Wie unterscheiden sich Open und Native XDR?

Was ist XDR?

Der Begriff XDR wurde 2018 von Palo Alto Networks geprägt und ist eine Weiterentwicklung von Endpoint Detection and Response (EDR). EDR-Tools sammeln Bedrohungsdaten von mobilen Geräten, Workstations und anderen Endpunkten, um Sicherheitsvorfälle zu erkennen, zu untersuchen, zu analysieren und darauf zu reagieren.

XDR-Plattformen erweitern die Möglichkeiten zur Erkennung, Untersuchung, Analyse und Reaktion, indem sie Bedrohungsdaten von Endpunkten und Netzwerken, Cloud-Umgebungen, Servern und E-Mail-Systemen sammeln. Mit den gesammelten Daten, die in ein XDR-Tool eingespeist werden, erhalten Sicherheitsteams einen ganzheitlicheren Überblick über die Bedrohungslandschaft ihres Unternehmens.

XDR-Plattformen können die folgenden Vorteile bieten:

• Verbesserte Erkennung von Bedrohungen. Die Datenerfassungs- und Analysefunktionen der XDR-Tools ermöglichen eine bessere Erkennung von Sicherheitsbedrohungen und verdächtigen oder bösartigen Verhaltensweisen.
• Schnellere Reaktion auf Vorfälle. XDR-Plattformen nutzen maschinelles Lernen, Playbooks und Workflows, um die Analyse und Reaktion auf erkannte Bedrohungen zu automatisieren.
• Bessere Sicherheitslage. Die fortschrittlichen Erkennungs- und Reaktionsfunktionen von XDR decken eine Vielzahl von Anlagen und Umgebungen ab.
• Verbesserte Sicherheitsabdeckung. XDR-Plattformen verarbeiten Daten aus verschiedenen Sicherheitstools, um Sicherheitslücken und Wahrnehmungslücken zu entdecken und zu beheben.

Was ist Open XDR?

Open XDR, auch Hybrid XDR genannt, konzentriert sich auf die Integration von Drittanbietern über APIs. Diese Plattformen ermöglichen es Unternehmen, Telemetrie- und Sicherheitsdaten von einer Vielzahl von Sicherheitstools und -produkten zu sammeln.

Als herstellerunabhängige Produkte können offene XDR-Plattformen in die Sicherheitstools anderer Anbieter integriert werden. Anstatt bestehende Sicherheitsimplementierungen zu entfernen und zu ersetzen, arbeiten Sicherheitsteams mit einer offenen XDR-Kernplattform, die als zentrale Verwaltungsebene für ihre aktuelle Umgebung dient.

Open-XDR-Plattformen bieten die folgenden Vorteile:

• Sicherheitsteams müssen nicht mehrere neue Tools erlernen, da sie die vorhandenen Sicherheitstools behalten können.
• Teams können unterschiedliche Sicherheitstools ersetzen, wenn dies erforderlich ist und wenn sich die Sicherheitsanforderungen ihres Unternehmens ändern.
• Sie verhindern isolierte Sicherheitstools, da die offenen Plattformen Daten und Telemetrie an ein zentrales Management-Dashboard melden.
• Sie helfen, die Abhängigkeit von einem bestimmten Anbieter zu vermeiden (Vendor Lock-in).

Eine Herausforderung bei offenen XDR-Tools besteht darin, dass die Unternehmen sicherstellen müssen, dass das von ihnen gewählte Produkt nicht nur über bestehende Integrationsmöglichkeiten verfügt, sondern dass auch gewährleistet ist, dass das Produkt im Laufe der Zeit weitere Integrationsmöglichkeiten bieten wird. Nischenprodukte im Sicherheitsbereich könnten nicht berücksichtigt werden, da es für die Anbieter nicht möglich ist, Verbindungen zu jedem Produkt zu entwickeln. Unternehmen sollten sich vor der Einführung über offene XDR-Produkte informieren, um sicherzustellen, dass sie mit den aktuellen Sicherheitstools integriert werden können.

Open-XDR-Plattformen sind für größere Unternehmen interessant, die sich auf die Verwendung branchenführender Produkte konzentrieren und ein XDR-Tool wünschen, das ihren Sicherheits-Stack unterstützt.

Zu den Open-XDR-Produkten gehören exemplarisch Exabeam Fusion XDR, ReliaQuest GreyMatter und Stellar Cyber Open XDR.

Was ist natives XDR?

Natives XDR, auch als Closed XDR bezeichnet, ist eine All-in-One-Plattform von einem einzigen Anbieter. Unternehmen mit homogenen IT-Umgebungen können sich für ein natives XDR-Produkt entscheiden, das die anderen verwendeten Sicherheitsprodukte des Herstellers integriert.

Ein Vorteil eines nativen XDR-Produkts eines einzigen Anbieters ist, dass Sicherheitsteams keine Integrationen konfigurieren müssen. Natives XDR kann auch reibungslosere Automatisierungsfunktionen bieten, da es so konzipiert ist, dass es sofort mit den anderen Sicherheitstools des Herstellers zusammenarbeitet.

Native XDR-Tools sind nicht unproblematisch. Wenn viele der Sicherheitstools einer Organisation nicht von einem einzigen Anbieter stammen, müssen möglicherweise einige vorhandene Tools entfernt und ersetzt werden, um eine Umgebung mit einem einzigen Anbieter zu schaffen. Bei nativen XDR-Plattformen können auch die Integrationsfunktionen für Drittanbieter fehlen. Unternehmen, die native XDR-Plattformen verwenden, sind möglicherweise an einen bestimmten Anbieter gebunden und neigen zu Sicherheitslücken oder Wahrnehmungslücken.

Native XDR-Tools könnten für kleinere Unternehmen mit begrenzten Budgets oder für Unternehmen, die hauptsächlich einen einzigen Anbieter für alle ihre technischen Implementierungen verwenden, interessant sein.

Beispiele für native XDR-Plattformen sind Cisco XDR, Microsoft Defender und Cortex XDR von Palo Alto Networks.

XDR im Vergleich zu EDR, SIEM und SOAR

Da es sich um eine relativ neue Technologie handelt, wird XDR oft mit anderen Sicherheitstools wie EDR, SIEM und SOAR (Security Orchestration, Automation and Response) verwechselt:

• XDR vs. EDR. EDR-Tools umfassen Endpunkte wie PCs, mobile Geräte und Workstations, während XDR-Plattformen Endpunkte, Cloud-Assets, Netzwerke, Server, Anwendungen und andere Sicherheitstools abdecken. Die meisten Unternehmen benötigen nicht sowohl ein XDR- als auch ein EDR-Tool.
• XDR vs. SIEM. Traditionelle SIEM-Systeme bieten eine zentrale Stelle, die Sicherheitsprotokolldaten innerhalb eines Netzwerks aufnimmt und Erkennungs- und Warnfunktionen bereitstellt. XDR-Plattformen korrelieren ein breiteres Spektrum an Daten und können im Gegensatz zu herkömmlichen SIEM-Systemen automatische Reaktionen durchführen. XDR-Plattformen bieten jedoch nicht die Protokollverwaltungs-, Aufbewahrungs- und Compliance-Funktionen von SIEM-Systemen, so dass Unternehmen, die ein XDR-Tool verwenden, weiterhin ein SIEM-System benötigen.
• XDR vs. SOAR. SOAR-Plattformen ((Security Orchestration, Automation and Response) unterstützen die Fähigkeiten von SIEM-Systemen und können Reaktionsmaßnahmen automatisieren. XDR ist kein Ersatz für SOAR, da SOAR-Plattformen so eng mit den von SIEM-Systemen erfassten Daten zusammenarbeiten.