Was ist XDR?

XDR bietet Erkennung und Reaktion über alle Ebenen.

Verdeckte Bedrohungen entgehen der Erkennung. Sie verstecken sich zwischen Sicherheitssilos, inmitten von Warnmeldungen zu nicht vernetzten Lösungen. Sie verbreiten sich im Lauf der Zeit, während Sicherheitsanalysten versuchen, sie über enge, nicht vernetzte Angriffspunkte zu sichten und zu untersuchen.

XDR bricht diese Silos mithilfe eines holistischen Konzepts für Erkennung und Reaktion auf. XDR erfasst und korreliert Erkennungen und tiefgreifende Aktivitätsdaten auf mehreren Sicherheitsebenen – E-Mail, Endpunkt, Server, Cloud-Workloads und Netzwerk. Dank automatischer Analyse dieser umfangreichen Daten können Bedrohungen früher erkannt werden. Sicherheitsanalysten können gründlichere Untersuchungen vornehmen und schnell Maßnahmen ergreifen.

Erfahren Sie mehr über die Sicherheitsebenen, die in XDR einfließen können.

In Bezug auf Erkennung und Reaktion sind SOC-Analysten dafür verantwortlich, kritische Bedrohungen schnell zu erkennen, um Risiken und Schäden für die Organisation zu begrenzen. Die Bedingungen dafür sind jedoch alles andere als optimal. 

Warnungsüberlast

Angesichts der Warnungen, die von verschiedenen Lösungen generiert werden, sind IT- und Sicherheitsteams häufig überlastet – das überrascht nicht. Ein Unternehmen mit durchschnittlich 1.000 Mitarbeitern kann bis zu 22.000 Ereignisse pro Sekunde in seinem SIEM verzeichnen. Das sind beinahe 2 Millionen Ereignisse am Tag.^[1] Die Menge an Warnungen und nur wenige Möglichkeiten, diese zu korrelieren und zu priorisieren, erschweren es selbst erfahrensten Analysten, all diese Alarme schnell oder effektiv zu sortieren, um die kritischen Ereignisse zu finden. XDR kann automatisch eine Reihe von weniger vertrauenswürdigen Aktivitäten zu einem höherwertigen Ereignis verknüpfen, sodass weniger, nach Prioritäten geordnete Handlungswarnungen auftauchen.

Transparenzlücken

Auch wenn viele Sicherheitsprodukte Warnungen und Aktivitäten transparent machen, liefert doch jedes Produkt eine spezifische Perspektive. Daten werden entsprechend ihrer Relevanz und Nützlichkeit für diese spezifische Funktion erfasst und bereitgestellt. Die Integration von Sicherheitsprodukten kann den Austausch und die Konsolidierung von Daten ermöglichen. Der Nutzen ist jedoch oft durch die Art und Tiefe der gesammelten Daten und den Grad der möglichen korrelierten Analyse begrenzt. Dies bedeutet, dass die Transparenz eingschränkt ist. Im Gegensatz dazu sammelt XDR einen vollständigen Data Lake an Aktivitätsdaten (Erkennungen, Telemetrie, Metadaten, Netflow usw.) quer durch einzelne Sicherheitstools und bietet Zugriff darauf. Mithilfe von komplexen Analysen und Bedrohungsinformationen liefert XDR den kompletten Kontext, der für eine angriffszentrierte Sicht einer ganzen Kette von Ereignissen über alle Sicherheitsebenen hinweg erforderlich ist.

Schwierigkeiten bei Untersuchungen

Da es viele Protokolle und Warnungen, jedoch keine deutlichen Indikatoren gibt, ist es schwierig festzustellen, wonach zu suchen ist. Wenn ein Problem oder eine Bedrohung auftritt, lassen sich der Weg und die Auswirkungen auf die Organisation nur schwer ermitteln. Eine Untersuchung kann zeitaufwendigen, manuellen Aufwand bedeuten – sofern überhaupt die nötigen Ressourcen vorhanden sind. XDR automatisiert die Prozesse. Es eliminiert manuelle Schritte und liefert detaillierte Daten und Tools für Analysen, die andernfalls nicht möglich wären. Ein Beispiel ist die automatisierte Ursachenanalyse, mithilfe derer ein Analyst die Zeitleiste und den Angriffsweg (etwa über E-Mail, Endpunkte, Server, Cloud oder Netzwerk) klar erkennen kann. Eine detalliertere Analyse erlaubt, die einzelnen Schritte des Angriffs zu bewerten und erforderliche Maßnahmen einzuleiten.

Und schließlich: langsame Erkennung und Reaktion

Die genannten Herausforderungen sind der Grund, warum Bedrohungen sehr lange nicht erkannt werden. Dadurch erhöht sich die Reaktionszeit, und damit steigen das Risiko und die Folgen eines Angriffs. Die Erkennung und Reaktion über alle Ebenen führt schließlich zu dringend benötigten Verbesserungen bei Erkennungsraten von Bedrohungen und entsprechenden Reaktionszeiten. Die durchschnittliche Dauer für Erkennung (MTTD) und Reaktion (MTTR) werden zunehmend als wichtige Kennzahlen für die Leistung von Sicherheitsorganisationen erfasst und überwacht. Außerdem wird der Wert von Lösungen und Investitionen daran gemessen, wie diese sich auf die Kennzahlen auswirken und die Geschäftsrisiken eines Unternehmens reduzieren.

XDR geht über das aktuelle Konzept einer Einzelvektor-basierten Punktlösung hinaus und bietet die nächste Stufe der Erkennung und Reaktion.

Endpoint Detection and Response (EDR) ist zweifellos enorm wichtig. Doch trotz der umfassenden Funktionen bleibt EDR letztlich eingeschränkt, weil nur gemanagte Endpunkte untersucht werden können. Damit lassen sich Bedrohungen nur begrenzt erkennen. Außerdem ist nur eingeschränkt zu ermitteln, wer und was betroffen ist und welche Maßnahmen eingeleitet werden sollten.

Die Reichweite von Analysetools für den Netzverkehr (NTA) ist auf das Netzwerk und die überwachten Netzwerksegmente begrenzt. NTA-Lösungen erzeugen eine gewaltige Menge an Protokollen. Um Mehrwert aus Netzwerkwarnungen zu generieren, müssen diese aber mit anderen Aktivitätsdaten korreliert werden können.

Die Branche ist in Bezug auf Erkennung und Reaktion einen großen Schritt weiter. Bis heute werden die Funktionen jedoch über einzelne Lösungen und Sicherheitsebenen zur Verfügung gestellt. Die Vorteile der Datenerfassung und -analyse bleiben damit auf der Strecke. XDR entwickelt die Erkennung und Reaktion zu einer konsolidierten, zentralisierten Aktivität, die bessere Ergebnisse liefert als die Summe der einzelnen Teile.

Organisationen nutzen SIEMs, um Protokolle und Warnungen aus mehreren Lösungen zu erfassen. SIEMs tragen viele Informationen aus verschiedenen Quellen zusammen und ermöglichen zentrale Transparenz, aber dies führt zu einer überwältigenden Anzahl an individuellen Warnungen. Es ist schwierig, diese eingehend zu überprüfen, um herauszufinden, ob sie kritisch sind und Maßnahmen erfordern. Durch SIEM allein lassen sich all diese Informationsprotokolle nur schwer korrelieren und verbinden, um den größeren Kontext zu erkennen.

Im Gegensatz dazu erfasst XDR tiefgreifende Aktivitätsdaten, speist diese in einen Data Lake ein und ermöglicht damit Sweeping, Hunting und Untersuchungen über verschiedene Ebenen hinweg. Die Anwendung von KI und Expertenanalysen auf diesen umfangreichen Datensatz führt dazu, dass weniger, aber kontextreiche Warnungen an die SIEM-Lösung eines Unternehmens gesendet werden. XDR ist kein Ersatz für SIEM, sondern eine Ergänzung dazu. Sicherheitsexperten benötigen weniger Zeit, um relevante Warnungen und Protokolle zu bewerten und zu entscheiden, wo Maßnahmen und tiefergehende Untersuchungen erforderlich sind.

Verschiedene Sicherheitsebenen über den Endpunkt hinaus

• Für eine ebenenübergreifende Erkennung und Reaktion sind mindestens zwei Ebenen erforderlich. Je mehr vorhanden sind, desto besser: Endpunkt, E-Mail, Netzwerk, Server und Cloud-Workloads.
• XDR erweitert die Reichweite der Erkennung und Reaktion auf mehr als nur Endpunkte. Es weitet EDR auf wichtige zusätzliche Aktivitätsbereiche aus. Beispielsweise ist E-Mail von entscheidender Bedeutung, da es der häufigste Angriffspunkt ist.
• XDR speist Aktivitätsdaten aus verschiedenen Ebenen in einen Data Lake ein. Dadurch stehen alle verwertbaren Informationen in ihrer relevantesten Struktur für eine effektive Korrelation und Analyse zur Verfügung.
• Der Abruf von Daten aus dem nativen Sicherheits-Stack eines einzelnen Anbieters verhindert, dass die Zahl der Anbieter bzw. Lösungen immer weiter wächst. Außerdem ermöglicht er eine sehr tiefe Integration und Interaktion zwischen Funktionen zur Erkennung, Untersuchung und Reaktion.

Speziell entwickelte KI und Sicherheitsanalysen von Experten

• Die Datenerfassung ist ein Vorteil von XDR. Das eigentliche Ziel ist jedoch, mithilfe von Analysen und Informationen eine bessere, schnelle Erkennung zu erzielen.
• Da das Sammeln von Telemetriedaten selbstverständlich wird, entsteht der Wert durch Sicherheitsanalysen in Verbindung mit Bedrohungsinformationen, aus denen sich Erkenntnisse und Maßnahmen ableiten lassen.
• Eine Analyse-Engine mit nativen, intelligenten Sensoren ermöglicht effektivere Sicherheitsanalysen, als sie sonst mithilfe von Produkten/Telemetrie von Drittanbietern erzielt werden können. Sicher versteht jeder Anbieter die Daten seiner eigenen Produkte sehr viel besser als die eines Drittanbieters. Für optimale Analysefunktionen sollten XDR-Lösungen Priorität haben, die speziell für die nativen Sicherheits-Stacks eines Anbieters entwickelt wurden.

Einfache, integrierte und automatisierte Plattform für vollständige Transparenz

• XDR ermöglicht aufschlussreichere Untersuchungen, da sich logische Verknüpfungen zwischen den Daten herstellen lassen, die in einer einzelnen Ansicht bereitstehen.
• Eine auf den Angriff ausgerichtete grafische Darstellung beantwortet an zentraler Stelle Fragen wie:

Wie wurde der Anwender infiziert?
Wo liegt der erste Angriffspunkt?
Wer oder was sonst ist von diesem Angriff betroffen?
Wo liegt der Ursprung der Bedrohung?
Wie hat sich die Bedrohung verbreitet?
Wie viele andere Anwender haben Zugriff auf die Bedrohung?

• XDR bietet Sicherheitsanalysten mehr Möglichkeiten und optimiert Workflows. Manuelle Schritte werden beschleunigt oder ganz entfernt, das optimiert die Leistungen des Teams. Außerdem ermöglicht XDR Anzeigen und Analysen, die nicht sofort ausgeführt werden können.
• Dank der Integration in SIEM und SOAR können Analysten Erkenntnisse aus XDR mit einem breiteren Sicherheitsökosystem kombinieren.