Was Manager über XDR wissen sollten
Was ist mit XDR (wirklich) gemeint?
Der Begriff XDR, EXtended Detection and Response (erweiterte Bedrohungserkennung und -abwehr),)wurde erstmals 2018 von Nir Zuk bei Palo Alto Networks gebraucht, und zwar im Zusammenhang mit den Sicherheitsherausforderungen, die durch isolierte Ansätze zur Datenanalyse entstehen. Bis dahin konzentrierte sich jeder Ansatz auf einen einzigen Gerätetyp oder Bereich, wie Endpunkte, Netzwerk oder das Nutzerverhalten, und ließ wichtige Kontextinformationen oder Indikatoren aus anderen Schwerpunktbereichen außer Acht, wodurch einige erkennbare Risiken unbemerkt blieben. XDR analysiert alle Schwerpunktbereiche und verbindet sie in einer umfassenden Plattform, die alle relevanten Daten eines Vorfalls erkennt und das SOC dann mit Empfehlungen zur unternehmensweiten Verfolgung und Behebung bei der angemessenen Reaktion auf alle schädlichen oder riskanten Ereignisse unterstützt.
Woher kommt XDR?
Palo Alto Networks hat untersucht, mit welchen Herausforderungen Unternehmen zu kämpfen hatten, wenn es darum ging, sich eine Gesamtübersicht zu verschaffen und zu verstehen, welche wichtigen sicherheitsrelevanten Vorfälle in ihren Umgebungen auftraten. Dabei fiel uns eine Marktlücke auf: In den Unternehmen wurden voneinander isolierte Tools mit auf einzelne Bereiche fokussierten Ansichten genutzt, obwohl eine einheitliche Plattform mit einer wesentlich breiteren Abdeckung erforderlich war. XDR wurde entwickelt, um Informationen aus allen Teilen der IT-Infrastruktur eines Unternehmens miteinander zu verbinden und diese Lücke zu schließen.
Dabei erwies es sich als außerordentlich wichtig, eine ML-Engine zu integrieren, die die sehr viel größere Menge an Rohdaten korrelieren und dafür sorgen kann, dass Analysten nur auf signifikante Vorfälle hingewiesen und nicht von einer Flutwelle an unbrauchbaren oder irrelevanten Alarmen überrollt werden. Das „X“ in XDR steht im Zentrum dieser Philosophie der erweiterten Bedrohungserkennung und -abwehr bezüglich jeder IT-Tätigkeit. Um dies zu demonstrieren, erstellte Palo Alto Networks einevision map der Entstehung von XDR und seiner voraussichtlichen zukünftigen Entwicklung
Welche Rolle spielt XDR für die Cybersicherheit?
Durch die Umstellung von getrennten Datensätzen für Endpunkte, Netzwerke und Bedrohungen zu einer Plattform, die all diese Datensätze und noch vieles mehr in einer einzigen Ansicht anzeigt, gewinnt man in Unternehmen ein wesentlich besseres Verständnis der gesamten eigenen Security Operations und IT-Umgebung. Eine zentrale Ansicht reduziert die Anzahl von übersehenen wichtigen Vorfällen, False Positives und False Negatives aufgrund von fehlenden Kontextinformationen und Fähigkeiten, manueller Aggregation und Berichten. Diese vereinten Datensätze, analysiert von ML-Systemen, hatten bereits weitreichende Auswirkungen auf die Fähigkeit von Unternehmen, mit der Weiterentwicklung der Cyberkriminalität – von individuellen „Hacktivisten“ über regelrechte Hackerfirmen bis hin zu staatlich gesponserten Gruppen – und den immer komplexeren Angriffen Schritt zu halten, die angesichts dieser Entwicklung zu erwarten waren.
Was hat es mit XDR auf sich?
Ein Blick auf die Reaktion des Markts auf XDR zeigt, dass viele Anbieter den Begriff zwar widerwillig verwenden, im Grunde aber nur versuchen, ihre EDR- oder NDR/NTA-Produkte als XDR-Lösungen zu verkaufen. Mehrere Anbieter haben ihre Benutzeroberflächen so umgestaltet, dass sie den Eindruck einer einheitlichen, zentralen Datenquelle erwecken. Die zugrunde liegende Infrastruktur wurde jedoch nicht verändert, sodass die isolierten Datenströme nur in einer zentralen Ansicht präsentiert werden, statt tatsächlich Daten aus allen Quellen einzulesen und zu korrelieren. Zudem konzentrieren sich mehr neue Anbieter auf detaillierte Einblicke, decken aber nicht alle Komponenten einer IT-Infrastruktur ab und sind somit nicht in der Lage, eine lückenlose Ansicht zu bieten. Zu guter – und unerhörter – Letzt führt fehlende Automatisierung in vielen Fällen dazu, dass Unternehmen durch ML-gestützte Prozesse von Alarmen überflutet werden, denen sie nicht die angemessene Aufmerksamkeit zollen können oder die unvollständige Daten enthalten und es Analysten daher nicht gestatten, den kompletten Ablauf eines Sicherheitsvorfalls nachzuvollziehen.
Unsere Empfehlung: Was sollten Führungskräfte bei der XDR-Implementierung beachte
Das Konzept von XDR beruht auf zwei Hauptthemen, die grundlegend zusammenhängen: 1. Alle Datenströme müssen zusammengebracht und zu einer einzigen Darstellung eines Vorfalls korreliert werden. 2. Es muss ein System geben, das den Schweregrad eines Vorfalls automatisch beurteilt und ermittelt, ob der Vorfall von einem Analysten genauer untersucht werden muss. Ein erfolgreiches, zeitgemäßes Cybersicherheitsprogramm ist nur möglich, wenn beide Funktionen vorhanden sind und zusammenarbeiten.