Cyberbedrohungen
The Real Thing: XDR versus „Next Gen EDR“
EDR-Anbieter fügen derzeit ihren bestehenden Architekturen XDR-Fähigkeiten hinzu und bezeichnen diesen erweiterten Ansatz als „Next-Gen“. Doch die Unterschiede zu "echtem" XDR sind groß.
on Trend Micro Research
XDR (Extended Detection and Response) stellt eine bedeutende Weiterentwicklung im Sicherheitsmarkt dar, und dahinter stecken echte Substanz und Potenzial für die Anwender. Diesen Bedarf haben auch viele traditionelle EDR (Endpoint Detection and Response)-Anbieter erkannt und ergänzen ihre Lösungen mit entsprechender Funktionalität und sprechen dabei von „Next Gen“. Wie so oft im Sicherheitsmarkt sind die Unterscheidungsmerkmale zu EDR und der Wertbeitrag von XDR in den Nuancen zu finden – dem Was, Warum, Wie der Technologiedetails hinter den Behauptungen. Trend Micro als Anbieter von XDR-Lösungen zeigt diese auf.
Datensammlung ist nicht das Problem
Die Fähigkeit, Telemetrie und Logeinträge zu sammeln, ist weder neu noch einzigartig. Mehr Log-Dateien können zwar technisch gesehen mehr Sichtbarkeit bedeuten, aber das heißt nicht zwangsläufig auch mehr Einsichten oder schnelleres Handeln (Mean Time To Detect – MTTD oder Mean Time To Respond – MTTR). Der Unterschied von XDR-Plattformen zeigt sich in dem, was mit den gesammelten Daten getan wird.
Das Erfassen mehrerer Logdatenströme und sie durchsuchbar zu machen, lässt mehrere Annahmen zu, die aber möglicherweise nicht zutreffen. Dazu gehören:
- All diese Daten werden für eine automatisierte Korrelation verwendet – XDR sollte über eingebaute Erkennungsmodelle verfügen, die über die bisherigen Datensilos hinausgehen, um in großem Umfang die Ereignisse und Aktivitäten zu korrelieren, die nicht nur innerhalb des Endpunkts, sondern auch darüber hinaus stattfinden – das ist der Kerngedanke von XDR.
- Die Daten werden dazu verwendet, um eine angriffszentrierte grafische Ansicht einer gesamten Ereigniskette über alle Sicherheitsebenen hinweg darzustellen, mit der Fähigkeit, eine Root-Cause-Analyse durchzuführen, das Ausführungsprofil eines Angriffs zu betrachten und das Ausmaß der Auswirkungen auf alle Assets zu identifizieren.
- Es besteht die Möglichkeit, über die verschiedenen Vektoren hinweg, aus denen die Daten eingespeist werden, direkt zu reagieren (schließlich steht das „R“ in XDR für „Response“, also für eine Reaktion, die über den am Endpunkt durchgeführten Vorgang hinausgeht).
Die Anreicherung der vorhandenen Endpunkt-Telemetrie mit Datenquellen von Drittanbietern ist zwar eine XDR-Komponente, doch um Kundenbedürfnisse zu erfüllen, muss die Lösung in der Lage sein, die volle Bandbreite an Erkennungs- und Reaktionsfunktionen auch für andere Schichten zur Verfügung zu stellen. Während traditionelle EDR-Anbieter ihren Lösungen ausbauen, indem sie mehr Daten erfassen, bleiben viele der tiefgreifenden Analysefunktionen sowie die Untersuchungs- und Reaktionskomponenten auf den Endpunkt beschränkt. Und mit wenig direkter Erfahrung außerhalb von EDR kann das grundlegende Verständnis für die Erkennung von und Reaktion auf Bedrohungen für andere Vektoren fehlen.
XDR-Ebenen haben Auswirkungen
Generell gilt: Je mehr Sicherheitsvektoren in einer einzigen, integrierten XDR-Plattform zusammengefasst sind, desto größer sind die Korrelationsmöglichkeiten und desto umfassender die Erkennung, Untersuchung und Reaktion. Eine Bedingung dafür ist, dass sichergestellt wird, dass die Sicherheitsebenen, die den größten Einfluss haben können, berücksichtigt werden. Während der Endpunkt oft Standard ist, könnten darüber hinaus gehende Vektoren eine wichtige Rolle spielen, wie z.B.:
Email: Email ist ein natürlicher Erweiterungspunkt für XDR. EDR kann zwar erkennen, dass eine Bedrohung über Email ins Unternehmen gelangt ist, kann aber keine wichtigen Details zum Ausmaß der kompromittierten Konten liefern und daher die Verbreitung der Bedrohung nicht direkt entfernen oder stoppen. In Anbetracht der Tatsache, dass die überwiegende Mehrheit der Social-Engineering-Angriffe mit einer Email beginnt, ist die Kombination von Email mit Endpoint Detection und Response eine leistungsstarke Funktion.
Netzwerk mit netzwerkbezogenen Sensoren: Die Kombination von Netzwerk und Endpunkt ist ebenfalls äußerst wertvoll, denn die von einem Endpunkt-Agenten erfassten Netzwerkdaten sind möglicherweise nicht vollständig. Zum Beispiel zeichnet er etwa nicht den gesamten ein- und ausgehenden IP-Verkehr auf, und, was noch wichtiger ist, ein Endpunkt-Agent kann nur Telemetriedaten von den Endpunkten sammeln, auf denen er installiert ist. Aus Netzwerkperspektive besteht der Vorteil von XDR darin, dass die Aktivitäten der nicht verwalteten Geräte angezeigt werden, die für das Unternehmen unsichtbar sind, wie ein Gerät eines Vertragspartners oder ein BYOD-System, aber auch OT-Geräte, z. B. Drucker, Sonnenkollektoren und andere. Viele der großen Einbrüche betreffen Endgeräte, auf denen kein EDR-Agent installiert war oder sein konnte.
Cloud Workloads & Applikationen: Bedrohungen nehmen die Cloud anders ins Visier, und deshalb sind neue Techniken und Abwehrmechanismen erforderlich, um Cloud-Anwendungen zu sichern, die mit Workloads, Containern, Serverless, Cloud-Netzwerken und Cloud-Dateispeichern schnell bereitgestellt werden. Diese Umgebungen erfordern Fähigkeiten zur Erkennung von Workloads und Cloud-Infrastrukturen, die sich in die großen öffentlichen und privaten Cloud Provider-Plattformen wie Amazon Web Services (AWS), Microsoft® Azure™ und Google Cloud Platform™ (GCP) integrieren lassen. Mit dieser Integration profitiert das Security Operations Center (SOC) von der automatischen Sichtbarkeit neuer Cloud-Infrastrukturen und spezifischer Anwendungen/Workloads, die es den Profis ermöglicht, eine größere Menge an Daten zu durchsuchen und die Ursache für Unregelmäßigkeiten zu ermitteln. Darüber hinaus machen Schwachstellen und netzwerkbasierte Angriffe auch vor der Cloud nicht halt. Daher ist der Einsatz von Intrusion Detection / Prevention (IDS/IPS)-Technologie, die Cloud-Angriffe schnell untersucht, eine wichtige Ebene, die es zu berücksichtigen gilt. Da ein beträchtlicher Teil der Cloud-Workloads und -Anwendungen auf Linux® basiert, ist eine Plattform gefragt, die Hunderte von Builds und Kerneln auf diesen Plattformen unterstützt.
XDR heißt mehr als oberflächliche Integrationen
Eine XDR-Lösung besteht mitnichten lediglich aus dem Montoring und der Analyse von Events in einer Produktsuite. XDR sollte nicht nur eine einheitliche Datenschicht liefern, sondern eine einheitliche Plattform für alle Erkennungs- und Reaktionsaktivitäten. Bezüglich einer einheitlichen Datenschicht kann ein Anbieter mit tiefgreifendem Verständnis der Daten seiner eigenen Sensoren Folgendes leisten:
- Genaues Wissen dazu bieten, welche Daten gesammelt werden müssen, um die Sicherheitsanalyse-Engines in der Cloud für korrelierte Erkennung und tiefgreifende Untersuchungen zu optimieren. So wird sichergestellt, dass nur benötigte, relevante und kontextbezogene Daten erfasst werden.
- Den Anwender dabei unterstützen, Modelle auf Basis der Bedrohungsdaten zu erstellen. So hat Trend Micro Research 15 globale Bedrohungsforschungszentren, Hunderte von Sicherheitsexperten und Datenwissenschaftlern, die ständig Informationen sammeln.
- Wissen dazu, wie die Daten am besten definiert, strukturiert und gespeichert werden.
- Definitionen von Erkennungen und Indikatoren zur Schwere der Gefahr können variieren, da jeder Anbieter seine Daten anders definiert. Am besten versteht jeder Anbieter seine eigenen Logs und kann sie dementsprechend normalisieren – dies ist von entscheidender Bedeutung, um Expertenanalysen auf den Daten für tiefgehende Analysen anwenden zu können.
- Kann die effizienteste Struktur auf Basis der Datenmerkmale auswählen, und damit die Datennutzung optimieren und zu große Data Lakes vermeiden. So könnte beispielsweise für Netzwerkdaten eine Graphdatenbank am effizientesten sein, während für Endpunktdaten Elasticsearch oder ein anderer Datenbanktyp vorzuziehen wäre. Verschiedene Data-Lake-Strukturen für unterschiedliche Telemetrie bedeuten einen erheblichen Unterschied in der Effizienz und Effektivität bei der Erkennung, Korrelation und Suche.
Das bedeutet aber nicht, dass Integrationen von Dritten nicht wichtig sind oder keinen Mehrwert bieten, aber ein XDR-Ansatz, der durch Drittanbieterintegration definiert ist, kann nicht die gleichen Fähigkeiten bieten. Sicherlich haben Kunden auch andere Sicherheitstools oder -technologien im Einsatz, sodass Integrationen erforderlich sind, um aussagekräftige Daten zu erhalten, die XDR-Warnungen anreichern und validieren können.
XDR ist eine speziell entwickelte Plattform
Traditionelle EDR-Anbieter fügen derzeit ihren bestehenden Architekturen XDR-Fähigkeiten hinzu, oft durch die Integration von Drittanbietern, und bezeichnen diesen erweiterten Ansatz als „Next-Gen“. In Anbetracht des Umfangs von XDR sind jedoch diejenigen Lösungen, die von Grund auf für XDR entwickelt wurden, auch die mit den nützlichsten Fähigkeiten und dem größten Potenzial.
Es gibt grundlegende Unterschiede bei der effektiven Erfassung, Analyse und Verarbeitung von Daten über mehrere Sicherheitsebenen hinweg, im Vergleich zu dem, was lediglich für den Endpunkt erforderlich ist. Es gibt unterschiedliche Datenbedürfnisse etwa hinsichtlich der Ansichten/Aktionen zur Untersuchung oder der Reaktionsmöglichkeiten. XDR konzentriert sich auf die Dinge, die einzelne Erkennungs- und Reaktionslösungen allein nicht leisten können.
Letztendlich geht es darum, Unternehmen die Möglichkeit zu geben, mehr zu sehen und schneller zu reagieren. Es geht darum, die Silos aufzubrechen, das Rauschen zu minimieren und die Sicherheitsanalysten effizient zu unterstützen.