Präventive und automatisierte Gefahrenabwehr Der nächste große Schritt ist XDR

Autor / Redakteur: Brian Robertson* / Peter Schmitz

An Tools mangelt es im IT-Security-Bereich nicht: Angefangen bei SIEM, über EDR, bis hin zu UEBA und SOAR – all diese Anwendungen haben Vorteile und finden daher in vielen Unternehmen parallel Verwendung. Der große Nachteil ist, dass IT-Sicherheitsverantwortliche bei der Menge an Tools erst einmal die relevanten Informationen filtern und Zusammenhänge herstellen müssen, bevor sie sich mit der eigentlichen Bedrohungserkennung befassen können. Ein XDR-Konzept verschafft Abhilfe.

Firma zum Thema

Eine XDR-Plattform nutzt Daten aus dem gesamten Netzwerk und von allen Endpoints um die Erkennungs- und Reaktionsmöglichkeiten gegen moderne Cyber-Bedrohungen zu verbessern.
Eine XDR-Plattform nutzt Daten aus dem gesamten Netzwerk und von allen Endpoints um die Erkennungs- und Reaktionsmöglichkeiten gegen moderne Cyber-Bedrohungen zu verbessern.
(© alphaspirit - stock.adobe.com)

Zuerst gab es signaturbasierte Antiviren-Softwareprodukte, die sich zu „defense in depth“-Ansätzen weiterentwickelten. Security Information and Event Management (SIEM) tritt in Erscheinung, um Organisationen dabei zu unterstützen, eine Reihe von Warnungen unterschiedlicher Systeme zu verstehen – gefolgt von „deep packet inspection“ (DPI), einem Verfahren, das den Datenverkehr in Echtzeit auf anomale Aktivitäten überwacht.

EDR-Systeme (Endpoint Detection and Response) können Angriffe erkennen, die die traditionelle Endpoint-Technik umgehen; Überwachungssysteme für das Internet of Things (IoT) befassen sich wiederum mit IP-verbundenen Geräten. Mit User and Entity Behavior Analytics (UEBA) und Security Automation and Response (SOAR) kamen zwei weitere Tool-Kategorien hinzu, welche die IT-Sicherheit auf ein neues Level hoben.

Letztendlich führen all diese Innovationen zur so genannten Evolved SIEM Ära der Cyber-Sicherheit – einem System, das alle Arten von Informationen verarbeiten kann und Funktionen zur Erkennung und Reaktion auf Bedrohungen enthält.

Präventiv und automatisiert Gefahren abwehren dank XDR

Viele Organisationen fahren heute einen „mehrschichtigen“ Ansatz, in dem sie mehrere dieser Techniken gleichzeitig einsetzen. Das führt dazu, dass Sicherheitsteams regelrecht von einer Flut an Sicherheitsdaten überrollt werden und diese erst einmal sortieren, filtern und analysieren müssen. Das kostet viel Zeit und kann dazu führen, dass Sicherheitsvorfälle zu spät erkannt werden.

Extended Detection and Response (XDR) Produkte lösen dieses Problem, indem sie mehrere Sicherheitsprodukte auf einer Plattform zur Erkennung von und Reaktion auf Sicherheitsvorfälle vereinen. Das ermöglicht eine einheitliche Sichtbarkeit über mehrere Angriffsvektoren hinweg.

Zu den Hauptanforderungen an XDR zählen die Branchenanalysten:

  • Zentralisierung von normalisierten Daten
  • Korrelation von Sicherheitsdaten und Warnungen zu Sicherheitsvorfällen
  • Bereitstellung einer zentralen Reaktionsfähigkeit auf Zwischenfälle

Im Gegensatz zu beispielsweise SIEM-Systemen, die meist einen engen Compliance-Fokus haben und als reines Aufzeichnungssystem für Sicherheitsorganisationen fungieren, konzentriert sich XDR auf die eigentliche Aktivität der Erkennung von und Reaktion auf Bedrohungen. Eine XDR-Plattform erweitert die Erkennungs- und Reaktionsmöglichkeiten, um Bedrohungen zu identifizieren, die präventive Kontrollen umgehen, und nutzt Daten aus dem gesamten Netzwerk und von allen Endpoints.

Diese Daten wiederum werden mithilfe von UEBA erweitert – einer Technik, die Verhaltensanomalien im gesamten Netzwerk, bei Rechnern, Nutzern und Anwendungen erkennt. Dieser harmonisierte Datensatz wird dann mit Hilfe von Orchestrierungs- und Automatisierungsfunktionen und vielseitigen Analysefunktionen genutzt, um Risiken schnell zu identifizieren, Vorfälle detailliert zu beschreiben und Sofortmaßnahmen zu ergreifen, bevor diese potenziellen Risiken Schaden anrichten können.

Durch die Ergänzung eines Identitätsdienstes können Unternehmen ihr Identitätsrisiko mindern und die Einhaltung von Compliance-Richtlinien gewähren, ohne dabei die Produktivität der Nutzer zu beeinträchtigen. Das System stellt sicher, dass Nutzer einen angemessenen Zugang haben und die sind, für die sie sich ausgeben.

Mehr Informationen, Erkenntnisse und Aktionsmöglichkeiten

Die Kombination von XDR und einem Identitätsdienst ermöglicht es Organisationen, den Zugang zu komplexen Umgebungen zu kontrollieren, Angriffe frühzeitig zu erkennen und zu stoppen sowie präventive Sicherheitsmaßnahmen kontinuierlich anzupassen und zu verbessern, um Cyber-Kriminelle in Schach zu halten. Sollten diese doch einmal den Weg durch den Perimeter-Schutz finden, bietet XDR Organisationen die nötige Transparenz, um jede Bewegung von Eindringlingen zu erkennen und auszuwerten und sie auf ihrem Weg aufzuhalten.

* Über den Autor:Brian Robertson ist Experte im Produkt-Messaging, Positionierung und Evangelisation bei RSA.

(ID:47261129)