und Widerstandsfähigkeit geht. Und dann ist XDR die Zukunft, richtig?
Wenn wir es also ein bisschen aufschlüsseln... ein bisschen detaillierter, dann haben wir Tools der nächsten Generation, die sehr stark vom Menschen abhängig sind, und Legacy-Tools, die sehr stark vom Menschen abhängig sind. Die Entwicklung des Marktes geht also in Richtung Autonomie, richtig? Autonome Technologie und - und das ist es, was wir bei SentinelOne in den Vordergrund stellen und worüber wir sprechen.
Aber wenn man sich die Geschichte anschaut, ist es wahrscheinlich der Sicherheitsmarkt, der am reifsten für Innovationen und Umwälzungen ist. Richtig? Denn der Markt wurde in den 80er Jahren geschaffen, er wurde in den 90er Jahren bekannt, und es dauerte bis 2010 oder bis Mitte der 2000er Jahre, bis es wirklich zu Innovationen kam. Aber das hing auch davon ab, was auf dem Markt in Bezug auf die Gegenseite geschah. Es war ziemlich einfach, Malware und Bedrohungen zu stoppen, wenn es nur ein paar Hundert sind, die da draußen in der Cyberwelt passieren. Aber heute sind es, wie Sie wissen, jeden Tag Millionen. Hunderttausende von Unternehmen werden ständig von einem Zwischenfall heimgesucht, und zwar aufgrund dieses veralteten Ansatzes, nicht wahr? Dieser veraltete, auf Unterschriften basierende Technologieansatz. Das ist also sozusagen die Entwicklung.
Wenn man ein wenig vorspult, wo wir heute stehen, dann ist dieser Teil des Marktes in Bezug auf EDR und XDR wirklich - ich würde sagen, 2016, 2017 - voll durchgestartet. Also ziemlich neu, oder? Ich meine, es ist wirklich...
Garrett O'Hara: Ja.
Jason Duerden: ... erst kürzlich, aber es hat die Art und Weise, wie wir über Sicherheit denken, völlig revolutioniert, und ich denke, das gilt für mehrere Sektoren, oder? Nicht nur Endpunkte. Wie Gateways, E-Mail, was auch immer es sein mag, wo die Endpunkte wirklich zum zentralen... zum zentralen Punkt werden, richtig? Denn gerade bei COVID ist das Netz nicht das A und O. Der Endpunkt ist die Kante, usw., usw. Wir wissen, wie sich das in den letzten Jahren entwickelt hat.
Ähm, aber wenn man über den gegenteiligen Ansatz nachdenkt... der gegenteilige Ansatz ist, dass Sie diese KI zur Prävention hatten. KI für EDR sind zu diesem Zeitpunkt zwei getrennte Märkte, oder? Es gab einen AV-Markt der nächsten Generation und einen Markt für Endpoint Detection und Response. Es ist ein wenig umstritten, aber man könnte sagen, dass EDR damals, in seiner ersten Phase, wirklich eine verbesserte Version von Legacy-Endpunkten war. Richtig? Denn EDR wurde größtenteils noch auf der Grundlage bekannter Mengen betrieben. Richtig? Indikatoren für eine Kompromittierung, Indikatoren für einen Angriff, Taktiken, Techniken, Verfahren, TTPs. All diese Dinge sind nach wie vor bekannt. Wenn man also an die traditionelle EV denkt, weiß man, dass man mit einer Unterschrift das Schlechte stoppt. Bei EDR wissen Sie über ein Verhalten oder eine Regel Bescheid und stoppen die schlechte Sache. Richtig? Es wurde einfach eine schickere Version, die auf einer besseren Intelligenz basiert.
Was ich heute vorausschicken möchte, ist, dass nicht alles davon in XDR umgesetzt wurde, das jetzt im Jahr 2022 existiert, richtig? Es ist also nicht alles gleichwertig. Und ich glaube wirklich, dass die... Ich will SentinelOne nicht zu sehr verkaufen, aber für uns war der Differenzierungspunkt bei der Änderung des Modells die verhaltensorientierte KI, oder? Wir bewegen uns also weg vom IOA-, IOC-, TTP- oder Signaturmodell, egal ob es sich um ein AV- oder ein EDR-System handelt, hin zu einer kontextbezogenen Erkennung auf der Grundlage von maschinellem Lernen. Und das ermöglicht... Und das... Wissen Sie, wir machen das sehr gut. Es ist nicht unbedingt einzigartig, äh, nur für SentinelOne in jedem Cybersecurity-Bereich, den es je gab, aber es ist ziemlich einzigartig für uns von der Endpunkt-Seite.
Wenn man das Ganze aus einer kontextbezogenen Perspektive betrachtet, wird die Abhängigkeit von so genannten atomaren Erkennungen aufgehoben. Sie wissen schon, ein oder zwei einzelne Dinge, die vielleicht schlecht erscheinen. Dabei handelt es sich höchstwahrscheinlich um Fehlalarme, denn das ist ein großes Problem bei der Sicherheit. Viele gute Dinge sehen schlecht aus und viele schlechte Dinge sehen gut aus, oder? Wie treffen Sie die Entscheidungen. Ein oder zwei Dinge in einer Sequenz sind also wahrscheinlich nichts, worüber man sich Sorgen machen sollte, aber drei bis vier oder fünf Dinge in einer Sequenz, das ist der Zeitpunkt, an dem man tatsächlich in der Lage ist, Entscheidungen auf der Grundlage des Kontexts zu treffen, anstatt Erkennungen auf der Grundlage von atomaren Aktionen, wenn das irgendwie Sinn macht. Das ist also der Punkt, an dem ich die Wende und den Wandel gesehen habe, und das ist es, was XDR in die Zukunft liefert.
In diesem Kontext können wir damit beginnen, die Menschen aus dem Kontext zu entfernen. Ich denke, wir werden heute ein wenig darüber sprechen, was die Zukunft von XDR ist.
Garrett O'Hara: Mm-hmm.
Jason Duerden: ... um zu versuchen, den Menschen so weit wie möglich aus der Gleichung zu entfernen. Verstehen Sie? Und ich erinnere mich, dass wir vor ein paar Jahren darüber gesprochen haben. Es liegt in der menschlichen Natur, dass wir gierig sind und uns gerne wichtig und besonders fühlen. Und das sollten wir auch, oder? Wir sind eine ziemlich erstaunliche, ähm, Spezies. Aber die Realität sieht so aus: Wir sind langsam, manchmal sind wir müde, wir treffen schlechte Entscheidungen, wir haben einen Kater oder wir haben uns mit unserem Ehepartner gestritten oder was auch immer. Aber auch in Bezug auf die Antwort, so dass unser Beitrag Minuten, Stunden, Tage oder Monate dauern kann, richtig? Wir haben z. B. gesehen, dass die durchschnittliche Erkennungs- und Verweildauer manchmal 200 Tage beträgt, wenn ein IBM-Sicherheitsbericht oder ähnliches herauskommt, und solche verrückten Dinge. Und das liegt an den Menschen, nicht wahr? Denn sie sind so sehr von uns abhängig, um das Rauschen zu filtern und die richtigen Entscheidungen zu treffen, dass das Versprechen von XDR, basierend auf den Fähigkeiten der Verhaltens-KI, der Kontext ist, den Menschen so weit wie möglich auszuschalten, oder?
Es ist also ziemlich cool. Es ist großartig, ein Teil des Marktes zu sein. Und selbst vor fünf Jahren wäre dieses Gespräch wahrscheinlich ein wenig fremd gewesen. Und ich glaube, wenn ich mich fünf Jahre zurückversetze, dann war ein Gespräch, in dem Antivirenprogramme maschinelles Lernen nutzten, wahrscheinlich ein fremdes... ein fremdes Gespräch. Es ist also eine verrückte Innovation in den letzten paar Jahren, oder?
Garrett O'Hara: Ja, das hat es wirklich. Und ich habe das Gefühl, dass wir den Hype-Zyklus bei Technologien wie maschinellem Lernen und KI im weitesten Sinne wirklich hinter uns gelassen haben.
Jason Duerden: Ja.
Garrett O'Hara: Ähm, und ich habe diese Bemerkung schon ein paar Mal in der Sendung gemacht. Wissen Sie, wir haben uns als Branche definitiv übernommen, und man konnte nicht zu einem Vortrag gehen, man konnte nicht... man konnte nichts im Cyber-Bereich tun, ohne dass ML, Sie wissen schon, irgendwo auftauchte. Und es war... es war... es war wahrscheinlich ein bisschen früh, aber es fühlt sich an wie, ähm, zu Ihrem Punkt, diese Komplexität, wie wir als Unternehmen arbeiten, richtig, die digitale Verbindung von Unternehmen untereinander; alles ist heutzutage digital. Und die Systeme, die darauf aufgebaut sind, sind unglaublich komplex, so wie sie es früher nicht waren. Wissen Sie, das ist die Realität. Das war vor 20 Jahren noch nicht der Fall.
Und all diese Verbindungspunkte zwischen, Sie wissen schon, Unternehmen A und Unternehmen B, C, D, bis hin zu, Sie wissen schon, wie vielen Unternehmen sie verbunden sind, all die Kanäle, die uns jetzt zur Verfügung stehen, ob das nun E-Mail ist oder, äh, Web-Apps, Web, Sie wissen schon, reines Web, ähm, Slack, Teams, wie, es gibt so viele verschiedene, Art von, Einstiegspunkte, dass, äh, ich stimme Ihnen vollkommen zu. Man kommt an einen Punkt, an dem die Fähigkeiten dieser Maschinen, die auf unvollkommenen Tagen, Schlafmangel und Koffein beruhen, einfach nicht mehr ausreichen. Wie sollte ein Mensch dazu in der Lage sein?
Ist das also... ist das die Richtung, in die wir gehen? Es scheint nämlich so zu sein, dass das die Stoßrichtung Ihrer Aussage ist, dass wir uns von sehr, sehr definierten Listen von "hier, wenn wir das sehen, tun wir das" wegbewegen, während wir uns jetzt viel mehr auf die Suche nach Mustern begeben, auf die Suche nach... auf die Suche nach einem Signal in diesem riesigen Meer von Lärm. Und das ist die Art von Entwicklung, die wir fortsetzen werden.
Jason Duerden: Ja. Ich meine, ich denke, es wird immer einen Platz für den Ruf geben. Richtig? Es wird immer einen Ort geben...
Garrett O'Hara: Jep.
Jason Duerden: ... für die schwarze Liste und die Reputation, denn wenn man davon weiß, warum sollte man es dann nicht auf diese Weise verhindern? Das ist doch ganz einfach, oder? Es ist ganz, ganz einfach. Und das... sogar bei den Endpunkten, der Fähigkeit, die Reputation vom Gerät in die Cloud zu verlagern, gab es eine enorme Leistungssteigerung, richtig? Denn man muss nicht diese riesigen DAC-Dateien haben, die auf den Geräten liegen und jeden Tag heruntergeladen werden müssen. Der Ruf wird also immer weiter bestehen. Offensichtlich wird das immer reaktiv sein, richtig? Deshalb können wir uns nicht auf diese Schutzmechanismen verlassen.
Aber sicherlich ist die Idee, sich in Richtung Muster zu bewegen... ich würde sagen, Muster im Kontext, das ist der Punkt, an dem es wirklich ankommt. Muster erfordern also immer noch bekanntes Wissen, oder? All diese Dinge, wissen Sie, wir gehen durch die Entwicklung von Signaturen zu Heuristiken zu grundlegender ML zu fortgeschrittener ML, was immer Sie für sich selbst entscheiden, was das bedeutet. Aber all diese Dinge erfordern immer noch eine Art von Ausbildung oder Definition, und das wird sich nicht unbedingt ändern. Was sich jedoch ändert, ist die Art und Weise, wie man die Informationen aufnimmt, um eine Entscheidung zu treffen. Die Kontextengine ist also wirklich wichtig, zum Beispiel, wenn Sie ein Gerät benutzen, eine E-Mail öffnen, einen Anhang öffnen und ein Skript in einem Makro im Dokument abfeuern. Oder was auch immer. Das Makro führt also ein Skript aus. Und das bringt nicht unbedingt etwas. Ist das bösartig? Vielleicht. Richtig? Ist es... Ist es gut? Vielleicht. Wenn es nichts bewirkt, ist es dann etwas, worüber man sich Sorgen machen muss?
Das bedeutet, dass es keine tatsächlichen Auswirkungen auf das Gerät gibt, aber nur weil es aussieht, als sei es bösartig, aber nichts getan hat, ist es noch lange nicht bösartig. Wenn das Sinn macht. Aber der Kontext, in dem sich das abspielt, wenn da tatsächlich eine Akte heruntergezogen wird und das dann ein... einfach ein allgemeiner Arbeitsplatz in einem Krankenhaus ist, der ein Empfangstresen ist oder so etwas, der Kontext, in dem sich das abspielt, macht es schlimm. Richtig?
Das macht es möglich, dass der Mensch den Kontext nicht mehr selbst erstellen muss. Sie wissen also selbst, dass Sie, wenn Sie mit Unternehmen über Sicherheit sprechen, immer über den Kontext in den... in den Gestaltungsprinzipien ihres Geschäfts sprechen. Richtig? Was ist also wichtig für die Art und Weise, wie Sie arbeiten? Denn die Entwickler in einem bestimmten Unternehmen oder die Mitarbeiter an der Rezeption oder in der Buchhaltung oder im Finanzwesen verhalten sich alle ein wenig anders, je nachdem, wie sie ihre Arbeit erledigen. Das ist es also, worüber wir wirklich reden, es ist in der Lage, nicht nur genaue Entscheidungen zu treffen, sondern auch kontextbezogene Entscheidungen, so dass, wenn der Mensch mit dem Output interagiert, das Signal, der tatsächliche Rauschanteil ziemlich gut ist... nicht [lacht]... es wird nie ganz verschwinden, aber zumindest das Signal, das durchkommt, hat ein höheres Maß an Vertrauen, weil man weiß, dass es von einem Kontext oder einem analytischen Entscheidungsfindungsprozess gesteuert wird.
Garrett O'Hara: Ja. Ja, das macht Sinn. Wir... Wenn Sie über den Kontext sprechen, dann fällt mir ein, dass es wahrscheinlich... Ich meine, der Kontext der Art der Organisation, ich glaube, Sie erwähnten eine Gesundheitseinrichtung, beispielsweise ein Krankenhaus.
Jason Duerden: Mm-hmm.
Garrett O'Hara: Und wissen Sie, viele Krankenhäuser werden genauso arbeiten. Der Kontext für sie als eine Art Vertikale, die Kommunikationspaare, die Systeme, die sie verwenden würden, wären in gewisser Weise ähnlich. Dasselbe gilt für die Finanztechnologie. Wissen Sie, es gibt Organisationsformen, bei denen man... Ist es fair zu sagen, dass Sie anfangen könnten, Super-Muster zu ziehen? Oder ich weiß nicht, wie Sie... wie Sie sie überhaupt nennen würden. Aber, Sie wissen schon, Muster für etwas Höheres als das Individuum..., Sie wissen schon, die Organisation oder sogar das Individuum. Wissen Sie, während Sie da reden, denke ich, dass es wahrscheinlich einen Typus von Person gibt, der ein Arzt ist, einen Typus von Person, der ein [unhörbar 00:16:33], ähm, Verwalter ist, einen Typus von Person, der, sagen wir, ein Buchhalter und ein Programmierer ist, und sie - sie würden eine Art von Betriebsparametern haben, die Sie in einem gewissen Sinne erwarten würden, dass Sie ähnlich arbeiten würden? Oder ist das, wissen Sie, irgendwie unrealistisch?
Jason Duerden: Nein, ich denke, das ist realistisch für die zukünftige Entwicklung im Bereich des maschinellen Lernens. Ich glaube, wir sind noch nicht ganz auf diesem Niveau. Ein Beispiel dafür wäre heute das statische maschinelle Lernen zur Erkennung von Malware, oder? Jedes Unternehmen auf der Welt verwendet in irgendeiner Form Windows, Mac oder Linux als Betriebssystem, oder? Windows ist die dominante... die dominante Version davon. Und es gibt Hunderte von Millionen von Dateien für all das. Nun, wahrscheinlich Windows. Mac und Linux ein bisschen weniger. Aber es gibt eine Menge Daten - Datenpunkte, die für diese Art von Betriebssystemen verfügbar sind.
Es gibt spezielle Anwendungen für das Gesundheits- oder Finanzwesen oder für kritische Infrastrukturen oder was auch immer, die auf den Anforderungen und Anwendungsfällen dieser Umgebungen basieren, aber letztendlich laufen sie immer noch auf einer bestimmten Art von Grundlage oder Betriebssystem.
Statisches maschinelles Lernen ist in der Lage, allgemein über Malware, Dateien, ausführbare Dateien und Dokumente und all diese Dinge zu lernen, um eine Entscheidung zwischen gut und schlecht zu treffen. Bei der Verfeinerung des maschinellen Lernens wird jedoch die Anpassung von Anwendungen berücksichtigt, die für bestimmte Anwendungsfälle geschrieben werden. Im Gesundheitsbereich haben Sie vielleicht benutzerdefinierte Apps oder Apps, die von...
Garrett O'Hara: Ja.
Jason Duerden: ... Anbieter, die nicht unbedingt auf die beste Weise aufgebaut sind. Und, wissen Sie, maschinelles Lernen würde wahrscheinlich sagen, dass es damit einige Probleme gibt, aber wir trainieren und entwickeln maschinelles Lernen, um den Kontext dieser speziellen Anwendung in dieser speziellen Umgebung zu verstehen.
Wie sich das auf den Menschen überträgt, werden wir in den nächsten Jahren sehen, wenn sich diese Technologie weiterentwickelt. Aber auf der Verhaltensseite geht man von der Betrachtung des Betriebssystems und der Dateistrukturen zur ganzheitlichen Betrachtung des Geräts über, richtig? Und die Art und Weise, wie n- das Gerät interagiert. Und es gibt Beispiele für Verhaltensmodelle, die auch auf der Netzwerkebene funktionieren, nicht wahr? Wenn man sich den Ost-West-Verkehr anschaut, dann sieht man normale Muster und normale Verbindungen. Dies geschieht also bereits aus einer nicht profilbasierten oder aus einer vermögensbasierten Sichtweise. Aber ich denke, dass die Beschäftigung mit dem menschlichen Element wahrscheinlich an der nächsten Grenze liegt. Das wird ziemlich knapp, um durchzukommen. Also -
Garrett O'Hara: Ja, auf jeden Fall. Wenn XDR ein Thema ist, und ich habe das schon oft gehört, wird eine der ersten Fragen, die vielen Leuten in den Sinn kommt, die nach einer Version eines SIEMs. Sie wissen schon, Sie nehmen... Sie nehmen Telemetrie von einem Ort. Ähm, und gibt es da Überschneidungen in Bezug auf den Nutzen? Ähm, was sind die großen Unterschiede? Natürlich kann ein SIEM nicht das leisten, was ein XDR-Ansatz leisten würde, aber es wäre gut, diese Frage aus dem Weg zu räumen. Was ist das Delta, was ist der Unterschied zwischen einem SIEM und XDR?
Jason Duerden: Ja. Ich meine, du hast definitiv Recht [inaudible 00:20:04], das ist normalerweise die erste Frage, oder? Ist wie, wie... Ist dies ein Ersatz für mein SIEM oder ist es ein SIEM? Und was ist eigentlich ein... wie sieht das aus? Es gibt wahrscheinlich... Ich meine, es gibt eine kurze und eine kontroverse Antwort. Ich mag es, ein wenig kontrovers zu sein, also gebe ich Ihnen beides.
Garrett O'Hara: Ja, natürlich. (lacht)
Jason Duerden: Ich meine, es fühlt sich... [lacht] Das ist immer lustig.
Garrett O'Hara: Wir werden es einfach herausschneiden, so dass nur die umstrittene Antwort da ist.
Jason Duerden: Ja.
Garrett O'Hara: [lacht]
Jason Duerden: Nun, die kurze Antwort ist einfach. Die kurze Antwort lautet: Nein, es handelt sich nicht um ein SIEM. Um-
Garrett O'Hara: Ja.
Jason Duerden: Aber die umstrittenen, wie... Wenn man über SIEM an sich nachdenkt, gibt es ein starkes Argument dafür, dass SIEM noch nie wirklich das geliefert hat, was es eigentlich sollte. Richtig? Als das, was es zu sein versprach: der Retter in Sachen Sicherheit. Richtig? Denn wenn Sie Ihre Daten zentralisieren und sie mit ein paar Tricks bearbeiten, können Ihre SOC-Teams bessere Entscheidungen auf der Grundlage mehrerer Eingangspunkte treffen. Was in gewisser Weise auch stimmt. Es gibt diese Möglichkeit, aber sie ist so komplex, kostspielig und überwältigend geworden, dass sie selbst im obersten Bereich der Unternehmen nicht mehr das Ergebnis bringt, für das sie eigentlich bekannt war. Und ich denke, dass die meisten Sicherheitsexperten, wenn sie ehrlich zu sich selbst sind, dieser Aussage in gewissem Maße zustimmen werden.
Ich gehe noch einen Schritt weiter und behaupte, dass SIEM in der Regel auch nicht über die erforderlichen analytischen Fähigkeiten verfügt, also Datenanalyse, Intelligenz und Automatisierung. Denn wenn man an ein SIEM denkt, dann zieht ein SIEM im Wesentlichen Protokolle ein, die von der Logik eines anderen Systems erstellt werden. Es handelt sich also größtenteils nicht um Rohdaten oder Telemetrie. Wenn Sie also z. B. Firewall-Protokolle, Endpunkt-Protokolle, E-Mail, CASB, E-Gateway, was auch immer, einbeziehen, ist Ihr SIEM nur so gut, wie die Erkennungsstrukturen der anderen Technologie sind. Wenn Sie also Produkte haben, denen es an Antiviren- oder E-Mail-Gateway oder was auch immer fehlt, sind Sie bereits im Nachteil, weil Sie nur das sehen, was das Signal für Sie bereitstellt. Um noch einmal auf das Gespräch von vorhin zurückzukommen, in dem es um das Verhältnis von Rauschen zu Signal ging... zu Signal. Darauf haben Sie keinen Einfluss. Und Ihr SIEM verbessert das nicht, es zeigt Ihnen nur, was bereits in Ihrer Umgebung vorhanden ist.
Wenn man also davon ausgeht, dass XDR in einem ähnlichen Bereich spielt, aber eine andere Erfahrung bietet, und die Aussicht auf ein besseres Ergebnis ist, dann liefert es all diese Dinge wirklich schneller, besser und intelligenter. Richtig? XDR wird also eine Quelle für wirklich alles sein. Also Protokolldaten von den Systemen, die Sie heute haben, und/oder rohe Telemetriedaten. Richtig?
Das bedeutet, dass die in XDR integrierten Analyse- und Erkennungsmodule auf maschinellem Lernen und nicht auf Regeln basieren. Wenn Sie also an ein SIEM denken, dann besteht SIEM aus der Korrelation von Regeln, richtig? Man baut im Grunde Sequenzen und Dinge auf, die, wenn dies passiert, dann das. Das ist so etwas wie eine erste Welle von EDR, IOAs, IOCs, TTPs oder signaturbasierter AV, richtig? XDR bringt also das maschinelle Lernen in die rohe Telemetrie und die Datenanalyse ein. Das bedeutet, dass das Signal von XDR sowohl von den externen Quellen als auch von der Analyse der rohen Telemetrie geliefert wird. Und das ist wirklich, wenn Sie an irgendetwas denken, was den Unterschied zwischen SIEM und... SIEM und XDR sehen wollen, dann ist das der analytische Teil, richtig? Denn wir sind in der Lage, diese rohen Telemetriedaten zu erfassen.
Der nächste Teil ist dann der Kontext. Richtig? Wir müssen also immer wieder auf den Kontext zurückkommen. Wenn Sie also in der Lage sind, die Telemetrie und die Protokollquellen zu sammeln und sozusagen einen Datensee zu haben, der Ihre... Ich schätze, dass Ihr Sichtfenster, die Analysen, die dann die Feststellung treffen, dass etwas Schlimmes passiert, auch in der Lage sind, die Geschichte zu liefern. Richtig? Um zu sagen: "Hey, XDR hat festgestellt, dass in Ihrer Umgebung etwas Schlimmes vor sich geht. Hier sind alle Dinge in Ihrem Ökosystem, die davon betroffen sind: Web-Gateway, Endpunkt, Identität, dies, das, dies, das," und fügen Sie es zu einer wirklich schön anzusehenden, äh, Geschichte im Wesentlichen zusammen, richtig? Der Analyst kann dann sehr schnell entscheiden, wie er damit umgehen will.
Ich hoffe also, dass das die Sichtweise, wie wir sie sehen, erklärt.
Garrett O'Hara: E- Das tut es. Und vielleicht habe ich das falsch verstanden. Einige der... einige der Argumente, die ich für SIEM und XDR habe, sind, dass SIEM wirklich eine Menge Protokollspeicherung ist, einige Korrelationen, wie Sie sagen, eine Art ziemlich statischer, regelbasierter Ansatz, um - theoretisch - Ereignisse zu erkennen, die Aufmerksamkeit erfordern.
Jason Duerden: Mm-hmm.
Garrett O'Hara: Und es fühlt sich so an, als ob das eine längerfristige Speicherung von vielen Protokollen wäre, während XDR ein bisschen mehr, ähm... und ich hasse es, das Wort "agil" zu benutzen, weil es in so vielen verschiedenen Zusammenhängen verwendet wird [lacht], aber es hat eine bessere und potenziell kleinere, aber in einer nützlichen Weise kleinere Art von Daten, die es betrachtet und dann überlagert, wie Sie sagen, den ML-Ansatz, um das zu geben - das, was hier vor sich geht, das Menschen wirklich verstehen können. Aber ich habe das Gefühl, dass XDR unmittelbarer ist, mehr... dass es ein Werkzeug ist, mit dem man sofort reagieren kann, im Gegensatz zu einem "Wir müssen hier mit einer Lupe reingehen und nach dem Zeug suchen".
Jason Duerden: Nun, es wird beides geben, richtig? Also -
Garrett O'Hara: Okay.
Jason Duerden: ... XDR ist absolut echtzeitfähig. Richtig? Das liegt daran, dass XDR eine Weiterentwicklung von EDR ist, und EDR ist Echtzeit. Richtig? Diese 100 % sind also vorhanden. Aber - und das ist... das ist die verwirrende Sache mit dem XDR-Markt, denn es gibt wirklich native, hybride und offene. Es hängt also davon ab, welche Art von XDR-Anbieter Sie sind.
Garrett O'Hara: Jep.
Jason Duerden: ... wie dieses Gespräch aussehen würde. Denn wenn Sie nicht in der Lage sind, rohe Telemetriedaten zu nutzen und darauf aufbauend Analysen durchzuführen, würde dieses Gespräch nicht wirklich mit dem Anbieter stattfinden. Denn einige XDR-Strategien sind eine Art glorifizierter SIEM-Technologien, aber sie sind immer noch nur Log-Ingestion, richtig? Es handelt sich nur um Protokolle von Systemen. Es handelt sich eigentlich nicht um rohe Telemetrie. Wenn Sie jedoch die Möglichkeit haben, rohe Telemetriedaten und Protokolle zu erfassen... Sie haben also alle drei Möglichkeiten. Sie haben Ihre nativen Quellen von... wissen Sie, in unserer Welt sind es unsere Sentinels, also unsere Agenten, die rausgehen und bereitstellen, Sie haben Ihre hybriden Quellen von Ihren Integrationen mit, Sie wissen schon... das ist zum Beispiel ein E-Mail-Gateway wie Mimecast oder ein Web-Gateway wie Netskope oder Zscaler. Sie erhalten die Protokollquellen und Informationen, dass sie zurückkommen. Aber das letzte Stück ist die Offenheit, also die Fähigkeit, alles einzunehmen. Unabhängig davon, ob es sich um sicherheitsrelevante oder nicht sicherheitsrelevante Informationen handelt.
Nun, diese Einnahme hat keine... sie hat keine Lebenserwartung, richtig?
Garrett O'Hara: Okay.
Jason Duerden: Also, es...
Garrett O'Hara: Jep.
Jason Duerden: ... es wird so lange gesammelt, wie der Kunde es offensichtlich braucht, aber es kann drei Monate, 12 Monate oder wie auch immer aufbewahrt werden und kann im Nachhinein eingesehen werden, wenn es nötig ist. Aber der Wert dieses Speichers unter XDR besteht darin, dass Sie die maschinellen Lernanalysen haben, die ihn ständig analysieren. Richtig?
Also zurück zu Ihrer... Sie haben vorhin einen guten Punkt angesprochen: SIEM ist ziemlich statisch. Richtig? Auf der Grundlage der Regeln und des Zeitpunkts, zu dem man sie entwickelt, wird XDR aktiv. Die Telemetriedaten werden ständig analysiert, da Sie die Daten mit maschinellen Lernmodellen bearbeiten. Also -
Garrett O'Hara: Ja. Das ist gut - eine gute Klarstellung. Ich hatte auf jeden Fall die... ha- wissen Sie, wie ich es mir vorgestellt habe, war nicht korrekt nach dem, was Sie gerade gesagt haben. Also, ja, ich weiß die Klarstellung zu schätzen.
Sehen Sie, der letzte Teil, den ich irgendwie ansprechen möchte, ist, ähm, offensichtlich Ihre... es wird... die Antwort [inaudible 00:28:22]
Jason Duerden: Mm-hmm.
Garrett O'Hara: Und, da wir schon oft darüber gesprochen haben, SOAR ist die andere große Technologie oder Automatisierung im Allgemeinen. Sie wissen schon, eine Art automatisierte Reaktion mit dem Ziel, die durchschnittliche Zeit bis zur Entdeckung und schließlich zur Reaktion zu verringern. Und genau darüber möchte ich jetzt sprechen.
Aus Ihrer Sicht, wenn jemand eine reine SOAR-Plattform gegenüber einer XDR-Philosophie oder -Architektur ins Auge fasst, was sind dann die Vor- und Nachteile?
Jason Duerden: Ja. Ich meine, es gibt potenziell Überschneidungen. Richtig? Ich denke, es hängt wirklich davon ab, wie das Betriebsmodell in der Umgebung aufgebaut ist, oder? Und offen gesagt ist jemand, der sich SOAR ansieht, in der Regel eine recht anspruchsvolle Umgebung, oder? Sie würden ja auch nicht unbedingt ein SOAR kaufen, wenn Sie keine Leute hätten, die wissen, was sie tun, oder? Es ist ein bisschen wie...
Garrett O'Hara: Ja.
Jason Duerden: ... Sie würden EDR nicht kaufen, wenn Sie nicht jemanden hätten, der versteht, worum es bei der Bedrohungsjagd geht, richtig? Man würde gewissermaßen einen Dienst kaufen, um das zu konsumieren. In dieser Hinsicht ist es also sehr ähnlich. Ich meine, SOAR könnte immer noch Ihre Playbooks verwalten und es könnte immer noch Feeds von einem XDR wie SentinelOne erhalten. Ähm, weil man das als eine Art Sammelpunkt für Vorfälle verwenden könnte. Richtig? Manchmal wird es also immer noch Anwendungsfälle geben, in denen das getrennt sein muss, vor allem, wenn XDR von SOC-Umgebungen betrieben wird, aber nicht notwendigerweise von Incident-Response-Gruppen, oder wenn sie unterschiedliche Zugriffsanforderungen haben oder unterschiedliche Tools benötigen. Richtig? Es gibt also noch...
Garrett O'Hara: Jep.
Jason Duerden: ... potenziell einige Überschneidungen und es gibt immer noch eine potenzielle Koexistenz, die bestehen würde. Ähm, ich glaube, die... Ich denke, der wichtigste Punkt wird sein... Es kommt wirklich auf das Budget an. Also -
Garrett O'Hara: Jep.
Jason Duerden: Ich denke, für 99 % des Marktes werden SIEM, SOAR und XDR dasselbe sein und es wird ein XDR sein. Denn Sie erhalten nicht nur alle Funktionen zur Erkennung, zum Schutz, zur Vorbeugung und zur Behebung von Problemen, sondern auch die hybride Integration in andere Systeme, über die wir bereits gesprochen haben, wie z. B. Web und E-Mail und was auch immer es sonst noch sein mag, und Sie können alles aufnehmen. Richtig? Und, wissen Sie, in unserem XDR zum Beispiel, können Sie Sicherheits- und Nicht-Sicherheitsanwendungsfälle haben, die Sie sich ansehen möchten. Ich denke also, 99 % des Marktes werden sich darauf einstellen.
Und dann gibt es noch das eine Prozent des Marktes, das weiter diversifizieren wird. Es ist eine Art Risikodiversifizierung, aber in gewisser Weise auch eine Diversifizierung der Werkzeuge. XDR wird das Informationszentrum sein, das die Grundlage für die Suche bildet.
Garrett O'Hara: Jep.
Jason Duerden: ... der Sicherheit, und dann haben Sie vielleicht kleine Teile von Tools, die bestimmte Funktionen erfüllen, die Sie für bestimmte Teams benötigen. Also -
Garrett O'Hara: Ja. Nein, das macht absolut Sinn. Was... Was ist hier die Zukunft? Sie haben am Anfang einen Witz gemacht, als Sie an die Akronyme mit drei Buchstaben dachten, und es scheint, als würden wir die Buchstaben vor DR einfach durchgehen. Ähm, so wie es in anderen Bereichen der Cybersicherheit der Fall ist.
Aber wie sehen Sie hier die Zukunft? Sie haben zu Beginn des Gesprächs ein wenig darüber gesprochen, aber ich würde gerne damit abschließen. Wie, wohin gehen wir mit, ähm, dem, Sie wissen schon, Unterstrich DR [inaudible 00:31:52]
Jason Duerden: Ich meine, die Realität ist, dass XDR erweitert wird, also ist es in gewisser Weise grenzenlos. Richtig? Ich meine, es geht darum, was auch immer Sie konsumieren können, so wird es ablaufen. Ich weiß also nicht unbedingt, ob es noch einen weiteren Buchstaben gibt, der vor DR kommt, aber ich denke, wir stehen erst an der Spitze des Eisbergs dessen, was XDR eigentlich ist. Richtig? Und wir haben heute schon über die verschiedenen Märkte gesprochen, auf denen wir die Konvergenz von AV, EPP, EDR und all diesen Funktionen gesehen haben, die jetzt in erster Linie als XDR bezeichnet werden und eine Weiterentwicklung von EDR sind. Und jetzt gibt es eine Diskussion darüber, ob XDR das Richtige ist. Wie passen SIEM und SOAR und all diese anderen Tools irgendwie dazu? Und ich glaube, wir stehen gerade erst an der Spitze der Definition dieses Marktes, oder? Ich denke also, dass ein Zusammenbruch und eine Konvergenz noch lange auf sich warten lassen. Aber die Realität ist, dass XDR die grundlegende Plattform ist. Wie ich schon sagte, ist XDR das Informationszentrum und bildet die Grundlage. Das gesamte Bedrohungsmanagement, die gesamte Analyse, die gesamte Speicherung, die gesamte Telemetrie und die gesamte Jagd befinden sich also in einer XDR-Technologie.
Bei der Implementierung von Kontrollen und Richtlinienelementen, wie z. B. E-Mail-Gateways, SASE, DLP, Zugriff, Identität, all diese Dinge, ist XDR wie ein Statthalter. Darüber hinaus sorgt das Bedrohungsmanagement dafür, dass die Telemetrie und die Interaktion mit all diesen Systemen das tun, was sie tun sollen.
Und das führt zu Resilienz. Wenn Sie also an die Widerstandsfähigkeit von Unternehmen denken. Wenn man also bedenkt, dass es bei Antivirenprogrammen der nächsten Generation sehr stark um den Schutz von Geräten ging. Richtig? Lassen Sie uns sicherstellen, dass das einzelne Gerät nicht von Ransomware befallen wurde. Richtig? Oder nicht beeinträchtigt wurde. Die EDR hat sich wirklich auf den Vorfall konzentriert. Richtig? Wir haben also einen Vorfall, der sich auf mehrere Systeme ausgewirkt haben könnte, und wir erhalten Informationen, die uns sagen, dass nicht nur dieses Gerät betroffen ist, sondern auch dieses Gerät und dieser Server und dies und das. Und wir können das als Zwischenfall behandeln. Mit XDR können Sie dies für das gesamte Unternehmen tun. Richtig? Das Ergebnis der geschäftlichen Belastbarkeit ist also zumindest die Strategie, auf die wir hinarbeiten. Also...
Garrett O'Hara: Fantastisch. Äh, Jason, vielen Dank, dass Sie heute dabei sind. Ich liebe diese Gespräche wirklich. Es gibt definitiv einige Dinge, die mir im Zusammenhang mit XDR klarer geworden sind. Ich vermute, dass ich nicht der Einzige bin, der die Überschneidungen und den Trubel, der in den verschiedenen Funktionsbereichen der Cybersicherheit herrscht, manchmal verwirrend findet. Ich weiß das also wirklich zu schätzen. Ich habe auf jeden Fall etwas gelernt, und ich weiß Ihre Zeit zu schätzen. Vielen Dank, dass Sie sich uns wieder angeschlossen haben. Und, ähm, ja, wer weiß, vielleicht kommen wir in zwei Jahren dazu, uns zum dritten Mal zu unterhalten [lacht].
Jason Duerden: [lacht] Nein, ich hoffe es. Danke Gar, ich weiß das wirklich zu schätzen.
Garrett O'Hara: Vielen Dank an Jason, dass er sich uns angeschlossen hat. Und wie immer vielen Dank, dass Sie sich den Get Cyber Resilient-Podcast angehört haben. Stöbern Sie in unserem Episodenkatalog, abonnieren Sie uns und hinterlassen Sie uns bitte eine Bewertung. Bis dahin, bleiben Sie sicher und ich freue mich darauf, Sie in der nächsten Folge zu sehen.