Was ist XDR? (Extended Detection and Response)

XDR (Extended Detection and Response) erfasst und korreliert Daten automatisch auf mehreren Sicherheitsebenen – E-Mail, Endpunkt, Server, Cloud-Workload und Netzwerk. Dies ermöglicht eine schnellere Erkennung von Bedrohungen und verbesserte Untersuchungs- und Reaktionszeiten durch Sicherheitsanalysen.

Wenn es um Erkennung und Reaktion geht, stehen die Analysten des Security Operations Centers (SOC) vor einer gewaltigen Verantwortung. Sie müssen kritische Bedrohungen schnell identifizieren, um Risiken und Schäden für die Organisation einzugrenzen. 

Konfrontiert mit Warnungen, die von verschiedenen Lösungen generiert werden, sind IT- und Sicherheitsteams häufig überlastet. Ein Unternehmen mit durchschnittlich 1.000 Mitarbeitern kann bis zu 22.000 Ereignisse pro Sekunde in seinem SIEM-System (Security Information and Event Management) verzeichnen. Das sind fast 2 Millionen Ereignisse an einem Tag.^[1] Die Mitarbeiter verfügen über begrenzte Mittel, um diese zu korrelieren und zu priorisieren, und haben Probleme, schnell und effektiv kritische Ereignisse aus den Daten herauszufiltern. XDR verknüpft automatisch eine Reihe von fragwürdigeren Aktivitäten zu einem zuverlässigeren Ereignis, damit lediglich die Warnungen angezeigt werden, für die Maßnahmen ergriffen werden sollten.

Viele Sicherheitsprodukte machen Aktivitäten transparent. Jede Lösung bietet eine spezifische Perspektive. Daten werden nach Relevanz und Nützlichkeit für diese spezifische Funktion erfasst und bereitgestellt. Die Integration von Sicherheitslösungen kann den Austausch und die Konsolidierung von Daten ermöglichen. Der Nutzen ist jedoch oft begrenzt durch die Art und Tiefe der gesammelten Daten und den Grad der möglichen korrelierten Analyse. Entsprechend gibt es auch für Analysten Grenzen in puncto Transparenz. Im Gegensatz dazu sammelt XDR einen vollständigen Data Lake der Aktivitäten (Erkennungen, Telemetrie, Metadaten und Netflow) in den jeweiligen Sicherheitstools und bietet Zugriff darauf. XDR stellt mithilfe von komplexen Analysen und Bedrohungsinformationen den kompletten Kontext bereit, der für die angriffszentrierte Sicht auf eine ganze Kette von Ereignissen über alle Sicherheitsebenen hinweg erforderlich ist.

Da es viele Protokolle und Warnungen, jedoch keine deutlichen Indikatoren gibt, ist schwer festzustellen, wonach zu suchen ist. Wenn ein Problem oder eine Bedrohung auftritt, lassen sich der Weg und die Auswirkungen auf die Organisation nur schwer ermitteln. Eine Untersuchung kann zeitaufwendigen, manuellen Aufwand bedeuten – sofern überhaupt die nötigen Ressourcen vorhanden sind. XDR automatisiert Bedrohungsuntersuchungen, indem es manuelle Schritte eliminiert, und stellt detaillierte Daten und Tools für Analysen bereit, die andernfalls nicht möglich wären. Denken Sie zum Beispiel an eine automatisierte Ursachenanalyse. Ein Analytiker kann den Zeitplan und den Angriffspfad sehen, der sich möglicherweise über E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke erstreckt. Daraufhin kann er die einzelnen Schritte des Angriffs beurteilen, um entsprechend zu reagieren.

Diese Herausforderungen sind der Grund, warum Bedrohungen sehr lange nicht erkannt werden. Die Reaktionszeit verlängert sich, und damit steigen das Risiko und die Konsequenzen eines Angriffs. XDR verbessert die Erkennungsraten von Bedrohungen und die entsprechenden Reaktionszeiten. Dies ist dringend nötig. Sicherheitsunternehmen messen und überwachen zunehmend die durchschnittliche Dauer für Erkennung (MTTD) und Reaktion (MTTR) als wichtige Kennzahlen für die Leistung. Außerdem messen sie den Wert von Lösungen und Investitionen daran, wie diese sich auf die Kennzahlen und die Geschäftsrisiken eines Unternehmens auswirken.