XDR: Extended Detection and Response
Als Sicherheitskonzept dient Extended Detection and Response – oder kurz: XDR – der erweiterten Erkennung sowie Abwehr möglicher Sicherheitsbedrohungen in der gesamten IT-Infrastruktur von Unternehmen. Im heutigen Beitrag zeigen wir auf, wie sich XDR von EDR unterscheidet und welche Vorteile mit diesem Sicherheitskonzept einhergehen. Außerdem berichten wir über die XDR-Lösung von Cybereason und Google. Lesen Sie in unserem Beitrag zudem, wie XDR die Sicherheitslage in Organisationen in Zukunft verändern könnte.
Was ist XDR?
XDR steht für Extended Detection and Response, was sich mit „erweiterter Erkennung und Reaktion“ übersetzen lässt. Dahinter verbirgt sich ein noch recht junges Sicherheitskonzept: Ein konzeptioneller sowie technischer Ansatz, der das Erkennen und Abwehren möglicher Sicherheitsbedrohungen ermöglicht – und zwar über die gesamte IT-Infrastruktur von Unternehmen. Geprägt wurde der Begriff XDR von Palo Alto Networks, einem US-amerikanischen Sicherheitsanbieter, und dem Analysten-Team von Gartner.
Durch XDR gelingt es, Daten automatisiert und zum Teil KI-gestützt auf verschiedenen Sicherheitsebenen – etwa Server, E-Mail, Endpoint, Cloud-Workload oder Netzwerk – zu erfassen und zu korrelieren. Das automatisierte Analysieren dieser Datenmengen ermöglicht es, Bedrohungen schneller zu erkennen, sodass Unternehmen in die Lage versetzt werden, schneller handeln zu können.
Heißt: Anders als bei vorangegangenen Sicherheitskonzepten wie Endpoint Detection and Response (EDR) liegt der Fokus nicht bei der Gefahrenerkennung und –abwehr von Endgeräten. Sämtliche IT-Schichten werden einbezogenen, sodass das Sicherheitsmanagement an Einheitlichkeit und Transparenz gewinnt. Dies wird im direkten Vergleich zu EDR deutlich:
EDR versus XDR
EDR ist als Einzelvektor-basierte Punktlösung zu betrachten: Wenngleich umfassende Funktionen überzeugen können, schränkt EDR das Erkennen ein, da Bedrohungen ausschließlich innerhalb gemanagter Endpunkte erkennbar sind. Während EDR die Sicherheit der unternehmensweiten IT-Infrastruktur in Teilbereichen erfasst, wird mit XDR ganzheitlich betrachtet: XDR-Systeme sammeln, korrelieren und analysieren Daten aus Einzelkomponenten komplett. Die so erhaltenen Informationen können sowohl für automatisierte als auch für manuelle Maßnahmen zur Gefahrenabwehr genutzt werden. Damit zeigt sich XDR nicht ausschließlich reaktiv; proaktives Handeln ist ebenfalls möglich.
Security Dashboards liefern einen zügigen Überblick zur unternehmensweiten Sicherheits- bzw. Gefahrenlage. XDR verfolgt das Ziel, das Sicherheitsniveau der IT-Infrastruktur weiter anzuheben und Schäden möglichst zu verhindern. Letztlich lässt sich XDR als Erweiterung von EDR verstehen. Zwar erlaubt EDR, das Verhalten von Endpunkten aufzuzeichnen und zu analysieren – womit das EDR-Konzept schon mehr kann als einfache Antiviren-Lösungen. Endpoint Detection and Response analysiert Gefahren aufgrund von verdächtigem Verhalten jedoch nur an Endpoints.
XDR geht weiter: Sämtliche Systeme, Layer sowie Komponenten werden in die Gefahrenanalyse und –abwehr einbezogen. Zur Bedrohungsanalyse und für die automatisierten Reaktionen wird auf Machine Learning- (ML) und Künstliche Intelligenz-Verfahren (KI) gesetzt. Was KI für die Cybersecurity tun kann, haben wir bereits im Beitrag „Künstliche Intelligenz & Cybersecurity: Fluch und Segen zugleich“ erläutert.
Organisationen, in denen ein Security Operations Center (SOC) vorhanden ist oder die auf das SIEM-Konzept (Security Information and Event Management) setzen, finden in XDR zwar keinen Ersatz, jedoch wertvolle Ergänzung.
Welche Vorteile gehen mit XDR einher?
Der größte Vorteil von Extended Detection and Response liegt auf der Hand: Die ganzheitliche Betrachtung bezieht sämtliche Systeme, Layer und Komponenten der IT-Infrastruktur einer Organisation mit ein. Das erhöht die Sichtbarkeit möglicher Gefahren und damit die Cybersicherheit. Anders als bei EDR ist die Sicht nicht auf Teilbereiche eingeschränkt, sondern ein umfassendes Bild der Sicherheitslage entsteht durch XDR.
Diese ganzheitliche Betrachtung verbessert die Optionen, im Fall der Fälle proaktiv und automatisiert mit priorisierten Maßnahmen reagieren zu können. Das IT-Sicherheitsteam im Unternehmen kann also effizienter und zielgerichteter arbeiten. Außerdem wird das Management der IT-Sicherheit zentralisiert, was es produktiver werden lässt. Da KI und Expertenanalysen bei XDR zusammenkommen, werden zwar weniger, jedoch kontextreichere Warnungen an das Sicherheitsteam gesendet. Damit spart XDR die Zeit, die notwendig ist, Warnungen und Protokolle zu bewerten und dann entscheiden zu können, welche Maßnahmen wo erforderlich sind.
Weil sich logische Verknüpfungen zwischen den Daten herstellen lassen, ermöglicht XDR aufschlussreichere Untersuchungen. Von optimierten Workflows und deutlich mehr Möglichkeiten profitieren Sicherheitsteams außerdem. Dank möglicher SOC- und SIEM-Integration wird Analysten ermöglicht, Erkenntnisse aus XDR mit breiteren Sicherheitsökosystemen zu kombinieren. Integrierte Optionen ermöglichen zügige Reaktionen auf etwaige Zwischenfälle.
XDR-Lösung von Cybereason und Google
„Cybereason XDR powered by Google Cloud“ nennt sich die aktuelle XDR-Lösung aus dem Hause Cybereason und Google, die Cybereason im Dezember 2021 vorstellte. Unternehmen sollen mit dieser XDR-Lösung befähigt werden, Cyberangriffe vorherzusagen bzw. diese zu erkennen und darauf zu reagieren. Die Lösung arbeitet KI-basiert und kombiniert Googles Cloud Chronicle mit der Cybereason-Visualisierungsplattform MalOp. Nutzende können über MalOp den kompletten Angriffsverlauf nachvollziehen und dementsprechende Maßnahmen einleiten. Darüber hinaus ermöglicht es Chronicle, Vorfallsinformationen mit vergangenen Daten abgleichen zu können, sodass Bedrohungen in den Systemen gefunden werden können.
Die XDR-Lösung setzt Kontexte und Informationen bisheriger Sicherheitsvorfälle in Korrelation miteinander. Dadurch ist sie in der Lage, schon kleinste Anzeichen schadhaften Verhaltens erkennen zu können. So gelingt es, die zu erwartenden Schritte bei einem Angriff vorauszusagen. Unternehmen werden dadurch in die Lage versetzt, Angriffe vorhersehen und bereits im Voraus verhindern zu können.
XDR: Der erweiterten Erkennung gehört die Zukunft
Mit KI und Expertenanalysen angereichert, kann XDR deutlich mehr als sein Vorgänger EDR: XDR betrachtet die Sicherheitslage von Organisationen ganzheitlich und richtet den Fokus nicht nur auf Endpunkte. Die Vorteile von Extended Detection and Response sind deutlich sichtbar und sorgen insgesamt dafür, dass Sicherheitsteams Bedrohungen schneller auf die Spur kommen und dadurch effizienter Sicherheitsvorfälle verhindern. Es ist anzunehmen, dass sich XDR aufgrund dieser Vorteile in den kommenden Jahren weiterentwickeln und immer mehr etablieren wird.
Schreibe einen Kommentar