beebright - stock.adobe.com
XDR-Technologie: Sicherheitsvorfälle erkennen und reagieren
Oft wird XDR als Kombination von Endpoint Detection and Response und Network Detection and Response definiert. Die Wirklichkeit ist jedoch umfassender und komplexer.
Liest man die Verheißungen der Branchenanalysten und anderer IT-Sicherheitsexperten über das Aufkommen von XDR-Lösungen (Extended Detection and Response), so ermöglicht die Technologie eine verbesserte Bedrohungserkennung und schnellere Vorfalls-Reaktion durch den Einsatz von maschinellem Lernen.
Gartner sieht in XDR eine Technologie, die „automatisch Daten von mehreren Sicherheitsprodukten sammeln und korrelieren kann, um die Erkennung von Bedrohungen zu verbessern und eine Reaktionsmöglichkeit auf Vorfälle zu bieten.“ Es geht in der Theorie darum, die Mean Time to Detection (MTTD) und die Mean Time to Respond (MTTR) auf einen Angriff oder eine aktive Bedrohung in der eingesetzten IT-Umgebung zu reduzieren.
Unternehmen schützen sich bislang oft durch den Einsatz vieler verschiedener Sicherheitstechnologien, darunter Firewalls, IPS/IDS, Router-, Web- und E-Mail-Sicherheit sowie EDR-Lösungen. Darüber hinaus werden auch SIEM-Lösungen (Security Information and Event Management) und andere Monitoring-Software eingesetzt, die interne Bedrohungs- und Ereignisdaten speichern – Ticketing-Systeme, Log-Management-Repositories, Case-Management-Systeme.
Über die Jahre hinweg entstanden dadurch hochkomplexe IT-Umgebungen, deren Sicherheitssysteme sich gegenseitig mehr behindern, als sich zu unterstützen. Darüber hinaus kommen an verschiedenen Standorten Lösungen von unterschiedlichen Herstellern zum Einsatz, auch um Gefahren aus aller Welt abdecken zu können.
Die IT- und auch deren IT-Sicherheitsabteilungen treffen dann voneinander unabhängige Entscheidungen, die diesen Mix aus verschiedenen Strategien, Konzepten und Architekturen noch mehr verkomplizieren. Neue Hersteller und Technologien drängen fast täglich auf den Markt und verdrängen dadurch ältere Anbieter. Auch dies ist ein Teil der Industrie – Innovation innerhalb der IT-Sicherheit kann die Ablösung von eben noch modernen Lösungen nötig machen.
Neue Funktionen bei großen IT-Herstellern machen darüber hinaus die Anschaffung einer spezialisierten Lösung unnötig. Diese Entwicklung ist also keine Einbahnstraße, sondern eine mehrspurige Autobahn. Früher oder später führt dieser Weg dann auch zu der Weiterentwicklung bestehender Lösungen wie eben XDR.
Welche Bereiche der IT-Umgebung schützt XDR?
XDR schützt den E-Mail-Verkehr, den Endpunkt, die Server, die Cloud-Workloads und das Netzwerk. Sehr viele, wenn nicht sogar die meisten Infiltrierungsversuche erfolgen über E-Mail, so dass dieser Angriffspunkt fast der wichtigste der oben genannten ist.
Traditionell ist der Endpunkt, vor allem aufgrund der aktuellen Home-Office-Situation, gefährdet, denn als älteste Angriffsfläche sind die meisten Bedrohungen gegen ihn ausgerichtet. Deutlich zugenommen hat der Datenverkehr in die Cloud und über Clouds hinweg, so dass Cloud-Workloads an Bedeutung gewonnen haben und weiter gewinnen werden. Die Analyse dieser Daten ist hochkomplex und erfordert eine zentrale Sammelstelle wie einen Data Lake, der die gesammelten Informationen Machine-Learning-gestützt analysiert und verwertbar macht. Die Vorfälle werden dann gemeldet und von den Security Analysten unter die Lupe genommen.
Integration als eigentliche Herausforderung
Unabhängig davon, welcher Ansatz oder welche Strategie zur Auswahl der XDR-Technologie herangezogen wurde, ist die Integration mit bestehenden Tools wie Incident Response (IR) und Security Orchestration, Automation und Response (SOAR) in der Sicherheitsinfrastruktur unerlässlich und dadurch komplex. Letztendlich gibt es zwei wichtige Arten von Integrationen, die benötigt werden:
Integration mit Daten- und Intelligence-Feeds von Drittanbietern: Unternehmen nutzen oft bis zu fünf externe Feeds in ihrer Umgebung. Diese können aus Open-Source-, staatlichen, industriellen oder kommerziellen Quellen von neuen oder bestehenden Sicherheitsanbietern stammen oder Frameworks wie MITRE ATT&CK umfassen.
Die Fähigkeit einer IT-Sicherheitsabteilung, diese Daten als Teil der Erkennungs- und Reaktionsstrategie zu nutzen, ist hier entscheidend. XDR angereichert um externe Quellen, verbessert den Umfang, die Geschwindigkeit und die Relevanz von Erkennungen, anstatt sich nur auf die Informationen eines Anbieters zu verlassen.
Integration mit Systemen von Drittanbietern: Dies ist aus mehreren Gründen wichtig. Erstens sind zusätzliche Telemetriedaten, Kontext und Ereignisse aus internen Systemen der Schlüssel, um die Teile für die Erkennung zusammenzusetzen. Diese Daten aus internen Systemen werden oft übersehen, sind aber eine der besten Informationsquellen, und wenn sie mit externen Daten kombiniert werden, verbessert sich die Erkennung.
Zweitens ermöglicht die Integration mit den internen Systemen eine schnellere Reaktion mit der richtigen Mischung aus Automatisierung und manuellen Aktionen. Letztlich werden dadurch die Systeme effektiver und die Fachleute effizienter.
„Unabhängig davon, welcher Ansatz oder welche Strategie zur Auswahl der XDR-Technologie herangezogen wurde, ist die Integration mit bestehenden Tools unerlässlich und dadurch komplex.“
Markus Auer, ThreatQuotient
Der Funktionsumfang ist entscheidend
Um mit einer XDR-Implementierung eines Unternehmens zu beginnen, müssen die folgenden Funktionen hinzugefügt werden:
- EDR: Endpunkt-Erkennung und -Reaktion von einem einzigen Anbieter, unter Verwendung der Erkennungsinhalte dieses Anbieters.
- EDR +: EDR-Lösung eines Anbieters plus Integration mit Daten und Informationen von Drittanbietern für eine schnellere und effektivere Erkennung.
- EDR ++: XDR-Lösung eines Anbieters plus Integration mit Daten und Informationen von Drittanbietern für eine schnellere und effektivere Erkennung sowie Integration mit den anderen Tools in der Infrastruktur für eine effizientere Reaktion.
Damit die XDR-Integration gelingt, braucht es eine Plattform, die als zentrales Repository für Daten und Informationen aus internen und externen Quellen sowie als Verbindung zwischen bestehenden Sicherheitstechnologien und Cloud-basierten XDR-Angeboten dient.
Die Plattform ist mehr als nur ein zentraler Bildschirm oder ein einzelnes Fenster, sie bezieht Informationen von Drittanbietern ein, um Daten aus internen Tools mit Kontext anzureichern und sie für Maßnahmen zu priorisieren. Sie kann Prioritäten setzen und False Positives herausfiltern, Wissen über Bedrohungen teilen, als organisatorisches Gedächtnis dienen und zu einer benutzerdefinierten Anreicherungsquelle für alle Abteilungen werden.
Mit vorverarbeiteten, kuratierten Daten erhalten die IT-Sicherheitsabteilungen auch relevante Daten. Vertrauen in Daten führt zu Vertrauen in die Entscheidungsfindung, was wiederum zu Vertrauen in die Automatisierung dieser Entscheidungen und Aktionen führt. Da diese Plattform auch mit Sicherheitskontrollen von Drittanbietern integriert ist, können relevante, priorisierte Bedrohungsdaten durch alle Systeme, Playbooks und Prozesse fließen. Aktionen – automatisiert oder manuell – basieren auf den richtigen Daten und können schnell ausgeführt werden.
Fazit
Eine Verbindung zwischen einer XDR-Lösung und den Datenquellen und Sicherheitstools ist letztlich erforderlich, um den verbesserten Schutz und die schnellere Reaktion zu erreichen. Über eine zentralisierte Plattform können die Integration und Bedrohungsinformationen für alle IT-Sicherheitsabteilungen und Sicherheitslösungen bereitgestellt werden, die bei der Erkennung, der Bedrohungsanalyse und der Reaktion auf diese unterstützen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
