Cyberbedrohungen
XDR: Integration für Sicherheit auf neuem Niveau
Gast-Blog, gesponsert von Trend Micro - IDC-Analyst Michael Suby erläutert, wie wichtig es ist, die Security-Integrationen von XDR zu verbessern
Originalartikel von Michael Suby, Research Vice President, Security and Trust, IDC
Die Disziplin der Cybersicherheit umfasst die Sammlung und Analyse von Daten sowie die präzise, zuverlässige und schnelle Reaktion auf Bedrohungen. Da die Akteure hinter den Angriffen mehrere Angriffsvektoren und eine Reihe von lateralen Bewegungstaktiken nutzen, reicht eine einzige Telemetriequelle nicht aus, um alle Verzweigungen bei Angriffskampagnen vollständig aufzudecken. Telemetriedaten müssen schnell und zuverlässig aus mehreren Quellen gesammelt und korreliert werden – von Endpunkten, E-Mails, Netzwerkroutern, Gateways, Proxys und Authentifizierungssystemen – um ein genaues und umfassendes Verständnis des Geschehens zu erlangen.
Diese Forderung wird auch durch die EDR- und XDR-Umfrage von IDC (Dezember 2020) bestätigt: Mehr als zwei Drittel der Befragten stuften neun verschiedene Telemetriequellen als „nützlich“ oder „sehr nützlich“ für die Erkennung von Bedrohungen ein. Zusätzliche Quellen bergen jedoch das sehr reale Risiko, die ohnehin schon unüberschaubare Menge an falsch-positiven Alarmen zu erhöhen. In der gleichen Umfrage waren zu viele False Positives auch der am häufigsten genannte Grund dafür, nicht alle Alarme zu untersuchen.
Die COVID-19-Pandemie hat die Gegebenheiten für Sicherheitsoperationen verschlechtert. Unternehmen beschleunigen ihre Cloud-Migrationen, und bei vielen haben sich die Mitarbeiter buchstäblich über Nacht von der Vor-Ort- auf Remote-Arbeit verlagert. Während einige Mitarbeiter irgendwann wieder im Unternehmen arbeiten, wird ein größerer Prozentsatz als zuvor entweder vollständig oder routinemäßig für einen Teil der Arbeitswoche von zu Hause aus arbeiten.
Dies in Verbindung mit der stetigen Verbreitung des Internet of Things (IoT) führt dazu, dass sich der digitale Fußabdruck von Unternehmen verbreitert hat, dynamischer und diversifizierter geworden ist und zunehmend außerhalb der traditionellen Perimeter-Verteidigung liegt. Bedrohungsakteure erkennen die Anfälligkeit, die diese Umstände der Cyberabwehr von Unternehmen bescheren. Infolgedessen sind Echtzeit-Telemetrie aus einer Vielzahl von Quellen und eine schnelle Analyse von einem „Nice-to-have“ zu einem „Must-have“ avanciert.
Neuer Ansatz ist gefragt
Unternehmen mit etablierten Security Operations Centern (SOCs) verfügen über ein Fundament, auf dem sie aufbauen können. Die Weiterentwicklung ihrer Tools und die Optimierung ihrer Arbeitsabläufe werden ihnen gute Dienste leisten. Für die vielen Unternehmen aber, die nur über ein SOC-Lite oder gar keines verfügen, werden sich die Defizite gegenüber Bedrohungsakteuren nur noch vergrößern, wenn sie nicht handeln. Und angesichts des andauernden Mangels an Fachkräften im Bereich der Cybersicherheit und der Budgetbeschränkungen ist es keine praktikable Option, dieses Defizit durch Ausgaben zu beheben. Sie brauchen einen neuen Ansatz.
Die Marktforscher von IDC sind der Ansicht, dass ein XDR-Plattform-Ansatz ein Unternehmen mit Defiziten bezüglich eines SOCs auf den richtigen Weg bringen kann. Aber was ist eine XDR-Plattform? Im Wesentlichen definiert sich eine XDR-Plattform (Extended Threat Detection and Response) durch die Integration mehrerer SOC-Funktionen in eine einzige Security Operations Platform.
Anstatt mehrere zweckbestimmte Tools von verschiedenen Anbietern zusammenzubasteln und mit selbst entwickelten Workflows zu umgeben, um die Datensammlung, Korrelation, Analyse und Reaktion zu erleichtern, werden diese Funktionen sofort in die Plattform integriert und durch eine Basis von automatisierten Workflows aktualisiert. Das übergreifende Ziel einer XDR-Plattform ist es, Sicherheitsteams auf ein höheres Wissensniveau zu bringen, um ihnen die Möglichkeit zu geben, eine sich ständig verändernde Bedrohungslandschaft mit Angriffsflächen und Cyber-Angreifern zu bekämpfen.
Die Erweiterbarkeit der XDR-Plattform ist an fünf Fronten entscheidend:
- Die Plattform ist Plug-and-Play: Einbinden neuer und vorhandener Telemetriequellen ohne Neukonfiguration oder Anpassung durch den Nutzer.
- Die Plattform erhält automatisch ein Upgrade: Korrelations- und Analysealgorithmen werden im Laufe der Zeit weiterentwickelt, um Angriffe aus Low-Level-Signalen in mehreren Quellen zu erkennen.
- Die Plattform erkennt, dämmt ein und stellt wieder her: Automatische Weiterleitung und Bestätigung von Eindämmungsmaßnahmen an den optimalen Kontrollpunkten (z. B. Endpunkte, Firewalls, E-Mail-Server, Authentifizierungsserver usw.). Und auf ähnliche Weise werden die Systeme durch einen automatisierten Prozess, der sich leicht in das bestehende IT-Managementsystem des Unternehmens integrieren lässt, in den Zustand vor der Kompromittierung zurückversetzt.
- Die Plattform ist selbst lernend: Die Abschaffung manueller Aufgaben ist ein entscheidender Vorteil, wenn es darum geht, Bedrohungen schneller, mit größerer Zuverlässigkeit und Vollständigkeit und mit weniger menschlichem Eingreifen und potenziellen Fehlern zu erkennen und darauf zu reagieren. Enthaltene Workflows stellen Sicherheitsteams an die Ausgangslinie eines Automatisierungspfads, indem sie systematisch Basis-Workflows verfeinern.
- Die Plattform ist multifunktional: Die Befragten der EDR- und XDR-Umfrage von IDC sehen die Vorteile von XDR nicht nur in der Verbesserung der „Detect and Response“-Funktionen. Weitere Vorteile liegen in der Prävention und umfassen die Stärkung der Sicherheitshaltung Endpunkten gegenüber und die Reduzierung des Zeitaufwands für die Administration und Verwaltung der Endpunktsicherheit. Eine wirklich erweiterbare XDR-Plattform verbessert nicht nur ihre Kernfunktionen, sondern auch die angrenzenden Funktionen.
Bedrohungsakteure werden ihre Methoden weiter verbessern und ihre Fähigkeit ausbauen, mehr Organisationen mit häufiger und wirksamer anzugreifen. Um dieser Realität entgegenzuwirken, müssen Unternehmen ihre Sicherheitsabläufe verbessern. Ein XDR-Plattform-Ansatz kann das Mittel dazu sein.