Worauf es bei XDR wirklich ankommt und was es zu einem proaktiven Ansatz macht

Cyber-Sicherheitsexperten wissen nur allzu gut, was es heißt, einen Berg an Informationen sinnvoll zu interpretieren und die wirklich wichtigen Dinge herauszufiltern. XDR (Extended Detection & Response) ist ein in der Cyber-Sicherheitsbranche heute viel diskutiertes Thema, in das große Hoffnungen gesetzt wird. Für Cyber-Sicherheitsexperten, die mit der Abwehr hartnäckiger Angreifer beschäftigt sind, können diese Diskussionen ebenso faszinierend wie anstrengend sein. Dieser Blogartikel soll Klarheit zum Thema XDR bringen, mit relevanten sowie sachlichen Informationen zur Diskussion beitragen und den Bedarf für einen proaktiven Ansatz ermitteln.

Klären wir zunächst, worum es sich bei XDR wirklich handelt und wie es sich entwickelt hat. Wie bereits erwähnt, steht XDR für „Extended Detection and Response“, oder übersetzt „Erweiterte Erkennung und Reaktion“. „Erweitert“ bedeutet, dass sich der Schutz über die Endgeräte hinaus auch auf die Netzwerk- und Cloud-Infrastruktur erstreckt. Diese infrastruktur- oder domänenübergreifende Funktion stellt eine Gemeinsamkeit aller XDR-Systeme dar, bei denen es sich um eine Weiterentwicklung solider Tools für Endpoint Detection and Response (EDR) handelt. Ironischerweise wurde der Begriff von einem Netzwerksicherheitsanbieter erfunden, der in den aufkommenden Markt für Sicherheitsprozesse einsteigen wollte.

Die Meinung von Branchenvertretern zu XDR

Einige Branchenexperten haben sich bereits zu XDR als Cyber-Sicherheitsfunktion geäußert. Gartner definiert XDR als „SaaS-basiertes, anbieterspezifisches Tool zur Erkennung von Sicherheitsbedrohungen und Reaktion auf Zwischenfälle, das mehrere Sicherheitsprodukte in ein gemeinsames Sicherheitskontrollsystem integriert und alle lizenzierten Komponenten in sich vereint.“ Laut Gartner muss ein XDR-System drei grundlegende Anforderungen erfüllen: 1. die Zentralisierung normalisierter Daten, die primär auf das Ökosystem des XDR-Anbieters konzentriert sind, 2. die Korrelation von Sicherheitsdaten und Warnungen zu Zwischenfällen und 3. eine zentrale Steuerung der Zwischenfall-Reaktion, die den Status einzelner Sicherheitsprodukte im Rahmen der Zwischenfall-Reaktion oder die Einstellungen von Sicherheitsrichtlinien ändern kann. Weitere Informationen von Gartner zu diesem Thema finden Sie im zugehörigen Forschungsbericht.

ESG definiert XDR als eine in hybriden IT-Architekturen eingesetzte integrierte Suite von Sicherheitsprodukten, die für die gemeinsame Koordination von Bedrohungsschutz, Erkennung und Reaktion entwickelt wurde. Mit anderen Worten: XDR vereint Kontrollpunkte, sicherheitsbezogene Telemetriedaten, Analysen und Sicherheitsabläufe in einem Unternehmenssystem.

Forrester sieht XDR als die nächste Generation von Tools für Endpoint Detection and Response, die sich durch die Integration der Telemetriedaten von Endgeräten, Netzwerken und Anwendungen weiterentwickeln. Zu den wesentlichen Zielen gehört die Unterstützung von Analysten mit Zwischenfall-Analysen zur Ursachenbestimmung sowie mit Empfehlungen zu koordinierbaren Behebungsmaßnahmen. Hinzu kommt die Zuordnung von Anwendungsfällen zu MITRE ATT&CK-Techniken, um diese zu komplexen Abfragen zu verknüpfen, die Verhalten anstatt einzelner Ereignisse beschreiben.

Schwerpunkte von XDR

XDR-Diskussionen drehen sich häufig um die Integration mehrerer Sicherheitsfunktionen und kuratierte Daten für die Kontrollvektoren, die alle im Zusammenspiel miteinander für eine höhere Effizienz der Sicherheitsmaßnahmen bei der Reaktion auf Bedrohungen sorgen. Da die Aktivitäten und Winkelzüge von Angreifern oftmals schwer zu deuten sind, ist die übergreifende Zusammenarbeit der Kontrollpunkte durchaus vorteilhaft. Der Schwerpunkt liegt dabei auf verringerter Komplexität und zuverlässiger Erkennung. Zudem soll das System auch Unterstützung beim Verstehen von Risiken für die Umgebung und bei der Wahl geeigneter Reaktionsmaßnahmen geben. Am Umfang der Erkennungs- und Reaktionsfunktionen wird deutlich, dass ein Anbieter allein nicht alle Bereiche abdecken kann. Viele sprechen sich für einen integrierten Partnerschaftsansatz aus, um Schutzmaßnahmen über alle Domänen und Vektoren hinweg zu konsolidieren und zu optimieren. Das Konzept, bei dem Sicherheitsdisziplinen verbunden werden und zusammenarbeiten, ist nicht neu. McAfee setzt sein Motto „Together is Power“ schon seit einiger Zeit um.

Ein anderes häufig diskutiertes XDR-Thema ist die Aussicht darauf, Untersuchungen durch automatische Analysen von Ergebnissen und Zwischenfällen zu beschleunigen und Bedrohungen besser einschätzen zu können. Das würde bedeuten, dass potenziell weniger Reaktionszyklen ausgeführt werden müssen.

Die Integration von Sicherheitsmaßnahmen im gesamten Unternehmen und in allen Kontrollpunkten sowie die Beschleunigung von Untersuchungen sind äußerst wichtige Funktionen. Es bleibt jedoch offen, ob dabei auch Abstufungen berücksichtigt werden – zum Beispiel, ob eine Bedrohung als schwerwiegend eingestuft werden sollte, weil sie in der eigenen Region und Branche häufig auftritt und Ressourcen mit äußerst vertraulichen Daten angreift. Das Thema Priorisierung wird selten angesprochen, sollte jedoch auch in die Diskussion miteinbezogen werden.

Die Kernfunktionen von XDR

Nachdem wir die zahlreichen Ansichten und Themen zu XDR zusammengefasst haben, lässt sich erkennen, dass offenbar alle Kernfunktionen auf die deutliche Verbesserung der Sicherheitsabläufe während eines Angriffs ausgerichtet sind. Es handelt sich also um Reaktionsfunktionen.

Kern- und Basisfunktionen von XDR	Vorteile
Infrastrukturübergreifend – umfassende Abdeckung der Vektoren	Umfassende Übersicht und Kontrolle über Ihr gesamtes Unternehmen und eine bessere Zusammenarbeit Kombination der isolierten Aktivitäten von Tools, Daten- und Funktionsbereichen
Aufbereitete Daten und korrelierte Warnungen im gesamten Unternehmen	Manuelle Erkennung und Interpretation entfällt
Einheitliche Verwaltung mit gemeinsamen Abläufen	Schnellere und genauere Reaktionen dank gemeinsamem Ausgangspunkt, der Wechsel zwischen Konsolen und Datenpools unnötig macht
Sicherheitsfunktionen mit automatischem Austausch und Auslösung von Aktionen	Einige Sicherheitsfunktionen (z. B. Erkennung und Reaktion) müssen automatisiert werden
Erweiterte Funktionen, die in XDR-Diskussionen oft nicht erwähnt werden	Vorteile
Verwertbare Daten zu potenziell relevanten Bedrohungen	Ermöglichen Unternehmen die proaktive Absicherung ihrer Umgebung vor einem Angriff
Umfangreicher Kontext, der Bedrohungsdaten und Informationen zu Auswirkungen auf das Unternehmen umfasst	Unternehmen können ihre Maßnahmen auf die Behebung der Bedrohungen mit den gravierendsten Folgen für das Unternehmen konzentrieren
Aufwandsarme Zusammenarbeit von Sicherheitsfunktionen	Miteinander verknüpfte Sicherheitsfunktionen bilden eine gemeinsame Front, wodurch Sicherheitsinvestitionen optimal genutzt werden

Die wichtigsten Zielsetzungen

Letztendlich besteht das Ziel darin, Sicherheitsabläufe effizienter zu gestalten. Dieses Ziel kann in einer praktischen Ergebnis-Checkliste festgehalten werden, die bei der Bewertung von XDR-Lösungen hilfreich sein kann.

Überblick	Kontrolle
Präzisere Erkennung	Präzisere Prävention
Anpassung an sich verändernde Technologien und Infrastrukturen	Anpassung an sich verändernde Technologien und Infrastrukturen
Weniger blinde Flecken	Weniger Lücken
Verkürzte Zeit bis zur Erkennung (oder mittlere Zeit bis zur Erkennung, MTTD)	Verkürzte Zeit bis zur Behebung (oder mittlere Zeit bis zur Reaktion, MTTR)
Bessere Ansichten und Durchsuchbarkeit	Priorisierte Absicherung des gesamten Portfolios – keine isolierten Maßnahmen
Schnellere und genauere Untersuchungen (weniger False-Positives)	Koordinierte Kontrolle der gesamten IT-Infrastruktur

Lösung oder Ansatz?

Ist XDR eine Lösung bzw. ein Produkt, das erworben werden kann? Oder ist es ein Ansatz, der in die Sicherheitsstrategie eines Unternehmens einfließen sollte? Tatsächlich kann XDR beides sein. Viele Anbieter haben XDR-Produkte oder XDR-Funktionen angekündigt. Ein XDR-Ansatz verändert Prozesse und sorgt wahrscheinlich auch für eine engere Zusammenarbeit zwischen den verschiedenen Mitarbeitern (z. B. SOC-Analysten, Bedrohungsjäger, Reaktionsteams und IT-Administratoren).

Ist XDR für alle Unternehmen geeignet?

Das hängt davon ab, wie ausgereift die Cyber-Sicherheit eines Unternehmens ist und wie gut das Team die erforderlichen Prozesse in ihrer Breite und Tiefe umsetzen kann, um die Effizienz des Sicherheitskontrollzentrums zu steigern. Mit der Aussicht, Daten im gesamten Unternehmen korrelieren zu können, entfällt auch ein Teil der alltäglichen manuellen Dateninterpretation, die nötig ist, um Bedrohungen zu verstehen und auf sie reagieren zu können. Davon profitieren Unternehmen mit ausgereifter und weniger ausgereifter Cyber-Sicherheit. Unternehmen mit weniger ausgereiften Cyber-Sicherheitsabläufen, die keine Ressourcen oder Expertise besitzen und keine externen Daten zur Interpretation ihrer Bedrohungsdaten nutzen, werden die Unterstützung bei der Korrelierung und Untersuchung zu schätzen wissen. Die Frage ist allerdings, ob sie anschließend Maßnahmen für sich daraus ableiten können. Unternehmen mit einer durchschnittlich bis gut ausgereiften Cyber-Sicherheitsstrategie und viel Erfahrung müssen Daten nicht manuell interpretieren. Der Vorteil für diese Unternehmen liegt in der Weiterentwicklung von Untersuchungen und der Entscheidung über geeignete Behebungsmaßnahmen. Weniger ausgereiften Unternehmen fehlt dafür die Expertise, weshalb optimiertere Organisationen hier den größten Vorteil haben, da sie durch XDR schneller auf potenzielle oder laufende Bedrohungen reagieren können.

Ihre XDR-Reise

Wenn Ihr Unternehmen eine durchschnittlich bis gut ausgereifte Cyber-Sicherheitsstrategie hat, stellt sich nur die Frage, wie und wann Sie XDR implementieren möchten. Die meisten Unternehmen mit Endpoint Detection and Response (EDR)-Lösungen sind wahrscheinlich gut auf die Implementierung der XDR-Funktionen vorbereitet, da sie bereits Endgerätebedrohungen untersuchen und beheben. Sie sollten diese Bemühungen ausbauen und ein besseres Verständnis darüber erlangen, wie sich Angreifer durch die gesamte Infrastruktur bewegen. Wenn Sie McAfee MVISION EDR nutzen, besitzen Sie bereits eine Lösung mit XDR-Funktionen, da diese Lösung SIEM-Daten aus McAfee ESM oder Splunk verarbeitet (d. h. sie arbeitet über das Endgerät hinaus – eine wichtige Anforderung für XDR-Systeme).

Ein proaktiverer Ansatz ist nötig

McAfee bietet mit der kürzlich angekündigten Lösung MVISION XDR mehr als die üblichen XDR-Funktionen und liefert konkurrenzlose Proaktivität und Priorisierung für intelligentere und bessere Sicherheit. Für Sie bedeutet das, dass Ihr SOC-Team weniger Zeit mit fehleranfälligen reaktiven Notfallübungen und wochenlangen Untersuchungen verbringen muss. Sicherheitskontrollzentren können schneller reagieren und wichtige Ressourcen sehr viel schneller schützen. Seien Sie Angreifern und Attacken einen Schritt voraus.

Lebenszyklus eines Cyber-Angriffs

Ich hoffe, dieser Blogartikel konnte Ihnen XDR etwas näherbringen und verwertbare Informationen zur Optimierung Ihres Sicherheitskontrollzentrums liefern. Verpassen Sie nicht die XDR-Sitzung auf unserer MPOWER-Konferenz: Nutzen Sie den Faktor „X“: Wo Sie Ihre XDR-Reise starten sollten.