Dieser Artikel ist Teil unseres Guides: Operation Centric Security als Ansatz für EDR

Mit XDR-Lösungen Bedrohungen erkennen und richtig reagieren

Die zeitnahe Erkennung von Bedrohungen und die richtige Reaktion darauf können die entscheidenden Faktoren sein, die Unternehmen vor größerem Schaden bei Vorfällen bewahren.

EDR-Tools (Endpoint Detection and Response) schützen die Endpunkte in Unternehmen, in dem verdächtiges Verhalten überwachen und Systemaktivitäten sowie Ereignismeldungen sammeln. In der Regel sind die Lösungen so ausgelegt, dass sie automatisch auf Bedrohungen reagieren. Im Falle eines Falles isolieren sie dann einen infizierten Endpunkt im Netzwerk.

In Kombination mit der Analyse des Netzwerkverkehrs und einem SIEM-System (Security Information and Event Management) können Security-Teams die gesammelten Daten nutzen. Dies hilft ihnen, Bedrohungen zu erkennen und darauf zu reagieren. Das gilt insbesondere für Bedrohungen, die von einer einfachen Antiviren-Lösung möglicherweise nicht entdeckt worden wären.

Der Einsatz von zahlreichen verschiedenen Tools bringt jedoch auch Herausforderungen mit sich. Zwar stehen IT-Teams so mehr Informationen zur Verfügung, aber die Verwaltung mehrerer unabhängiger Produkte kann schwierig und ineffizient sein. Und möglicherweise liefern die Werkzeuge dennoch einen zu engen Blick auf die gesamte Angriffsfläche, die typische IT-Umgebungen heute bieten.

Unternehmen müssen einen besseren Einblick in ihre Netzwerke haben und proaktiver bei der Erkennung, Verfolgung und Behebung von Bedrohungen vorgehen. Dies bedeutet, dass die Anzahl der Quellen und die Menge der erfassten und zu analysierenden Daten erhöht werden muss. Nur so lässt sich sicherstellen, dass alle technologischen Ressourcen eines Unternehmens- von Arbeitsrechner bis zu Cloud-Ressourcen – effektiv überwacht werden.

Bedrohungen auf einem kombinierten Dashboard überwachen

Um diesen Anforderungen gerecht zu werden, offerieren eine Security-Anbieter inzwischen XDR-Lösungen (Extended Detection and Response). XDR-Lösungen sind Tools zu Erkennung von Bedrohungen und zur Reaktion auf Vorfälle, die die Komplexität und die Kosten reduzieren sollen. Dies indem sie mehrere Sicherheitsprodukte in einer einheitlichen Plattform zusammenfassen.

Das Ergebnis ist ein Werkzeug, das Daten aus unterschiedlichsten Quellen und der gesamten IT-Umgebung aufnehmen kann. Sowohl lokal als auch in der Cloud, um ein möglichst klares und präzises Bild zu erhalten, was im Netzwerk so vor sich geht.

Indem Informationen aus verschiedenen Streams mit Daten aus externen Threat-Intelligence-Quellen und Kontextdaten korreliert werden, kann die Anzahl der falsch-positiv Alarme und weniger wichtigen Meldungen reduziert werden. Bekannte und unbekannte Angriffe können unterdessen in Echtzeit erkannt werden.

Extended Detection and Response (XDR) verwendet auch proaktive Technologien, wie maschinelles Lernen und Verhaltensanalyse. So lassen sich neue oder komplexe Bedrohungen erkennen und eine automatische Reaktion auslösen. So kann man Angriffe effektiver klassifizieren und in den Griff bekommen.

Extended Detection and Response stärkt IT-Teams

Durch die Herstellung erweiterter Zusammenhänge und die Verbesserung der Transparenz, sollten Security-Teams in der Lage sein, schneller zu reagieren und die Auswirkungen von Angriffen zu begrenzen.

Anstatt einen kompromittierten Endpunkt einfach nur unter Quarantäne zu stellen, können Security-Experten den Angriff rekonstruieren, die Quelle blockieren und zukünftige Angriffe stoppen. Diese Funktionen können dazu beitragen, die Arbeitsbelastung der Sicherheitsteams zu reduzieren und somit ihre Produktivität zu verbessern.

Einige XDR-Produkte bieten automatische Abhilfemaßnahmen auf der Grundlage von bewährten Vorgehensweisen. Andere erlauben das Auslagern der Bedrohungssuche und -bekämpfung an Spezialteams.

Im Vergleich zu früheren Generationen von Security-Tools in Sachen Erkennung und Reaktion bietet XDR einen großen Vorteil: Die Aufgaben der Anschaffung, Konfiguration, Bereitstellung und Verwaltung mehrere Sicherheits-Tools entfallen.

Unternehmen, deren Endpunkt-sicherung immer noch primär auf Firewalls und Antiviren-Tools beruht, sollten XDR einmal in Betracht ziehen.

Sicherheitsanalysten können ein einziges Dashboard verwenden und müssen nicht mit verschiedenen Tools, Datensätzen und Berichten jonglieren. Damit ist XDR auch eine interessante Option für kleinere Sicherheitsteams oder für Unternehmen, die nicht genügend Security-Experten finden.

Unternehmen, deren Endpunktsicherung immer noch primär auf Firewalls und Antiviren-Tools beruht, sollten XDR einmal in Betracht ziehen. Security-Lösungen, die sich zur Erkennung von Angriffen ausschließlich auf bekannte Bedrohungsinformationen verlassen, reichen nicht mehr aus, um heutige IT-Umgebungen zu schützen.

XDR-Entscheidungen mit Bedacht treffen

Natürlich ersetzt XDR aber nicht die üblichen Perimeterkontrollen, die ein Unternehmen zum Schutz seiner IT-Infrastruktur benötigt. Aber eine richtig implementierte XDR-Plattform hilft Unternehmen, schneller auf Bedrohungen zu reagieren, da diese möglicherweise traditionelle Kontrollen umgangen haben.

Im Hinblick auf die Betriebskosten kann eine XDR-Bereitstellung in der Gesamtbetrachtung zu einem positiven Effekt führen. So sollten Unternehmen mit knappen Budgets überlegen, ob eine Migration zu XDR eine verbesserte Sicherheit zu einem Preis bietet, der über einen vollen Budgetzyklus im Vergleich zu einer Vielzahl von Lösungen erschwinglich ist.

Und wie bei vielen anderen Security-Produkten ist ein Test und eine Prüfung vor dem Kauf unerlässlich. Ein Wechsel des Anbieters nach dem Einsatz kann sich schnell als sehr kostspielig erweisen. Stellen Sie sicher, dass das ausgewählte XDR-Produkt die Funktionen bietet, die Ihr Unternehmen benötigt – sowohl jetzt als auch in Zukunft.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close