Was ist XDR?

Extended Detection and Response (XDR) sorgt für Erkennung und Reaktion über alle Ebenen. XDR erfasst und korreliert automatisch Daten auf verschiedenen Sicherheitsebenen – E-Mail, Endpunkt, Server, Cloud-Workloads und Netzwerk. Dadurch werden Bedrohungen früher erkannt. Sicherheitsanalysten können sie in kürzerer Zeit untersuchen und auf sie reagieren.

XDR

Verdeckte Bedrohungen entgehen der Erkennung. Sie verstecken sich zwischen Sicherheitssilos in nicht verbundenen Lösungsbenachrichtigungen und breiten sich im Lauf der Zeit aus. In der Zwischenzeit versuchen Sicherheitsanalytiker, die Bedrohungen anhand geringer und nicht verbundener Informationen zu untersuchen.

XDR bricht diese Silos mithilfe eines holistischen Konzepts für Erkennung und Reaktion auf. XDR erfasst und korreliert Erkennungen und tiefgreifende Aktivitätsdaten auf mehreren Sicherheitsebenen – E-Mail, Endpunkt, Server, Cloud-Workloads und Netzwerk. Durch die automatisierte Analyse dieser umfangreichen Datenmenge werden Bedrohungen schneller erkannt. Sicherheitsanalytiker sind gut dafür gerüstet, gründlichere Untersuchungen durchzuführen und schneller zu reagieren.

Erfahren Sie mehr über die Sicherheitsebenen, die in XDR einfließen können.

SOC-Herausforderungen

Wenn es um Erkennung und Reaktion geht, stehen die Analysten des Security Operations Centers (SOC) vor einer gewaltigen Verantwortung. Sie müssen kritische Bedrohungen schnell identifizieren, um Risiken und Schäden für die Organisation unter ungünstigen Bedingungen einzugrenzen. 

Warnungsüberlast

Angesichts der Warnungen, die von verschiedenen Lösungen generiert werden, sind IT- und Sicherheitsteams häufig überlastet – wenig überraschend. Ein Unternehmen mit durchschnittlich 1.000 Mitarbeitern kann bis zu 22.000 Ereignisse pro Sekunde in seinem SIEM-System (Security Information and Event Management) verzeichnen. Das entspricht fast 2 Millionen Ereignissen pro Tag.[1] Fähige Analytiker werden mit einer erheblichen Menge an Warnungen konfrontiert. Sie haben kaum Möglichkeiten, diese zu korrelieren und zu priorisieren, und mühen sich damit ab, die Masse an Warnungen schnell und effektiv auf kritische Ereignisse zu durchforsten. XDR bündelt eine Reihe von weniger zuverlässigen Aktivitäten automatisch zu einem zuverlässigeren Ereignis, sodass weniger und priorisiertere Warnungen angezeigt werden, die Maßnahmen erfordern.

Transparenzlücken

Viele Sicherheitsprodukte machen Warnungen und Aktivitäten transparent. Jedes Produkt liefert eine spezifische Perspektive. Daten werden nach Relevanz und Nützlichkeit für diese spezifische Funktion erfasst und bereitgestellt. Die Integration von Sicherheitsprodukten kann den Austausch und die Konsolidierung von Daten ermöglichen. Der Nutzen ist jedoch oft begrenzt durch die Art und Tiefe der gesammelten Daten und den Grad der möglichen korrelierten Analyse. Das bedeutet, dass auch die Transparenz Grenzen hat. Im Gegensatz dazu sammelt XDR einen vollständigen Data Lake an Aktivitätsdaten (Erkennungen, Telemetrie, Metadaten, Netflow usw.) quer durch einzelne Sicherheitstools und bietet Zugriff darauf. Mithilfe von komplexen Analysen und Bedrohungsinformationen liefert XDR den kompletten Kontext, der für eine angriffszentrierte Sicht einer ganzen Kette von Ereignissen über alle Sicherheitsebenen hinweg erforderlich ist.

Schwierigkeiten bei Untersuchungen

Da es viele Protokolle und Warnungen, jedoch keine deutlichen Indikatoren gibt, ist es schwierig festzustellen, wonach zu suchen ist. Wenn ein Problem oder eine Bedrohung auftritt, lassen sich der Weg und die Auswirkungen auf die Organisation nur schwer ermitteln. Eine Untersuchung kann zeitaufwendigen, manuellen Aufwand bedeuten – sofern überhaupt die nötigen Ressourcen vorhanden sind. XDR automatisiert die Prozesse. Es eliminiert manuelle Schritte und liefert detaillierte Daten und Tools für Analysen, die andernfalls nicht möglich wären. Denken Sie zum Beispiel an eine automatisierte Ursachenanalyse. Analytiker können den Zeitplan und den Angriffspfad sehen, der sich möglicherweise über E-Mail, Endpunkte, Server, Cloud und Netzwerk erstreckt. Daraufhin können sie die einzelnen Schritte des Angriffs beurteilen, um die erforderliche Reaktion umzusetzen.

Schließlich: Erkennung und Reaktion dauern

Diese Herausforderungen sind der Grund, warum Bedrohungen sehr lange nicht erkannt werden. Die Reaktionszeit verlängert sich, und damit steigen das Risiko und die Konsequenzen eines Angriffs. Erkennung und Reaktion (Detection and Response) über alle Ebenen verbessert die Erkennungsraten von Bedrohungen und die entsprechenden Reaktionszeiten. Dies ist dringend nötig. Sicherheitsunternehmen messen und überwachen zunehmend die durchschnittliche Dauer für Erkennung (MTTD) und Reaktion (MTTR) als wichtige Kennzahlen für die Leistung. Außerdem messen sie den Wert von Lösungen und Investitionen daran, wie diese sich auf die Kennzahlen und die Geschäftsrisiken eines Unternehmens auswirken.

XDR im Vergleich zu EDR

XDR geht über das aktuelle Konzept einer Einzelvektor-basierten Punktlösung hinaus und bietet die nächste Stufe der Erkennung und Reaktion.

Endpoint Detection and Response (EDR) ist zweifellos enorm wichtig. Doch trotz umfassender Funktionen bleibt EDR letztlich eingeschränkt, weil nur gemanagte Endpunkte untersucht werden können. Damit lassen sich Bedrohungen nur begrenzt erkennen. Außerdem ist nur eingeschränkt zu ermitteln, wer und was betroffen ist und welche Maßnahmen eingeleitet werden sollten.

Die Reichweite von Analysetools für den Netzverkehr (NTA) ist auf das Netzwerk und die überwachten Netzwerksegmente begrenzt. NTA-Lösungen erzeugen in der Regel eine gewaltige Menge an Protokollen. Um Mehrwert aus Netzwerkwarnungen zu generieren und eine korrekte Interpretation zu ermöglichen, müssen diese mit anderen Aktivitätsdaten korreliert werden.

Die Branche ist in Bezug auf Erkennung und Reaktion (Detection and Response) einen großen Schritt weiter. Bis heute werden die Funktionen jedoch über einzelne Lösungen und Sicherheitsebenen zur Verfügung gestellt. Die Vorteile der Datenerfassung und -analyse bleiben damit in Silos. XDR entwickelt die Erkennung und Reaktion zu einer konsolidierten, zentralisierten Aktivität, die bessere Ergebnisse liefert als die Summe der einzelnen Teile.

Ergänzung des SIEM

Organisationen nutzen SIEMs, um Protokolle und Warnungen aus mehreren Lösungen zu erfassen. SIEMs sammeln Informationen aus verschiedenen Quellen ermöglichen zentrale Transparenz, erzeugen jedoch eine überwältigende Anzahl an individuellen Warnungen. Es ist schwierig, diese eingehend zu überprüfen und herauszufinden, ob sie kritisch sind und Maßnahmen erfordern. Durch SIEM allein lassen sich all diese Informationsprotokolle nur schwer korrelieren und verbinden, um den größeren Kontext zu erkennen.

Im Gegensatz dazu erfasst XDR tiefgreifende Aktivitätsdaten, speist diese in einen Data Lake ein und ermöglicht damit Sweeping, Hunting und Untersuchungen über verschiedene Ebenen hinweg. Die Anwendung von KI und Expertenanalysen auf diesen umfangreichen Datensatz führt dazu, dass weniger, aber kontextreiche Warnungen an die SIEM-Lösung eines Unternehmens gesendet werden. XDR ist kein Ersatz für SIEM. Es ist eine Ergänzung dazu. Sicherheitsexperten benötigen weniger Zeit, um relevante Warnungen und Protokolle zu bewerten und zu entscheiden, wo Maßnahmen und tiefergehende Untersuchungen erforderlich sind.

Maßgebliche Funktionen

Verschiedene Sicherheitsebenen über den Endpunkt hinaus

  • Für eine ebenenübergreifende Erkennung und Reaktion (Detection and Response) sind mindestens zwei Ebenen erforderlich. Je mehr vorhanden sind, desto besser: Endpunkt, E-Mail, Netzwerk, Server und Cloud-Workloads.
  • XDR erweitert die Reichweite der Erkennung und Reaktion auf mehr als nur Endpunkte. Es weitet EDR auf wichtige zusätzliche Aktivitätsbereiche aus. Beispielsweise ist E-Mail von entscheidender Bedeutung, da es der Angriffspunkt Nummer 1 ist.
  • XDR führt Aktivitätsdaten aus mehreren Ebenen in einem Data Lake zusammen. Alle entsprechenden Informationen werden für eine effektive Korrelation und Analyse in der relevantesten Struktur verfügbar gemacht.
  • Die Verwendung des nativen Sicherheits-Stacks eines einzigen Anbieters verhindert eine übermäßige Zahl an Anbietern/Lösungen. Außerdem ermöglicht ein derartiger Stack eine beispiellose Integrationstiefe und Interaktion zwischen Erkennungs-, Untersuchungs- und Verantwortungsfunktionen.


Speziell entwickelte KI und Sicherheitsanalysen von Experten

  • Die Datenerfassung ist ein Vorteil von XDR. Das eigentliche Ziel ist jedoch, mithilfe von Analysen und Informationen eine bessere, schnelle Erkennung zu erzielen.
  • Wenn das Sammeln von Telemetriedaten selbstverständlich wird, entsteht der Wert durch Sicherheitsanalysen in Verbindung mit Bedrohungsinformationen, aus denen sich Erkenntnisse und Maßnahmen ableiten lassen.
  • Eine Analyse-Engine mit nativen, intelligenten Sensoren bietet effektivere Sicherheitsanalysen, als sie mithilfe von Produkten und Telemetrie von Drittanbietern erzielt werden könnten. Sicher versteht jeder Anbieter die Daten seiner eigenen Produkte sehr viel besser als die eines Drittanbieters. Für optimale Analysefunktionen sollten XDR-Lösungen Priorität haben, die speziell für die nativen Sicherheits-Stacks eines Anbieters entwickelt wurden.


Einfache, integrierte und automatisierte Plattform für vollständige Transparenz

  • XDR ermöglicht aufschlussreichere Untersuchungen, da sich logische Verknüpfungen zwischen den Daten herstellen lassen, die in einer einzelnen Ansicht bereitstehen.
  • Eine auf den Angriff ausgerichtete grafische Darstellung beantwortet an zentraler Stelle Fragen wie:

Wie wurde der Anwender infiziert?
Wo fand der erste Angriff statt?
Wer oder was ist noch von diesem Angriff betroffen?
Wo liegt der Ursprung der Bedrohung?
Wie hat sich die Bedrohung verbreitet?
Wie viele andere Anwender haben Zugriff auf die Bedrohung?

  • XDR bietet Sicherheitsanalysten mehr Möglichkeiten und optimiert Workflows. Manuelle Schritte werden beschleunigt oder ganz entfernt, das optimiert die Leistungen des Teams. Außerdem ermöglicht XDR Anzeigen und Analysen, die nicht sofort ausgeführt werden können.
  • Dank der Integration in SIEM und SOAR (Security Orchestration Automation and Response) können Analysten Erkenntnisse aus XDR mit einem breiteren Sicherheitsökosystem kombinieren.

XDR-Sicherheitsthemen 

[1] Quelle: http://content.solarwinds.com/creative/pdf/Whitepapers/estimating_log_generation_white_paper.pdf