Was ist XDR? Transformation Bedrohungserkennung und -reaktion

XDR ist eine Reihe von Technologien, die Sicherheitsteams dabei helfen können, Bedrohungen effektiver zu erkennen und schnell zu untersuchen und darauf zu reagieren.

Im Gegensatz zu Sicherheitslösungen der vorherigen Generation ist XDR nicht auf ein Sicherheitssilo beschränkt – es kombiniert Daten aus Netzwerken, Endpunkten, E-Mails, IoT-Geräten, Servern, Cloud-Workloads und Identitätssystemen. Es kombiniert Daten aus allen Ebenen der IT-Umgebung und reichert sie mit Bedrohungsinformationen an, um komplexe und schwer zu erkennende Bedrohungen zu erkennen.

Ein Hauptvorteil von XDR besteht darin, dass es vorgefertigte, automatisierte Bedrohungserkennung, -untersuchung und -reaktion (TDIR) für eine Vielzahl von Bedrohungen bietet. XDR-Lösungen werden in der Cloud bereitgestellt und eignen sich für verteilte, heterogene IT-Umgebungen. Es handelt sich um schlüsselfertige Lösungen, die sofort Mehrwert bieten und die Produktivität von Sicherheitsteams steigern.

---

Die Notwendigkeit von XDR-Sicherheit

Security Operation Center (SOCs) benötigen eine Plattform, die alle relevanten Sicherheitsdaten intelligent zusammenführt, um fortgeschrittene Angreifer zu enttarnen. Da Angreifer immer ausgefeiltere Taktiken, Techniken und Verfahren (TTPs) einsetzen, um Schwachstellen auszunutzen und herkömmliche Sicherheitskontrollen zu umgehen, müssen Unternehmen ihre Ressourcen sowohl innerhalb als auch außerhalb des Netzwerkperimeters schützen.

Fachkräftemangel im Bereich Cybersicherheit

Aufgrund des weltweiten Fachkräftemangels im Bereich Cybersicherheit sind Sicherheitsteams unterbesetzt und überlastet. Gleichzeitig ist die Sicherheitsumgebung komplexer geworden, die Cloud bringt neue Sicherheitsbedenken mit sich und die Umstellung auf Remote-Arbeit bringt neue Herausforderungen mit sich.

Unzusammenhängender Sicherheitsstapel

Sicherheitsorganisationen benötigen integrierte, proaktive Sicherheitsmaßnahmen zum Schutz ihrer Technologieressourcen über traditionelle Endpunkte, mobile und Cloud-Workloads hinweg. Das Hinzufügen weiterer Einzellösungen ist keine praktikable Lösung, da die Teams jedes Tool erlernen und zertifizieren müssen und noch mehr Warnmeldungen erstellen, die überprüft und untersucht werden müssen.

Komplexität von Sicherheitsuntersuchungen

Ein weiterer Schwachpunkt ist die zunehmende Komplexität von Sicherheitsuntersuchungen. Viele Sicherheits- und Risikomanager setzen Bedrohungssuchtechniken ein und suchen aktiv nach böswilligen Personen wie böswilligen Insidern, Einzeltätern, Hackerorganisationen und staatlich geförderten Angreifern.

Die Arbeit mit isolierten Sicherheitstools von Anbietern erschwert die Datenanalyse und das Erkennen von Bedrohungen. Diese Tools generieren außerdem viele Fehlalarme und lassen sich nicht gut in Analyse- und Incident-Response-Tools integrieren.

Diese Herausforderungen führten zur Entwicklung von XDR. XDR ist eine Lösung für all diese Probleme und bietet eine integrierte Lösung, die Daten aus der gesamten Umgebung zusammenführt und sie Sicherheitsanalysten über eine zentrale Schnittstelle leicht zugänglich macht.

---

Was sind die Hauptfunktionen von XDR-Lösungen?

XDR zielt darauf ab, die Sicherheitstransparenz im gesamten IT-Ökosystem zu vereinfachen. Dies geschieht durch:

Einheitliche Sichtbarkeit– XDR bietet Sichtbarkeit über Endpunkte, Netzwerke, Cloud-Infrastruktur, Mobilgeräte und mehr hinweg und liefert Sicherheitsanalysten Daten zu potenziellen Sicherheitsvorfällen, ohne dass sie mehrere Sicherheitstools erlernen und verwenden müssen.

Zentralisierte Konfiguration– Sicherheitseinstellungen können auf einer einzigen Verwaltungsplattform für die gesamte IT-Umgebung konfiguriert werden, sodass Sicherheitsteams konsistente Sicherheitsrichtlinien über verschiedene Infrastrukturen hinweg anwenden können.

Eingebettete Advanced Analytics– Ein Muss für jede XDR-Lösung ist die Verhaltensanalyse. Entscheidend für die Benutzerfreundlichkeit von XDR ist die Möglichkeit, normale Benutzer-, Gruppen- und Entitätsaktivitäten zu erfassen und Abweichungen zu kennzeichnen.

Time-to-Value– Ein Hauptaugenmerk von XDR-Lösungen liegt darauf, sofort Mehrwert zu schaffen und SOC-Teams zu entlasten. XDR bietet einsatzbereite, integrierte und voreingestellte Erkennungsmechanismen für eine Reihe von Bedrohungen. So können Unternehmen schnell einen Mehrwert aus ihren Investitionen in die Cybersicherheit ziehen.

Erhöhte Analystenproduktivität– XDR macht das manuelle Wechseln zwischen mehreren Dashboards zur Aggregation von Sicherheitsdaten für Sicherheitsanalysten überflüssig. Dadurch können sie Sicherheitsbedrohungen effektiver erkennen und darauf reagieren. Verhaltensanalysen, statt sich ausschließlich auf Regeln und Signaturen zu verlassen, sind notwendig, um die Reaktionsgenauigkeit zu optimieren und gleichzeitig die Alarmmüdigkeit zu minimieren.

Niedrigere Gesamtbetriebskosten (TCO)– XDR bietet eine integrierte Netzwerksicherheitsplattform, die die Kosten für die interne Konfiguration, Verwaltung und Integration von Punktlösungen senken kann.

Stärkung der Analystenkompetenz– XDR bietet eine einheitliche Management- und Workflow-Erfahrung für die gesamte Sicherheitsinfrastruktur eines Unternehmens. Dies reduziert den Schulungsaufwand und ermöglicht es Analysten der ersten Ebene, komplexe Vorfälle zu untersuchen, ohne die Angelegenheit an Analysten höherer Ebenen weiterleiten zu müssen.

---

XDR schützt das gesamte Sicherheitsökosystem

Sehen wir uns an, wie XDR verschiedene Ebenen des IT-Ökosystems schützt:

Schutz von Netzwerken

XDR kann abnormales Verhalten überall im Netzwerk erkennen und detaillierte Informationen zur Kommunikation von Bedrohungen liefern. Es filtert automatisch Vorfälle, um echte Angriffe zu identifizieren. Sicherheitsteams erhalten Informationen über Quelle und Ausmaß der Angriffe und können so schneller reagieren.

Schutz der E-Mail-Infrastruktur

XDR erkennt E-Mail-Bedrohungen und identifiziert infizierte Konten. Es erkennt auch Angriffsmuster, z. B. Benutzer, die häufig angegriffen werden, Benutzer, die Angreifern versehentlich Zugriff gewähren, und Benutzer, die Phishing-E-Mails erhalten. XDR kann E-Mails automatisch unter Quarantäne stellen, Konten zurücksetzen und Absender blockieren. Wichtig ist, dass es bösartige E-Mail-Aktivitäten mit Sicherheitsereignissen verknüpft, die in anderen Systemen erkannt werden.

Schutz von Cloud-Workloads

XDR erkennt Bedrohungen, die auf Cloud-Server, Container oder andere Workloads abzielen, identifiziert Bedrohungszugriffspunkte, untersucht die Auswirkungen von Bedrohungen auf Workloads und versteht, wie sie sich im Netzwerk verbreiten.

XDR kann automatisierte Maßnahmen ergreifen, um Bedrohungen zu stoppen, beispielsweise durch die Implementierung von Mikrosegmentierung zur Isolierung infizierter Assets. In komplexen Hybrid- oder Public-Cloud-Umgebungen mit vielen Verbindungspunkten zwischen Ressourcen können so Bedrohungen frühzeitig erkannt und katastrophale Datenlecks verhindert werden.

---

Open XDR vs. Native XDR

XDR ist eine neue Lösungskategorie und es entstehen zwei primäre Lösungsarchitekturen, die als natives XDR und offenes XDR bezeichnet werden.

Was ist Native XDR?

Native XDR ist eine Lösung, die ein geschlossenes Sicherheitsökosystem mit Front-End-Lösungen zur Datengenerierung und Back-End-Funktionen für Datenanalysen und Workflows bietet. Um eine native XDR-Lösung anbieten zu können, muss ein Anbieter über alle notwendigen Sensoren für gängige Anwendungsfälle der Bedrohungserkennung verfügen – einschließlich Endpunkt, Netzwerk, Cloud, Identität und E-Mail. Darüber hinaus muss der Anbieter ein Back-End bereitstellen, das die Daten automatisch kombiniert und eine schnelle Untersuchung ermöglicht.

Native XDR-Anbieter sind Plattformanbieter mit einem breiten Portfolio an Sicherheitstools, die ihr Portfolio um eine XDR-Lösung erweitern. Sie könnten auch EDR-Anbieter sein, die ihr Lösungsangebot auf andere Bereiche der IT-Umgebung ausweiten und Backend-Funktionen wie Analyse und Datenintegration hinzufügen.

Was ist Open XDR?

Open XDR-Lösungen konzentrieren sich hauptsächlich auf Backend-Analysen und Workflow-Engines. Anstatt eigene Frontend-Tools bereitzustellen, integrieren sie sich in die bestehende Sicherheits- und IT-Infrastruktur Ihres Unternehmens und korrelieren und analysieren alle relevanten Daten. Die Backend-Funktionen konzentrieren sich auf die Erkennung, Untersuchung und Reaktion von Bedrohungen (TDIR). Sie automatisieren und optimieren TDIR-Workflows, um eine schnelle Reaktion auf Vorfälle zu ermöglichen.

Open XDR-Anbieter befassen sich mit gängigen Bedrohungsanwendungsfällen und stellen vorgefertigte Sicherheitsinhalte bereit, die alle Phasen des TDIR-Lebenszyklus abdecken – von der Identifizierung von Indikatoren für eine Gefährdung (IoC) über die Priorisierung von Warnungen, Triage und eingehende Untersuchung bis hin zur gezielten Reaktion.

Mit zunehmender Komplexität der Sicherheitsarchitektur in Unternehmen fungiert Open XDR als zentrale Steuerungsebene für verschiedene Produkte und Anbieter. Dies ermöglicht Transparenz sowie die Orchestrierung und Automatisierung von Abläufen, ähnlich wie bei der vorherigen Generation von SOAR-Technologien (Security Orchestration and Automation). Dadurch werden bestehende Sicherheitsinvestitionen optimal genutzt, die Produktivität von SOC-Teams gesteigert und aufwendige manuelle Arbeitsabläufe eliminiert.

---

Ein genauerer Blick auf Bedrohungserkennung, -untersuchung und -reaktion (TDIR)

Unternehmen investieren massiv in Sicherheitstools, um raffinierten Angreifern immer einen Schritt voraus zu sein. Sicherheitstools bieten zwar anspruchsvolle Funktionen, diese sind jedoch in der Regel nicht auf die Prozesse abgestimmt, die ein SOC zur Erkennung und Abwehr von Bedrohungen nutzt.

Dieser Prozess, den wir als Bedrohungserkennungs-, Untersuchungs- und Reaktionsprozess (TDIR) bezeichnen, umfasst normalerweise die folgenden Schritte:

1. Vorbereitung und Datenerhebung 
2. Erkennung, wenn ein Ereignis eintritt
3. Triage und Zuweisung, wenn ein Alarm eskaliert wird
4. Erste Reaktion
5. Gründliche Diagnose und Untersuchung
6. Endgültige Reaktion und Vorfallsabschluss
7. Post-Mortem-und Ursachenanalyse (unter Nutzung von Erkenntnissen aus früheren Vorfällen)

In vielen SOCs ist der oben beschriebene Prozess unzureichend definiert oder inkonsistent. Es ist zudem wichtig zu wissen, dass diese Schritte je nach Bedrohungskategorie erheblich abweichen können. Infolgedessen entwickeln verschiedene Analysten unterschiedliche Ansätze zur Untersuchung und Reaktion auf dieselben Bedrohungen. Dies führt zu Lücken, unnötigem Aufwand und oft zu einer unzureichenden Sicherheitslage.

Wo passen Sicherheitstools wie SIEM hinein?

Die von SOCs verwendeten Sicherheitstools, wie beispielsweise herkömmliche SIEM-Systeme (Security, Information and Event Management), sollen den TDIR-Prozess unterstützen und optimieren. Diese Tools sind jedoch eher auf komplexe Funktionen und Anpassungsmöglichkeiten ausgelegt als auf die Lösung spezifischer Bedrohungskategorien.

Dies bedeutet, dass Sicherheitsteams erhebliche Anstrengungen in die Implementierung und Anpassung an die spezifischen Bedrohungen ihres Unternehmens investieren müssen. Sicherheitsprojekte verzögern sich häufig lange, bis sie sich rentieren, ohne dass der Schutz vor kritischen Bedrohungen messbar verbessert wird.

Als etablierte Produktkategorie hat sich SIEM zwangsläufig einem „Scope Creep“ unterworfen. Das aktuelle Lösungsangebot von SIEM unterscheidet sich deutlich von den ursprünglichen Funktionen. Bereiche wie Compliance-Reporting und SOAR haben den Nutzen von SIEM zwar erhöht, aber auch die Komplexität der Implementierung und Verwaltung gesteigert.

Anpassen von Sicherheitstools an den TDIR-Prozess

Moderne Sicherheitstools, insbesondere XDR-Lösungen, müssen sich an den TDIR-Prozess anpassen, um effektiv zu sein. Fortschrittliche Plattformen bieten präskriptive End-to-End-Workflows, die es Unternehmen ermöglichen, den gesamten TDIR-Prozess für eine bestimmte Bedrohungskategorie zu automatisieren. Dadurch können Unternehmen ihre betriebliche Effizienz steigern, die Wertschöpfung beschleunigen und ihre Sicherheitslage im Laufe der Zeit verbessern.

---

Bedrohungsanwendungsfälle: Der Schlüssel zur Nutzung von XDR

Traditionell führten Unternehmen Sicherheitstools ein, die verschiedene Phasen des TDIR-Prozesses automatisieren konnten. Beispielsweise unterstützten bestimmte Tools die Datenaufbereitung, verbesserten die Bedrohungserkennung oder ermöglichten die Automatisierung von Reaktionen.

Diese Tools zielten jedoch darauf ab, alle Bedrohungsarten gleichzeitig zu bekämpfen. Doch nicht alle Bedrohungen sind gleich – jede Bedrohung kann unterschiedliche Entitäten, Prioritäten, Datentypen, Erkennungsmethoden sowie unterschiedliche Personen, Prozesse und Tools umfassen, die für eine effektive Reaktion erforderlich sind.

Aus diesem Grund stellten SOCs, die versuchten, den Prozess von links nach rechts zu optimieren, fest, dass dies mühsam war, spezielle Tools und umfangreiche Anpassungen erforderte und oft ineffektiv war. Selbst nach all diesen Bemühungen konnten automatisierte Tools nicht alle Bedrohungsarten bewältigen.

Ein neuer Ansatz: Konzentration auf Bedrohungsfälle

Ein effektiverer Ansatz besteht darin, Bedrohungsarten zu identifizieren und Optimierung und Automatisierung für jede Bedrohungskategorie über den gesamten Incident-Response-Zyklus hinweg anzuwenden. SOCs können mit einfachen, aber häufigen Anwendungsfällen beginnen und sich dann komplexeren Bedrohungen zuwenden. Der Optimierungsprozess würde dann folgendermaßen aussehen:

1. Optimieren Sie für Phishing-Angriffe → Befolgen Sie die Schritte 1–7 oben
2. Optimieren Sie für Malware-Angriffe → Befolgen Sie die Schritte 1–7 oben
3. Für Injektionsangriffe optimieren → Schritte 1–7 oben ausführen
4. Optimieren Sie für die Rechteausweitung → gehen Sie die Schritte 1–7 oben an
5. (und so weiter)

So unterstützen Anbieter die anwendungsfallbasierte Optimierung

Um die Automatisierung von TDIR-Prozessen zu erleichtern, stellen einige Anbieter verbindliche Richtlinien und Workflows zur Erkennung und Reaktion auf bestimmte Bedrohungen bereit. Dies erfordert, dass der Anbieter sein Produkt so anpasst, dass für jede Bedrohungskategorie Ergebnisse erzielt werden.

Benutzer eines Sicherheitstools sollten nicht gezwungen sein, ihre Erkennungs-, Klassifizierungs-, Untersuchungs- und Reaktionsprozesse mit den vom Anbieter bereitgestellten „Lego-Bausteinen“ zu erstellen. Stattdessen müssen Anbieter für jeden Anwendungsfall vorgefertigte Inhalte bereitstellen, die den gesamten TDIR-Prozess speziell für eine Bedrohungskategorie abdecken. Diese vorgefertigten Inhalte müssen alles enthalten, was ein Sicherheitsteam benötigt, um bestimmte Bedrohungsarten zu adressieren und eine wiederholbare, erfolgreiche Bedrohungsabwehr zu erreichen.

Anwendungsfälle in XDR-Lösungen

XDR muss diese Art der Anwendungsfalloptimierung unterstützen und eine geschlossene Lösung bieten, die den gesamten Workflow der Bedrohungssicherheitsoperationen umfasst. Unabhängig vom Fachwissen der SOC-Analysten sollte XDR eine schlüsselfertige Lösung sein, die nur minimale oder gar keine Konfiguration erfordert und eine schnelle Wertschöpfung ermöglicht.

SOC-Analysten sollten XDR von Anfang bis Ende nutzen können, ohne dass eine Feinabstimmung für spezifische Szenarien erforderlich ist. XDR sollte jeden relevanten Bedrohungsfall mit vorgefertigten Inhalten für den gesamten TDIR-Prozess vollständig abdecken. Ohne diese Fähigkeit kann XDR sein Wertversprechen nicht vollständig umsetzen.

---

So wählen Sie eine XDR-Plattform aus

Kommerzielle XDR-Plattformen verfügen im Allgemeinen über ähnliche Architekturen und Prozesse. Es gibt jedoch auch einige wichtige Unterschiede, die Sie bei der Auswahl einer Lösung berücksichtigen sollten. Verschiedene XDR-Produkte bieten unterschiedliche Datenerfassungsebenen. Beispielsweise konzentrieren sich einige Plattformen auf Endpunktdaten, während andere Netzwerkdaten priorisieren.

Um die richtige XDR-Plattform für Ihr Unternehmen auszuwählen, sollten Sie die folgenden Fragen berücksichtigen:

• Wie ist die geografische Verteilung der Benutzer?
• Wo befinden sich Ihre Server, Daten und Anwendungen? Verlassen Sie sich eher auf die Cloud oder auf ein lokales Rechenzentrum?
• Verfügen Sie über vertrauliche Daten, die ein nicht vertrauenswürdiges Netzwerk wie das öffentliche Internet durchlaufen müssen?
• Wer ist für die Bedrohungssuche und Bedrohungsaufklärung verantwortlich? Verfolgt der XDR-Anbieter einen proaktiven Ansatz?
• Welche KI-Funktionen bietet die Plattform?
• Wie erfahren ist der Lösungsanbieter im Bereich skalierbare Datenerfassung, Verhaltensanalyse, Automatisierung und Problembehebung?
• Passt ein Closed-XDR- oder Open XDR-Ansatz zu Ihrer bestehenden Umgebung und/oder Ihren Einkaufsstrategien?

XDR-Plattformen auf Unternehmensebene verfügen in der Regel über eigene Bedrohungserkennungsteams, die neu auftretende Bedrohungen identifizieren können. Diese Teams sammeln Bedrohungsdaten, die zur Entwicklung automatisierter Sicherheitsrichtlinien beitragen, die wiederum in Sicherheitstools integriert werden. Sie müssen in der Lage sein, Bedrohungen schnell zu erkennen und entsprechende Richtlinien zu deren Eindämmung zu entwickeln – beispielsweise um Zero-Day-Exploits zu identifizieren und darauf zu reagieren.

Verschiedene integrierte KI-Funktionen konzentrieren sich möglicherweise auf die Erkennung von Bedrohungen, die Minimierung von Fehlalarmen, die Analyse der Ursachen von Bedrohungen und die Gewinnung von Erkenntnissen zur Behebung. Je nach Ihren Prioritäten können diese Funktionen Ihnen helfen, Zeit bei der Untersuchung und Reaktion auf Bedrohungen zu sparen.

---

Exabeam Fusion XDR

Fusion XDR, eine Cloud-basierte Lösung, verfolgt einen ergebnisorientierten Ansatz und bietet präskriptive Workflows sowie vorgefertigte, bedrohungsspezifische Inhalte für eine effiziente Bedrohungserkennung, -untersuchung und -reaktion (TDIR). Vorgefertigte Integrationen mit Hunderten von Sicherheitstools von Drittanbietern und unsere marktführende Verhaltensanalyse kombinieren schwache Signale verschiedener Produkte mit dem Verständnis des normalen Betriebsverhaltens, um komplexe Bedrohungen zu erkennen, die von anderen Tools übersehen werden. Vorgeschriebene Workflows und vorgefertigte Inhalte, die sich auf bestimmte Bedrohungsarten konzentrieren, ermöglichen SOCs, erfolgreichere TDIR-Ergebnisse zu erzielen. Die Automatisierung von Triage-, Untersuchungs- und Reaktionsaktivitäten über eine zentrale Steuerungsebene steigert die Produktivität der Analysten und verkürzt die Reaktionszeiten.

---