beebright - stock.adobe.com

Worauf man bei der Auswahl einer XDR-Lösung achten sollte

XDR-Lösungen helfen bei Erkennung und Analyse ebenso wie bei der Reaktion auf Bedrohungen. Auf welche Funktionen muss man vor einer Entscheidung besonders achten?

Es gibt viele unterschiedliche Lösungen zur Erkennung und Abwehr von Malware. Die bekanntesten Beispiele sind Anwendungen zur Endpoint Detection and Response (EDR), zur Network Detection and Response (NDR) oder zur Threat Detection and Response (TDR). Relativ neu ist der Bereich Extended Endpoint Detection and Response (XDR). Dabei handelt es sich um Plattformen, die wesentliche Funktionen zur Abwehr von Cyber-Bedrohungen in einem Produkt vereinen.

Bevor Sie aber nun losstürmen und eine XDR-Lösung erwerben, sollten Sie sich zuerst genauer darüber informieren, auf welche Funktionen Sie besonders achten sollten.

Wofür steht XDR?

XDR-Lösungen sind SaaS-basierte Plattformen (Software as a Service) zur Überwachung der IT-Sicherheit in einem Unternehmen. Sie decken in der Regel sowohl Clients, Server, das Netzwerk als auch Workloads in der Cloud ab, um so auch fortgeschrittene Gefahren besser erkennen zu können. Sie gehen damit weiter als klassische EDR-Plattformen. Das Versprechen der Hersteller ist, dass sie auf diese Weise mehr Bedrohungen erkennen und stoppen können als mit den reinen EDR-Vorgängern. XDR-Lösungen sollen also ein umfassendes Bild der aktuellen Cyberbedrohungslage liefern.

XDR-Systeme übernehmen die folgenden Aufgaben:

  • Sie sammeln telemetrische Bedrohungsdaten aus zwei oder mehr Quellen. Dazu gehören Daten von Endpoints, Servern, Netzwerk-Firewalls und Drittanbieter-Diensten zur Threat Detection.
  • Darüber hinaus analysieren sie die anfallenden Daten mit Techniken aus dem Bereich Machine Learning (ML), um sozusagen ein „Gespür“ für das normale Geschehen in einem Netzwerk zu erhalten. Sobald diese Aufgabe erledigt ist, überwachen und analysieren sie kontinuierlich alle Ereignisse und ungewöhnlichen Vorkommnisse bei Anwendern, Geräten und den im Netzwerk genutzten Diensten. So kommen sie verdächtigem Verhalten leichter auf die Spur.
  • Wenn eine Anomalie entdeckt wird, leiten die meisten XDR-Lösungen auch erste Gegenmaßnahmen ein. Mit Hilfe von künstlichen Intelligenzen (KI) können sie unter anderem die folgenden Schritte ergreifen:
    • Bewerten, wie sich ein sicherheitsrelevantes Ereignis auf das gesamte Firmennetz auswirkt,
    • einen detaillierten aktuellen Threat-Level für die IT-Umgebung errechnen,
    • eine KI-basierte Analyse der Ursachen durchführen und
    • Schritte zur Reaktion auf den oder die Vorfälle anbieten beziehungsweise selbst ausführen.

Wichtige Unterschiede bei der Wahl einer geeigneten XDR-Plattform

Die meisten kommerziellen XDR-Plattformen nutzen mehr oder weniger ähnliche Architekturen und Prozesse. Trotzdem gibt es einige wesentliche Unterschiede, die Sie vor einem Kauf kennen sollten. So sammeln nicht alle XDR-Produkte Daten von denselben Geräten und im selben Umfang. Eine der Lösungen setzt eventuell stärker auf Logs, die auf den Endgeräten gesammelt werden, während sich eine andere möglicherweise mehr auf die Daten konzentriert, die das Netzwerk durchlaufen.

Die Wahl der am besten zu den Bedürfnissen eines Unternehmens passenden XDR-Software hängt von den folgenden Faktoren ab:

  • Dem Ausmaß, in dem die Anwender örtlich verteilt sind,
  • der Frage, wo Anwendungen, Daten und Server sich befinden, also etwa On-Premises oder in der Cloud, und
  • der Frage, ob vertrauliche Geschäftsdaten nicht vertrauenswürdige Netzwerke wie das Internet durchlaufen.

Der nächste Aspekt, der bedacht werden muss, hängt davon ab, wer genau bei dem ausgewählten XDR-Anbieter sich um das Thema Threat Intelligence kümmert und welche externen Datenquellen zur Jagd nach Cyberbedrohungen dabei genutzt werden. Auch ist wichtig, ob diese Daten proaktiv eingesetzt werden können, um potenzielle Angriffe gleich im Keim zu ersticken. Die meisten Enterprise-tauglichen XDR-Plattformen setzen ihre internen Teams zur Erkennung neuer Gefahren ein. Sie sollen neue und sich anbahnende Bedrohungen identifizieren und diese Daten dann an die Kunden weitergeben. Ein Beispiel ist Cisco. Der Hersteller greift auf seine eigene Talos Intelligence Group zurück, um neue globale Bedrohungen zu identifizieren, während VMware die Tochter Carbon Black Threat Analysis für diese Zwecke nutzt.

Threat-Intelligence-Daten, die von diesen Organisationen zusammengestellt werden, können auch zum automatisierten Erstellen von Sicherheitsrichtlinien verwendet werden, die dann zu den Sicherheits-Tools bei den Kunden weitergeleitet werden. Die Fähigkeiten dieser Teams zum schnellen Identifizieren neuer Gefahren und zum Aufsetzen aktueller Policies sind vor allem bei Zero-Day-Exploits ein kritischer Faktor.

Die KI-Fähigkeiten der einzelnen Plattformen unterscheiden sich ebenfalls erheblich zwischen den verschiedenen Produkten auf dem Markt. Manche Lösungen lagern zum Beispiel die Bedrohungserkennung und die Aufgaben der Reduzierung von False Positives aus. Andere nutzen künstliche Intelligenzen zur Analyse der zugrundeliegenden Ursachen einer Bedrohung und um geeignete Gegenmaßnahmen vorzuschlagen. Dadurch lässt sich die für die Untersuchung sowie das Eingrenzen und Entfernen einer entdeckten Gefahr benötigte Zeit reduzieren.

Tipps zur Bereitstellung und Betrieb einer XDR-Plattform

Der geplante Rollout einer XDR-Plattform muss besonders sorgfältig vorbereitet werden. So sollte zum Beispiel bestimmt werden, wie viele und welche viele Log- und Telemetriedaten gesammelt und für welche Zeiträume sie gespeichert werden. Nur so kann der Bedarf an Speicherplatz für die XDR-Lösung sowie die voraussichtliche Bandbreite definiert werden, die sie in LAN, WAN und der Cloud zur Übertragung ihrer Daten benötigt.

XDR-Plattformen sollten immer nur schrittweise ausgerollt werden. Statt also die XDR-Daten über alle Endpunkte, Server und Cloud-Umgebungen auf einmal zu sammeln, sollten Sie nur mit einem Teil dieser Kategorien beginnen. Versuchen Sie dann, die verwendete Plattform erst gründlich kennenzulernen, bevor Sie ihren Einsatz auf weitere Geräte und Netzwerke ausdehnen. Auf diese Weise stellen Sie sicher, dass sich die Integration nicht versehentlich negativ auf die Geschäftsaktivitäten auswirkt.

Darüber hinaus benötigt eine XDR-Plattform ausreichend Zeit, um das Verhalten der normalen Datenflüsse im Netzwerk erfassen zu können. Auf dieser Basis kann sie dann Anomalien erkennen. Ein vorschnelles Verkürzen dieser Zeit führt zu vermehrten False Positives und falsch eingestuften Ereignissen. Seien Sie daher lieber geduldig bei der Einführung Ihrer XDR-Plattform.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit