XDR - Extended Detection and Response

Anne Aarness - Januar 18, 2022

Vulnerability Management

Was ist XDR?

Die erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) ist der nächste Schritt zu bedrohungsorientierter Sicherheitsprävention. XDR ist ein ganzheitlicher Ansatz, der die Erfassung und Analyse von Sicherheitsdaten sowie Workflows in der gesamten Sicherheitslösung eines Unternehmens optimiert, um bessere Einblicke in verborgene und hochentwickelte Bedrohungen zu geben und die Reaktion darauf zu vereinheitlichen. XDR sammelt und korreliert Daten von Endgeräten, aus Cloud-Workloads, Netzwerken und E-Mails, analysiert und priorisiert sie und stellt sie Sicherheitsteams in einem normalisierten Format über eine zentrale Konsole bereit.

Mit XDR werden isolierte Sicherheitstools koordiniert und ihr Mehrwert gesteigert, da die Sicherheitsanalyse, die Untersuchung und die Behebung in einer konsolidierten Konsole einheitlich zusammengefasst und optimiert werden. Folglich trägt XDR zur erheblichen Verbesserung der Einblicke in Bedrohungen, Beschleunigung von Sicherheitsabläufen und Senkung der Gesamtbetriebskosten bei. Zudem wird damit die ständige Belastung der Sicherheitsteams verringert.

NEUER BERICHT VON FORRESTER ZU XDR

Laden Sie den vollständigen Bericht herunter, um zu erfahren, worauf es bei XDR-Produktfunktionen und zukünftigen Strategien ankommt.

Jetzt herunterladen

XDR, EDR und MDR im Vergleich

Lösungen für endpunktbasierte Detektion und Reaktion (EDR) überwachen von Endbenutzern verwendete Geräte wie Desktops, Laptops, Tablets und Smartphones auf Bedrohungen, die von Virenschutz-Software nicht erkannt werden. Bei solchen hochentwickelten hartnäckigen Bedrohungen (APT) werden häufig Techniken ohne Malware-Komponenten eingesetzt, um Zugriff auf ein Netzwerk zu erlangen. Eine EDR-Lösung erfasst Informationen mithilfe von Software-Agenten, die auf Endgeräten installiert sind. Diese Informationen werden zur Analyse an ein zentrales Repository gesendet. Dabei werden unter anderem Abfragen, Verhaltensweisen und Ereignisse gespeichert, die vom Sicherheitsteam zur Erkennung und Untersuchung ungewöhnlicher Ereignisse herangezogen werden. EDR ist auch bei der Ermittlung der Ursache von Ereignissen hilfreich.

Dies geht jedoch immer noch mit einem hohen Zeitaufwand einher – und selbst wenn das Unternehmen das erforderliche Personalbudget hat, gibt es einfach nicht genügend Cybersicherheitsexperten, die eingestellt werden könnten. Managed Detection and Response (MDR) ist ein Verfahren zur verwalteten Bedrohungserkennung und Reaktion und wurde entwickelt, um diese Lücke zu schließen.

MDR ist im Grunde EDR, die als Service gekauft wird. Der Unterschied zwischen beiden ist jedoch wichtig: MDR-Services bieten normalerweise Unterstützung bei der Minimierung, Eliminierung und Behebung von Bedrohungen – und das MDR-Sicherheitsteam hat bei diesen Aktivitäten ein hohes Maß an Erfahrung. Diese Services ermöglichen auch eine kontinuierliche Überwachung, um zu einer schnellen Erkennung beizutragen.

Unterschiedliche MDR-Anbieter verwenden dabei verschiedenste Tools. Von diesen Tools hängt es ab, wie viele Angriffe sie erkennen und wie gut sie auf diese reagieren können. Zum Instrumentarium eines typischen MDR-Anbieters gehören das Sicherheitsinformations- und Ereignismanagement (SIEM), eine NTA-Lösung zur Analyse von Netzwerk-Datenverkehr, eine Endgeräteschutz-Plattform (EPP) und ein Eindringungserkennungssystemen (IDS).

XDR schützt mehr als nur Endgeräte. Es „erstreckt“ sich über die gesamte Infrastruktur und kann so Netzwerke, Cloud-Workloads, Server, E-Mails sowie Endgeräte schützen. Zur Verarbeitung und Analyse großer Datenmengen nutzt XDR Automatisierung und künstliche Intelligenz. Anschließend werden die Daten normalisiert und über eine zentrale Konsole bereitgestellt. Wenn XDR als verwaltete Lösung erworben wird, sollte der Zugang zu erfahrenen Experten für Bedrohungssuche und -analyse im Produktumfang enthalten sein.

Wünschen Sie eine ausführlichere Erklärung? Lesen Sie unseren Leitfaden zu den Unterschieden zwischen EDR, MDR und XDR und finden Sie heraus, welche Lösung für Ihr Unternehmen am besten geeignet ist.

Wesentliche Grundsätze von XDR

Damit XDR die Erwartungen an eine bessere, optimierte Erkennung, Untersuchung, Analyse und Reaktion erfüllen kann, muss die Plattform folgende Merkmale bieten:

1. Native Endgeräte-Transparenz und nativen Endgeräteschutz

Mit XDR können Sicherheitsteams die Transparenz sowie Erkennungs- und Reaktionsmaßnahmen einfacher über das jeweilige Endgerät hinaus erweitern und auf diese Weise Kompromittierungen stoppen. XDR ist eine Erweiterung von EDR; für „echtes“ XDR muss das Endgerät als Basis bestehen bleiben und es muss darauf aufgebaut werden.

2. Bedrohungsorientierte Ereignisanalyse und -verwaltung

Der „X-Faktor“ bei XDR ist die bedrohungszentrierte Ausrichtung. Hierdurch werden die Daten vereinheitlicht und die Reaktion wird optimiert.

3. Breitgefächerte Telemetrie über mehrere Domänen hinweg

Der Nutzen von XDR basiert darauf, dass zusätzliche IT- und Sicherheitstelemetrie kontextbezogene Erkenntnisse liefern kann. Echtes XDR hängt nicht davon ab, ob ein Tool bestimmte Technologien umfasst. Wichtiger ist die Integration einer großen, breit gefächerten Auswahl an Systemen und Anwendungen, um umfassendere Kontexteinordnung und Korrelation zu gewährleisten. Hier seien unter anderem Netzwerkanalyse und -transparenz (NAV), NGFW, E-Mail-Sicherheit, Identitäts- und Zugriffsverwaltung (IAM), Plattformen zum Cloud-Workload-Schutz (CWPP), CASB/SW und DLP genannt.

4. Speziell für effiziente Datenerfassung, -korrelation und -suche entwickelte Ontologien

Präzise definierte Schemata für den Datenaustausch mit zusätzlichen IT-Sicherheitssystemen sind entscheidend. Nur so lässt sich sicherstellen, dass die Anreicherung und Korrelation in einer konsistenten und umfassenden Form stattfindet, bei der wichtige Ziele und Ergebnisse berücksichtigt werden.

5. Erkennungsmodell mit Priorisierung der Datengenauigkeit

Sicherheitsteams sind schon jetzt von den Datenmengen überlastet – und XDR hat das Potenzial, dieses Datenvolumen noch einmal enorm zu erhöhen. Wenn der Schwerpunkt auf Genauigkeit und Erkennungsqualität liegt, vermeiden Sicherheitsteams eine Flut von False Positives und stellen sicher, dass XDR-Ereignisse und -Untersuchungen relevant und effizient sind.

6. Orchestrierung, Eindämmung und Reaktion mit mehreren Tools

Sobald Bedrohungen erkannt werden, stellt XDR den Sicherheitsteams integrierte Workflows zur Verfügung, mit deren Hilfe sie schnell und oft automatisiert Maßnahmen zur Eindämmung und Beseitigung der Bedrohung ergreifen können.

7. KI und Machine Learning mit kontinuierlicher Suche nach neuen Unbekannten

Zur Suche nach bislang verborgenen Bedrohungen werden erweiterte Analysefunktionen angewendet, zum Beispiel in Form von KI und ML. Dies geschieht oft durch Aggregation und Einordnung mehrerer getrennter, schwächerer Signale aus unterschiedlichen Domänen.

Sicherheitsvorteile durch XDR

Ältere Lösungen zur Bedrohungserkennung legen den Schwerpunkt auf jeweils eine Schicht. So werden EDR-Lösungen nur auf Endgeräten und NAT-Lösungen nur für Netzwerk-Datenverkehr ausgeführt. Für Unternehmen bedeutet dies, dass sie mehrere Sicherheitsprodukte erwerben müssen, um selbst für Sicherheit auf den verschiedenen Schichten zu sorgen. Dies wiederum führt zu einem komplexen Sicherheits-Stack, der einerseits zu viele Warnmeldungen generiert, andererseits aber zu wenig Kontext liefert.

Selbst wenn Unternehmen sehr viel Geld investieren, werden sie unter Umständen feststellen, dass gerade ihre Abwehrmechanismen zu ihrem Nachteil gearbeitet haben. Je komplizierter die Sicherheitssilos sind, desto größer ist die Wahrscheinlichkeit, dass eine Sicherheitslücke entsteht und bis zu einer Kompromittierung unbemerkt bleibt. Und je mehr Tools integriert werden, desto schwieriger gestaltet sich die Durchführung von Untersuchungen. Deshalb dauert die Identifizierung einer Kompromittierung bei mehrschichtigen Sicherheitsmodellen inzwischen auch länger.

Da all diese Tools verwaltet werden müssen, sind die Sicherheitsteams stärker belastet – nicht nur durch die Handhabung einer größeren Anzahl von Warnmeldungen aus den isolierten Lösungen, sondern auch durch die Verfolgung und Implementierung regelmäßiger Patches und Upgrades für die spezialisierten Produkte.

Die Auswirkungen mehrschichtiger Abwehrmechanismen aus getrennt verwalteten Produkten reichen über das Sicherheitskontrollzentrum hinaus. Beim Erwerb von Produkten zur Beseitigung spezifischer Sicherheitslücken steht die Technologie an erster Stelle – das Unternehmen und die Benutzer sind dabei nachrangig. Da ein solcher Kauf eher taktischer als strategischer Natur ist, kostet er letztendlich mehr Geld, erfordert mehr Spezialkenntnisse und steht der Skalierbarkeit und Innovation entgegen.

Die Lösung für die Probleme, die durch herkömmliche Technologie zur Erkennung und Reaktion aufgeworfenen werden, ist XDR. Dieser Ansatz ist sowohl für die heutigen hybriden Infrastrukturen und Cloud-Workloads als auch für lokale Umgebungen und eine große Anzahl von Mitarbeitern im Homeoffice ausgelegt.

XDR bietet folgende Vorteile und verbessert so die Cybersicherheit von Unternehmen:

Schnellere, zuverlässigere Erkennung

Isolierte Sicherheitstools decken nur einen Teil der Datenmenge ab. Daher sind Sicherheitsanalysten gezwungen, die Daten aus mehreren Tools manuell zu vergleichen, um sich einen Eindruck von den Aktivitäten in ihrer Infrastruktur zu verschaffen. Dies kann zu menschlichen Fehlern führen und bietet keine Möglichkeit zur Erkennung von Angreifern, die gestohlene Anmeldedaten verwenden. Darüber hinaus nimmt der manuelle Vergleich viel Zeit in Anspruch. Die Unternehmen versuchen, ihre isolierten Lösungen zu integrieren, was kein einfaches Unterfangen ist und nicht immer wie erwartet funktioniert.

XDR bietet detaillierte Einblicke, da es schichtübergreifend angewendet wird und Daten aus E-Mails, Cloud-Workloads und Netzwerken sowie von Endgeräten und Servern erfasst und korreliert werden. Somit sind schnellere Erkennungen und fundiertere Reaktionen möglich. Da die Angriffswege rekonstruiert werden können, lässt sich ermitteln, an welchem Punkt in der Infrastruktur die Angreifer sich derzeit befinden und welche Assets sie möglicherweise kompromittiert haben. Anhand dieser Informationen können die Auswirkungen von Angriffen minimiert und behoben werden. Zudem ermöglichen sie bessere Entscheidungen im Hinblick auf Sicherheitsverbesserungen.

Vereinfachte Reaktion

Setzen Sie Erkenntnisse in koordinierten Maßnahmen um. Geben Sie Sicherheitsteams die Möglichkeit, mehrstufige Workflows für Reaktionen auf mehreren Plattformen zu entwickeln und zu automatisieren, mit denen diese punktgenaue, umfassende Behebungsmaßnahmen durchführen können.

Erstklassiges Ökosystem

XDR-Komplettmodelle können einfach nicht halten, was sie versprechen. Für echtes und umfassendes XDR müssen sich Sicherheitsteams auf Erkenntnisse aus einer Vielzahl von IT-Systemen und Netzwerken stützen.

Effiziente Sicherheitsprozesse

Zur Priorisierung von Bedrohungen wird bei XDR künstliche Intelligenz mit umfassenden Analysen kombiniert. Als unerheblich eingestufte Anomalien werden noch vor der Sichtung durch einen Analysten aus den Warnmeldungen aussortiert. Der Analyst kann sich somit auf das Wesentliche konzentrieren und die priorisierten Bedrohungen sind in einen Kontext eingeordnet, um eine schnellere und genauere manuelle Analyse zu ermöglichen.

Geringere Gesamtbetriebskosten

Abgesehen davon, dass XDR mehrere Tools (und daher auch mehrere Rechnungen) ersetzen kann, senkt die effizientere Nutzung von SOC-Ressourcen die Gesamtbetriebskosten erheblich, da die Verwaltung weniger Zeit in Anspruch nimmt und Untersuchungen schneller abgeschlossen werden können. Und da XDR eine integrierte Plattform ist, muss sie nicht in mehrere Einzellösungen integriert werden.

XDR-Anwendungsszenarien

AnwendungsszenarioNutzen von XDR

TriagierungMit XDR werden Daten aggregiert, Systeme überwacht, Ereignisse erkannt und Sicherheitsteams gewarnt.

Untersuchung und Reaktion auf ZwischenfälleXDR ermöglicht die Speicherung der Analyseergebnisse und Informationen zu Ereignissen, damit diese zur Untersuchung dieser Ereignisse, zur Bestimmung von Reaktionsmöglichkeiten und zur Schulung von Sicherheitsteams herangezogen werden können.
BedrohungssucheThreat Hunter können die von der XDR-Lösung gesammelten Daten als Basis verwenden. Die Daten lassen sich auch dazu nutzen, neue Erkenntnisse zu generieren, die dann zur Absicherung der Sicherheitsrichtlinien und -systeme eingesetzt werden können.

Funktionsweise von XDR

Angreifer wissen, wo sie in Sicherheitssilos nach Lücken zu suchen haben. Wenn sie eine Möglichkeit finden, zwischen den isolierten Produkten hindurch in ein Netzwerk einzudringen, können sie dort über längere Zeit verweilen, sich lateral movement, Nutzdaten erfassen und mehr darüber in Erfahrung bringen, wie sie die Abwehrfunktionen des Netzwerks bei einem zukünftigen Angriff umgehen können.

Mithilfe von XDR werden Daten durch schichtübergreifendes Sweeping erfasst, in einen Data Lake eingespeist, sterilisiert und mit der Angriffsfläche korreliert, über die die Angreifer eingedrungen sind. Die Daten werden über eine einheitliche zentrale Benutzeroberfläche zentralisiert, normalisiert und abrufbar gemacht.

Endgeräte – der Dreh- und Angelpunkt

Ohne Endgerät ist XDR, die erweiterte Erkennung und Reaktion, bedeutungslos. In diesem Fall gibt es nämlich nichts, von dem aus eine „Erweiterung“ erfolgen könnte. Alle XDR-Prozesse – darunter Datenerfassung, Korrelation, Untersuchung und Behebung – sind durch die entsprechenden Ereignisse auf Endgeräten und ihre Beziehung zu ihnen verankert.

XDR-Schutz für Endgeräte

Mit XDR lässt sich herausfinden, was auf einem Endgerät geschehen ist, woher eine Bedrohung stammt und welchen Weg sie genommen hat. Anschließend kann die Bedrohung isoliert werden. Ferner lassen sich die durch sie gestarteten Prozesse stoppen und die beeinträchtigten Dateien wiederherstellen oder löschen.

XDR schützt das gesamte Sicherheitsökosystem

Schutz über Endgeräte hinaus und Integration zentraler Schwerpunkte für das gesamte XDR-Spektrum:

  • E-Mail-Sicherheit
  • Netzwerkanalyse und -transparenz (NAV)
  • Identitäts- und Zugriffsverwaltung (IAM)
  • Bedrohungs- und Schwachstellenverwaltung
  • Cloud-Sicherheit
  • OT- und IoT-Sicherheit

XDR-Schutz für E-Mails

XDR ermöglicht die Erkennung von E-Mail-Bedrohungen und die Identifizierung kompromittierter Konten. Mit XDR können auch Angriffsmuster erkannt werden, beispielsweise welche Benutzer häufig angegriffen werden, wer den Fehler gemacht hat, durch den die Angreifer Zugriff erlangt haben, und wer die Phishing-E-Mail erhalten hat. Außerdem lassen sich E-Mails unter Quarantäne stellen, Konten zurücksetzen und Absender blockieren.

XDR-Schutz für Netzwerke

Mithilfe von XDR können problematische Verhaltensweisen im gesamten Netzwerk erkannt und Details offengelegt werden, beispielsweise wie die Bedrohung kommuniziert und welchen Weg sie nimmt. Ereignisse lassen sich filtern, um die Identifizierung von Schwachstellen zu vereinfachen und Sicherheitsteams die nötigen Erkenntnisse zu Quelle und Umfang des Angriffs bereitzustellen, damit sie schneller reagieren können.

XDR-Schutz für Cloud-Server und Workloads

Mit XDR können Bedrohungen isoliert werden, die darauf ausgelegt sind, Server, Container und Cloud-Workloads zu kompromittieren. Auch ihr Einfallstor lässt sich bestimmen. Zudem können die Auswirkungen der Bedrohungen auf die Workloads untersucht und in Erfahrung gebracht werden, wie sie sich im gesamten Netzwerk verbreiten. Mithilfe von XDR lassen sich Prozesse stoppen, die zur Weiterverbreitung der Bedrohungen beitragen. Dies ist wichtig, um Datenverluste im großen Stil oder die Unterbrechung wichtiger Vorgänge in einer Hybrid- oder Cloud-Umgebung zu vermeiden, die aus zahlreichen Verbindungspunkten besteht.

Funktionen einer XDR-Plattform

Bei der Evaluierung einer XDR-Lösung sollten Sie Ihr Augenmerk auf die folgenden Funktionen legen, um den größtmöglichen Nutzen aus Ihrer Investition zu ziehen:

FunktionBeschreibung
Autonome AnalyseSofortige Erkennung von Bedrohungen über IT-Umgebungen hinweg, einschließlich Cloud-Workloads, Netzwerke und Endgeräte, um die Triagierung und die Reaktion zu beschleunigen
Autonome ReaktionVerbesserte Funktionen für Untersuchung und Forensik
Autonome BedrohungssucheAutomatisierte Erkennung von schwachen Bedrohungssignalen, die bestehende isolierte Abwehrfunktionen im Unternehmen umgehen
Cloudbasierte ErfassungErfassung von Protokollen und Ereignissen aus mehreren Datenquellen, einschließlich Cloud-Service-Provider, SaaS-Anwendungen und Firewalls
ExtraktionsmodulNahezu in Echtzeit stattfindende Extraktion von Bedrohungssignalen und Warnmeldungen aus den umfangreichen Sicherheitsdaten, die von den bestehenden Sicherheitsprodukten generiert werden
Automatische Untersuchung und BewertungAutomatische Extraktion von Funktionen und Entitäten, die an einer spezifischen verdächtigen Aktivität beteiligt waren, sowie autonome ML-basierte Bewertung
Bereichsübergreifende KorrelationVisualisierungen von Entitäten und Beziehungen, die automatisch über getrennte Bereiche mit einer größeren Dichte an verdächtigen Aktivitäten hinweg korreliert werden können – im gesamten Unternehmen
Relevante AngriffsübersichtenVollständige Angriffsübersichten und Darstellungen mit Details wie Kontext, Angriffsweg, Ziel und potenzieller Auswirkung in einfach nutzbaren Formaten
Erweiterte Funktionen für Erkennung, Reaktion auf Zwischenfälle und BedrohungssucheErweiterte Funktionen für die forensische Untersuchung und Bedrohungssuche zur schnelleren Triagierung

INFORMATIONEN ZUM AUTOR

Anne Aarness is a Senior Manager, Product Marketing at CrowdStrike based in Sunnyvale, California.