Managed Extended Detection and Response (MXDR)

Was ist Managed Extended Detection and Response (MXDR)?

Managed Extended Detection and Response (MXDR) ist ein ausgelagerter Dienst, der Bedrohungsdaten aus der gesamten IT-Umgebung eines Unternehmens sammelt und analysiert.

Ein MXDR-Dienst kombiniert zwei Formen der Bedrohungserkennung und -reaktion (TDR, Threat Detection and Response):

• Managed Detection and Response (MDR), eine Bezeichnung für eine Reihe von ausgelagerten TDR- und Cybersicherheitsdiensten.
• Extended Detection and Response (XDR), ein spezieller TDR-Ansatz, der Daten aus weitreichenden Quellen in einer IT-Umgebung zusammenführt, darunter Netzwerke, Endgeräte und Cloud-Ressourcen.

Unternehmen verwenden MXDR-Dienste, um sich besser vor Bedrohungen zu schützen, die fast überall auf einer umfassenden Angriffsfläche auftreten können. Die von externen Anbietern zur Verfügung gestellten Tools und Fachkenntnisse ergänzen das, was ein Unternehmen selbst aufbauen kann.

MXDR ist besonders gut für cyberphysische Umgebungen geeignet. In solchen hybriden Umgebungen verfügen IoT-Geräte (Internet der Dinge) nicht über die Protokollierungsfunktionen herkömmlicher Hosts, und Netzwerküberwachungsgeräte erkennen möglicherweise keine Anzeichen für eine Kompromittierung. Darüber hinaus erhält ein Unternehmen Zugang zu den erfahrenen Fachleuten eines MXDR-Anbieters, was dem Unternehmen die Kosten und den Aufwand für die Einstellung und Schulung von Personal erspart.

Aktivitäten zur Erkennung von und Reaktion auf Bedrohungen (TDR, Threat Detection and Response) können sich auf bestimmte Elemente einer Umgebung konzentrieren. Endpoint Detection and Response (EDR) bietet detaillierte Beobachtungen von Änderungen am Dateisystem eines Endpunkts. Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) bietet dagegen Einblicke in das Netzwerk. Bei NDR fehlt jedoch der Kontext, den die EDR-Daten bieten. Mit Data Detection and Response (DDR) kann sich ein Unternehmen über Datenänderungen informieren; DDR ist nützlich bei der Vermeidung von Datenverlusten.

Diese und andere Technologien zur Erkennung von Bedrohungen liefern enorme Mengen an Informationen. Selbst mit dem Mitre ATT&CK-Framework, das bei der Organisation der Daten hilft, liegt es immer noch an den Menschen, zu entscheiden, wie sie auf verwertbare Informationen reagieren sollen. Aus diesem Grund wenden sich Unternehmen an Anbieter, die Aspekte ihrer Arbeit im Bereich der Bedrohungserkennung verwalten.

Warum ist MXDR wichtig, und wer benötigt es?

MXDR-Dienste können besonders bei Cloud-Anwendungen hilfreich sein, bei denen Endpunkte einer Umgebung mit Endpunkten in anderen Umgebungen interagieren. MXDR fasst Sicherheitsdaten zusammen und ermöglicht es, Ereignisse miteinander zu verbinden, die andernfalls unzusammenhängend erscheinen könnten. Diese Funktionen untersuchen verschiedene Sitzungen und IP-Adressen auf eine Art und Weise, die zeigen könnte, dass es sich bei einer Anomalie oder einem potenziellen Sicherheitsereignis in Wirklichkeit um eine ernsthafte Eindringungskampagne handelt.

Unternehmen, die MXDR einsetzen, profitieren von der Erfahrung des Anbieters mit Cyberangriffen. Kampagnen bestehen in der Regel aus nacheinander ausgeführten Signatur-Taktiken, Techniken und Verfahren (TTPs, Tactics, Techniques and Procedures). Signaturen sind zwar reaktiv, aber sie sind eine enorme Hilfe bei der Erkennung und Reaktion. Die Experten eines Dienstanbieters haben diese Anzeichen schon einmal gesehen, was zu einer schnellen MXDR-Reaktion führen sollte, wenn ein Unternehmen angegriffen wird.

Die Erkennung von Cyberbedrohungen ist eine komplizierte Aufgabe. Erschwerend kommt hinzu, dass Angriffe erfolgen können, ohne dass das Ziel davon weiß, was dazu führt, dass Angreifer noch lange nach dem ersten Eindringen im Netz leben. Um dem entgegenzuwirken, sollte ein Unternehmen eine Reihe von Technologien einsetzen.

Mehr Tools sorgen für mehr Transparenz, aber das bedeutet auch mehr Daten. Das Ergebnis kann eine Informationsflut sein. Diese unbeabsichtigte Folge erfordert, dass Sicherheitsteams all diese Daten analysieren und sich mit falsch-negativen und falsch-positiven Ergebnissen auseinandersetzen müssen, um tatsächliche Bedrohungen zu erkennen.

MXDR-Dienste könnten durch eine Kombination aus künstlicher Intelligenz (KI), maschinellem Lernen (ML) und menschlicher Entscheidungsfindung in kritischen Momenten die Genauigkeit in einer Weise steigern, die ein Unternehmen allein nicht erreichen könnte.

Eine wirksame Erkennung von Bedrohungen erfordert ein hohes Maß an technischer Erfahrung, die gefragt und nicht leicht zu finden ist. TDR-Analysten müssen sowohl mit dem IT-Stack als auch mit den verschiedenen Betriebssystemen vertraut sein. Selbst wenn ein Unternehmen über das richtige Personal für TDR verfügt, sind die Kosten erheblich. Ein Managed Service kann diese Aufgaben ergänzen oder vollständig übernehmen.

Ein weiterer Vorteil ist die Möglichkeit für ein Unternehmen, die Fähigkeiten seiner Mitarbeiter zu verbessern. Ein Unternehmen, das die Stellen in seinem Security Operations Center mit Nachwuchsanalysten besetzt, könnte die Zusammenarbeit mit einem MXDR-Anbieter als wertvolle Lernmöglichkeit für seine Mitarbeiter betrachten.

MXDR vs. MDR

Die Basistechnologien von MDR erkennen Anomalien in einem Dateisystem oder Betriebssystem. MDRs stützen sich auf Host-basierte Intrusion-Detection-Technologien, die mit Anti-Malware-Tools gekoppelt sind, so dass ein Dienst entsteht, der Anomalien sammelt und die Signaturen filtert. Dies ermöglicht eine schnellere Identifizierung von potenziellen Angriffen. Außerdem wird die Ausbruchszeit verkürzt, also das Zeitfenster zwischen dem ersten Eindringen eines Angreifers und dem Beginn der Ausbeutung. Ein verwalteter Dienst verwendet nach wie vor einen Human-in-the-Loop-Ansatz; der einzige Unterschied besteht in der Menge des verwalteten Speicherplatzes.

MXDR hingegen stützt sich auf eine Kombination aus host- und netzwerkbasierten Technologien, um einen ganzheitlichen Überblick über die gesamte Umgebung eines Unternehmens zu erhalten. MXDR eignet sich besser als MDR für die Untersuchung einer komplexeren Umgebung, einschließlich Cloud-Ressourcen, IoT-Systemen, IT-Infrastruktur und so weiter, in der sowohl Netzwerk- als auch Host-Daten kombiniert werden.

Es gibt einige wichtige Punkte zu beachten:

• MDR ist Host-basiert und eignet sich besser für eine geschlossene Endpunktumgebung.
• MXDR ist sowohl host- als auch netzwerkbasiert und macht zusätzliche Analysen erforderlich, um ein ganzheitliches Bild zu erhalten.
• Beide Technologien setzen voraus, dass Menschen involviert bleiben.
• Beide Ansätze nutzen KI/ML, daher ist es wichtig, die Trainingsdaten zu verstehen.

Da es sich sowohl bei MXDR als auch bei MDR um Dienstleistungsangebote handelt, sind SLAs (Service Level Agreements) wichtig. Dies ist besonders wichtig, da viele Anbieter die ersten oder frühen Beobachter neuer Cyberangriffe sind.