Monkey Business - stock.adobe.co
Worauf es bei XDR-Lösungen ankommt
Bei XDR arbeiten verschiedene Technologien als ein intergiertes System zusammen. Das kann Vorteile bei der Erkennung und Analyse von und Reaktion auf Bedrohungen bieten.
Angesichts des Umfangs, der Raffinesse und des potenziellen Schadens heutiger Cyberbedrohungen ist es für Security-Teams unerlässlich (und leider gleichzeitig auch unmöglich), umfassende Maßnahmen zu ergreifen.
In der Folge verwenden Unternehmen im Durchschnitt ein Dutzend oder mehr Sicherheitswerkzeuge, die oft von unterschiedlichen Anbietern stammen. Diese Lösungen generieren täglich Tausende von Warnungen, die ausgewertet werden müssen. Gleichzeitig arbeiten die meisten dieser Tools isoliert, weshalb die Nachverfolgung der Mitteilungen oft eine manuelle Korrelation von Ereignissen zwischen verschiedenen Management-Konsolen erfordert.
Aufgrund dieser Komplexität reagieren Security-Teams schon jetzt oft zu langsam auf Warnungen, haben weniger Zeit für Untersuchungen und riskieren, einen laufenden Angriff zu verpassen. Daher ist es wenig überraschend, dass bereits 2017 in einer Umfrage von Forrester nahezu die Hälfte der Sicherheitsverantwortlichen die „Komplexität ihrer Umgebung als eine der größten Herausforderungen im Bereich Security“ bezeichneten.
XDR gewinnt die Aufmerksamkeit von Security-Experten
Ein noch junges Sicherheitskonzept, das die Beachtung von Cybersecurity-Experten auf sich zieht, heißt Extended Detection and Response (XDR). Gartner definiert XDR als „eine Security-Incident-Detection-and-Response-Plattform, die automatisch Daten von mehreren Sicherheitslösungen sammelt und in Beziehung zueinander setzt“.
Damit steht XDR für ein neues Sicherheitsparadigma, bei dem einzelne Sicherheitskontrollen Daten als Teil einer koordinierten Security-Plattform sehen, austauschen und korrelieren. Somit werden Bedrohungen effektiver erkannt, und anschließend kann eine koordinierte Reaktion erfolgen, die die gesamte Angriffsfläche abdeckt.
Die Idee, verschiedene Technologien als ein einziges, integriertes System zusammenarbeiten zu lassen, bietet große Vorteile für die Erkennung von und die Reaktion auf Bedrohungen. Deshalb wächst das Angebot an auf dem Markt verfügbaren XDR-Lösungen. Aber nicht jede XDR-Lösung meistert jede Herausforderung gleichermaßen gut. Damit XDR effektiv ist, muss eine breite Abdeckung der Angriffsoberfläche gewährleistet werden, eine tiefgehende Integration erfolgen und der Fokus auf alle drei Schritte – Erkennung, Untersuchung und Reaktion – gelenkt werden.
Die Auswahl der richtigen XDR-Lösung
Bei der Auswahl einer XDR-Lösung ist es essenziell, ihre drei grundlegenden Funktionen zu bewerten.
Erweiterte Erkennung
Die XDR-Lösung muss in der Lage sein, Daten aus dem gesamten Unternehmen zu sammeln, sie dann zu korrelieren und zu analysieren, um eine riesige Menge an Rohdaten in eine kleinere Menge an detaillierten Informationen über potenzielle Vorfälle zu komprimieren. Je mehr Angriffsvektoren mit verfügbarer Bedrohungstelemetrie, desto wahrscheinlicher ist es, dass eine aktive Bedrohung entdeckt wird. Das Sammeln von Daten ist jedoch nur die halbe Miete. Bei der Auswahl einer XDR-Lösung müssen auch die zur Erkennung von Vorfällen verwendeten Analysemethoden sorgfältig bewertet werden.
Erweiterte Analyse
Sobald ein potenzieller Vorfall erkannt wird, muss eine Untersuchung stattfinden. Handelt es sich um eine echte Bedrohung oder um einen Fehlalarm? Ist dies ein Hinweis auf eine größere Bedrohung? Wenn ja, wie groß ist ihr Ausmaß? Heutzutage werden viele Cyberangriffe mehrstufig aufgebaut. Dabei verschwinden Komponenten wieder, sobald sie ihre Funktion erfüllt haben. Nur weil bestimmte Indikatoren, die einen Alarm auslösten, nicht mehr sichtbar sind, ist ein Unternehmen noch nicht sicher oder das Cybersecurity-Team „aus dem Schneider“.
„Damit XDR effektiv ist, muss eine breite Abdeckung der Angriffsoberfläche gewährleistet werden, eine tiefgehende Integration erfolgen und der Fokus auf alle drei Schritte – Erkennung, Untersuchung und Reaktion – gelenkt werden.“
Josef Meier, Fortinet
Die meisten XDR-Lösungen lagern diesen Schritt an das Security-Team vor Ort aus, das eine manuelle Untersuchung durchführt. Doch angesichts der Menge an generierten Alarmen und Beschränkungen wie dem Fachkräftemangel in der Cybersicherheitsbranche verfügen viele Security-Abteilungen nicht über die Ressourcen, um jedem potenziellen Vorfall nachzugehen.
Ein erfahrener Security Analyst muss sich zunächst den potenziellen Vorfall ansehen und dann entscheiden, wie er untersucht und verifiziert werden kann. Anschließend muss er die richtigen Reaktionsschritte zur Behebung und zur Rückkehr zum sicheren Regelbetrieb festlegen. Dies erfordert Zeit, die vielen Unternehmen nicht zur Verfügung steht.
Stattdessen sollten Unternehmen nach einer mit künstlichen Intelligenz (KI) ausgestatteten XDR-Lösung suchen, die darauf trainiert wurde, Alarme automatisch zu überprüfen. Dieses KI-System sollte in der Lage sein, den Kontext eines potenziellen Vorfalls zu ermitteln, eine gründliche Untersuchung durchzuführen, die Art und den Umfang des Vorfalls zu identifizieren und idealerweise genügend Details liefern, um die Reaktion zu beschleunigen. Ein gut trainiertes KI-System führt diese Funktion in Sekundenschnelle aus und ist einfacher und kostengünstiger als die Suche nach den wenigen Fachkräften.
Erweiterte Reaktion
Um einen Vorfall zu entschärfen, muss die Überprüfung und Validierung eine effektive Reaktion auslösen. Deshalb muss die XDR-Lösung erstens in der Lage sein, so viele Ressourcen wie möglich zu mobilisieren, um eine effektive und koordinierte Reaktion auf Grundlage des gesamten Angriffsausmaßes zu ermöglichen.
Zweitens muss die Reaktion vordefiniert und wiederholbar sein – nicht nur, um sie effizienter zu gestalten, sondern auch, um in jeden Schritt eines laufenden Angriffs einzugreifen. Und drittens muss sie in der Lage sein, die Lücken im bestehenden Security Framework zu schließen, die der Bedrohung den Zugang zum Netzwerk ermöglicht haben.
Mit Bedacht wählen – nicht alle XDR-Lösungen sind gleich
XDR stellt einen bedeutenden Fortschritt für Unternehmen dar, um Bedrohungen zu erkennen, zu untersuchen und auf sie zu reagieren. Dabei darf der mittlere Schritt nicht außer Acht gelassen werden. Wie bei jeder neuen Technologie, die auf den Markt kommt, erregt auch diese viel Aufsehen und mögliche Käufer müssen klug vorgehen. Denn nicht alle XDR-Lösungen sind gleichermaßen geeignet.
Die erste Frage ist, ob die Lösung die Sicherheitslage des eigenen Unternehmens wirklich verbessern wird. Für eine gute Kaufentscheidung muss ein Verständnis vorliegen, was eine XDR-Lösung abdeckt und was nicht, sowie was sie kann und was nicht.
Als Nächstes stellt sich die Frage, wie stark sie den Overhead reduzieren wird. Diese Frage lässt sich beantworten, indem die Funktionen und Anforderungen, wie beispielsweise die Untersuchung von Alarmen, mit den vorhandenen Technologien und Ressourcen abgeglichen werden.
Letztlich gilt es zu hinterfragen, ob die die Lösung zukünftige Netzwerkinnovationen unterstützen wird. Dafür müssen Unternehmen ermitteln, ob die von ihnen ausgewählte XDR-Lösung sie auch dann noch unterstützen kann, wenn sie beispielsweise neue Cloud-Plattformen hinzufügen, ihre SD-WAN-Infrastruktur erweitern oder zusätzliche Edge-Geräte einsetzen.
Die Beantwortung dieser und vergleichbarer Fragen ist der effektivste Weg, um zu gewährleisten, dass die gewählte XDR-Lösung dabei hilft, auf dem zunehmend komplexen und zugleich risikoreichen digitalen Markt von heute sicher zu bestehen.
Über den Autor:
Josef Meier ist Director Sales Engineering Germany bei Fortinet.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.