Endpoint Detection & Response ist aufgrund der Komplexität der IT-Sicherheitslage nicht mehr ausreichend. Gefragt ist eine Lösung, die alle Vektoren vom Endpunkt bis zum Netzwerk sichtbar macht. XDR bringt Unternehmen auf ein neues Sicherheits- und Effizienzniveau.
Cyberangriffe verlaufen häufig mehrstufig und gut getarnt über verschiedene Ebenen hinweg. Vielleicht beginnt eine Attacke mit einer Phishing-Mail, die Schadcode enthält. Ist der Angreifer erst im Netzwerk, dringt er weiter vor, übernimmt die Kontrolle über Systeme und lädt weitere Malware nach. Um solche Angriffe zu erkennen und sie erfolgreich einzudämmen, reichen traditionelle Endpunkt Detection & Response-Lösungen (EDR) nicht mehr aus, da sie nur einen eingeschränkten Blick auf das Bedrohungsgeschehen ermöglichen. Erst indem man Meldungen verschiedener Sicherheitssysteme im Zusammenhang betrachtet, wird klar, was passiert und welche Massnahmen erforderlich sind. Dafür müssen Security-Mitarbeiter sowohl Endpunkte und E-Mail-Systeme als auch Server, das Netzwerk und Cloud-Workloads im Auge behalten. Das ist aufwändig, da meist viele verschiedene Sicherheitslösungen zum Einsatz kommen und die Daten dort in Silos liegen. Analysten müssen Indizien in mühevoller Kleinarbeit zusammensetzen und verlieren dabei wertvolle Zeit. Auch ein SIEM, in dem Meldungen verschiedener Security-Systeme zusammenfliessen, bringt nur wenig Erleichterung. Denn solche Lösungen geben unzählige Warnmeldungen aus, die die Mitarbeiter ansehen und bewerten müssen. In dieser Masse die wirklich wichtigen Alerts zu identifizieren, ist schwer. Da kann es schon einmal passieren, dass kritische Hinweise im allgemeinen Grundrauschen untergehen.
XDR bringt umfassende Sichtbarkeit
Um Cyberangriffe schnell zu erkennen und Schaden zu minimieren, brauchen Unternehmen eine Lösung, die über klassisches EDR hinausgeht. Extended Detection & Response (XDR) sammelt Informationen verschiedener Sicherheitssysteme aus der gesamten IT-Infrastruktur in einem zentralen Data Lake und wertet sie mithilfe von künstlicher Intelligenz und globaler Threat Intelligence aus. Die Technologie filtert relevante Meldungen automatisiert heraus und korreliert sie, sodass Angriffs-Zusammenhänge sichtbar werden. Statt Tausender Alerts erhalten Mitarbeiter am Ende eine überschaubare Zahl an verwertbaren Warnungen. XDR deckt alle Vektoren in der IT-Umgebung ab: von den Endpunkten über E-Mails, Server bis hin zu Cloud-basierten Workloads und Netzwerken. Mitarbeiter behalten das gesamte Bedrohungsgeschehen von einer zentralen Konsole aus im Blick. Das hilft auch dabei, Systeme besser zu schützen, auf denen sich keine Security-Software installieren lässt – zum Beispiel im IoT-Kontext. Laut Einschätzung von Gartner zählt XDR deshalb zu den wichtigsten Security- und Risk-Management-Trends.
Mehr erkennen, schneller handeln
Unternehmen können mit XDR die Zahl der Security Alerts um über 90 Prozent reduzieren und sich auf die Warnungen konzentrieren, die wirklich wichtig sind. Dadurch sparen sie erheblich Zeit bei der Analyse, reduzieren Fehler und können schneller reagieren. Laut einer Studie von ESG Research brauchen Unternehmen durchschnittlich acht Vollzeit-Security-Mitarbeiter, um eine XDR-Lösung zu ersetzen. Dieselbe Umfrage ergab, dass Unternehmen weniger Warnmeldungen ignorieren, wenn sie automatisiert Daten ihrer Security-Systeme aggregieren, korrelieren und analysieren. Sie sind also deutlich sicherer. Eine XDR-Lösung kann zudem Kosten beim SIEM-Einsatz sparen. Sie lässt sich als zentrale Logquelle vor das SIEM schalten, sodass dort die bereits korrelierten Daten einfliessen. Das reduziert die Events pro Sekunde, die im SIEM lizenziert werden müssen, und verringert die Speicherplatzanforderungen. ■