Immer perfidere Ransomwareattacken, schwer zu entdeckende, dateilose Angriffe und professionelle Phishingmails setzen IT- und Sicherheitsexperten bei der Abwehr komplexer Bedrohungen immer mehr unter Druck. Während Endpoint Detection and Response (EDR) in dieser Situation in vielen Fällen helfen kann, kommt die Technologie aufgrund der rasend schnellen Entwicklung auch auf Hackerseite aber an ihre Grenzen und wird zunehmend vom sogenannten XDR-Ansatz abgelöst. Auch bei Sophos spielt diese geräteübergreifende Technologie eine wichtige Rolle und wir geben Antworten auf die brennendsten Fragen rund um das Thema.
Wofür steht XDR?
Derzeit gibt es drei gängige Interpretationen für die Abkürzung, die alle in die gleiche Deutungsrichtung, nämlich das Einbinden möglichst vieler Informationsquellen für einen effektiven Schutz, gehen. Analystenfirmen wie Gartner oder Forrester sprechen von „Extended Detection and Response“. „Extended“, also „erweitert“ bezieht sich im Vergleich zu EDR auf die Tatsache, dass die XDR-Technologie über die Endpoint-Ebene hinausgeht und Informationen aus mehreren Quellen, wie z.B. zusätzlich der Firewall, kombiniert. Bei einer anderen prominenten Ausdeutung steht das „X“ für „Cross Layered“ oder „Cross Product“, um auszudrücken, dass Daten aus mehreren Produkten oder Schutzschichten kombiniert werden. Bei der dritten Interpretation wird das „X“ als eine Art mathematische Variable betrachtet, die für alle Datenquellen steht, die Sie in die Gleichung aufnehmen können, wie z.B. Endpoint, Netzwerk oder die Cloud.
Was ist XDR?
Ist XDR ein Produkt? Eine Plattform? Ein Service? Die Antwort lautet: „Ja“. XDR-Services werden entweder als einzelnes Tool bzw. Toolset angeboten, die Unternehmen eigenständig implementieren, verwalten und betreiben, oder aber als Managed Service, der als eigenentwickeltes Technologiepaket von einem Expertenteam bereitgestellt wird. Auch eine Implementierung als Hybridmodell ist möglich. In diesem Fall verwaltet ein internes Security Operations Center (SOC) einige Funktionen, erhält aber zusätzlich noch Unterstützung von einem externen Expertenteam. Um den vielfältigen Möglichkeiten mit XDR gerecht zu werden, ist folgende Definition zu empfehlen: XDR ist ein Konzept, bei dem Informationen von mehreren Sicherheitsprodukten konsolidiert werden, um die Bedrohungserkennung, -analyse und -reaktion auf eine Art und Weise zu automatisieren und beschleunigen, die Einzellösungen überlegen ist.
Bei Sophos verfolgen wir diese Strategie mit Synchronized Security bereits seit einigen Jahren und ermöglichen es Endpoint-, Netzwerk-, Mobile-, WLAN-, E-Mail- und Verschlüsselungsprodukten in Echtzeit Informationen auszutauschen, mittels Security Heartbeat™ automatisch auf Vorfälle zu reagieren und damit die Ausbreitung von Bedrohungen innerhalb oder außerhalb eines Netzwerks zu verhindern. XDR stellt für Sophos den nächsten Evolutionsschritt für die bereits vorhandenen Synchronized-Security-Funktionen dar. Wer sich näher mit den Möglichkeiten der XDR-Technologie bei Sophos beschäftigen will, kann sich seit kurzem für das entsprechende Early Access Programm anmelden.
Inwiefern unterscheidet sich XDR von SIEM- oder SOAR-Tools?
XDR weist viele funktionale Ähnlichkeiten mit SIEM (Security Information and Event Management) – und SOAR (Security Orchestration, Automation and Response) auf. Manche bezeichnen XDR sogar als eine Art geistigen Nachfolger der alteingesessenen Analysetechnologien. Die wesentlichen Unterschiede liegen jedoch im primären Zweck von SIEM- und SOAR-Tools im Vergleich zur XDR-Technologie bei der Bedrohungserkennung und -reaktion.
Der grundlegende SIEM-Nutzen besteht darin, dass riesige Mengen an Protokollereignissen und anderen Daten über verschiedene Quellen hinweg erfasst und analysiert werden. Das Tool unterstützt dabei jedoch in erster Linie beim Suchen der wichtigen Daten. Die Analyse und das Ziehen der richtigen Schlüsse aus den gestellten Fragen bleiben allerdings den Experten überlassen. XDR sammelt auch jede Menge Daten, ist aber zusätzlich in der Lage, automatisch Schlüsse zu ziehen und automatisch auf Bedrohungen zu reagieren. Oder, falls keine automatische Reaktion möglich ist, von Experten gesteuerte Threat-Hunting- und Analyseaktivitäten proaktiv zu unterstützen, um die Reaktionszeiten zu verkürzen.
Ähnlich sieht es bei SOAR-Plattformen aus: Durch die Erstellung sogenannter Playbooks, die Logikflüsse beinhalten und Skriptaktionen auslösen, wenn bestimmte Bedingungen erfüllt sind, können Sicherheitsexperten zwar ebenfalls maschinell unterstützt werden, müssen diese Prozesse oder Arbeitsabläufe aber zuvor selbst erstellen. Auch bei der Verwaltung von Warnmeldungen ist im Vergleich zu XDR sehr viel mehr Aufwand nötig. SOAR erfordert erhebliche Investitionen in die Implementierung sowie eine fortlaufende Wartung und das Tuning durch erfahrene Sicherheitsanalysten, um ein effektives Fallmanagement zu realisieren und in der Folge effektive Playbooks für die Reaktion auf Vorfälle zu erstellen.
Lässt sich ein XDR-Ansatz mit einem SIEM- oder SOAR-Tool bzw. mit einer Kombination von beiden realisieren?
Dieser Ansatz ist möglich, würde aber erhebliche Investitionen in Mitarbeiter, Tools und Prozesse erfordern, um Funktionslücken zu schließen und ein effektives Teamwork der Lösungen zu gewährleisten.
Welche geschäftlichen Auswirkungen hat XDR?
Für Führungskräfte im Bereich Sicherheit, IT- und Risikomanagement reduzieren XDR-Funktionen die Komplexität der Sicherheitskonfiguration, Bedrohungserkennung und -reaktion. So können Unternehmen Angriffe von professionellen Cyberkriminellen effektiv verhindern, ohne auf Ressourcen zurückgreifen zu müssen, die oft nur in großen Konzernen oder Organisationen mit dedizierten IT-Security-Teams zur Verfügung stehen. Der große Vorteil ist, dass die neue Technologie genauere Erkennungs- und Präventionsfunktionen bei im Vergleich zu traditionellen Lösungen gleichzeitig geringeren Gesamtbetriebskosten bietet.
Antwort hinterlassen