Was ist Open XDR?

Anne Aarness - Dezember 16, 2022

Open XDR ist eine XDR-Sicherheitslösung (Erweiterte Erkennung und Reaktion) oder -plattform, die Drittanbieter-Integrationen zur Erfassung bestimmter Formen von Telemetriedaten unterstützt, um Bedrohungen in verschiedenen Datenquellen zu erkennen und zu untersuchen sowie entsprechende Reaktionsmaßnahmen einzuleiten.

Open XDR wird teilweise als Hybrid XDR bezeichnet und dient der Integration verschiedener Tools in die Sicherheitstechnologien des Unternehmens, einschließlich endpunktbasierte Detektion und Reaktion (EDR), Firewalls der nächsten Generation (NGFW), Identitäts- und Zugriffsverwaltung (IAM), Cloud-Workload-Schutz (CWP), Sicherheits-Broker für den Cloud-Zugriff (Cloud Access Security Brokers, CASB) und andere. Durch die Beseitigung der Silos zwischen den Tools können Unternehmen präzisere Warnungen generieren und schneller reagieren. Zudem werden Bedrohungssuchen verbessert und Untersuchungen vereinfacht.

Was ist XDR?

XDR gilt als Weiterentwicklung von EDR. Die Technologie ist eine Sicherheitslösung, die Sicherheitstelemetriedaten aus mehreren Quellen heranzieht, einschließlich Endgeräte, Cloud-Workloads und Netzwerk-E-Mails. Die angereicherten Bedrohungsdaten werden dann gefiltert und in einer zentralen Konsole in der XDR-Plattform zusammengeführt, sodass das Sicherheitsteam Bedrohungen in mehreren Domänen schnell und effizient erkennen und beheben kann – alles in einer einheitlichen Lösung.

NEUER BERICHT VON FORRESTER ZU XDR

Laden Sie den vollständigen Bericht herunter, um zu erfahren, worauf es bei XDR-Produktfunktionen und zukünftigen Strategien ankommt.

Jetzt herunterladen

Arten von XDR

XDR-Lösungen lassen sich grob in zwei Kategorien aufteilen:

  • Open oder Hybrid XDR
  • Native oder Closed XDR

Der Unterschied zwischen den beiden Kategorien liegt in erster Linie in der Art der von der XDR-Plattform unterstützten Tools und Lösungen. Open XDR-Lösungen sind anbieterneutral und können Daten von ganz verschiedenen Quellen und Lösungsanbietern integrieren, während Native XDR-Lösungen Tools von einem einzigen Sicherheitsanbieter integrieren.

Weitere Informationen zu den Unterschieden zwischen Open XDR und Native XDR finden Sie im Begleitartikel Open XDR und Native XDR im Vergleich.

Warum ist Open XDR wichtig?

In einer zunehmend komplexen Bedrohungslandschaft vertrauen die meisten Unternehmen auf verschiedene Tools und Anbieter, um sich umfassend zu schützen. Dabei hat jedes dieser Tools eine klare Aufgabe. Die separate Verwaltung und Bedienung der einzelnen Tools ist jedoch sehr ineffizient und ineffektiv. Häufig sind Sicherheitsanalysten gezwungen, Unmengen von Warnungs- und Ereignisdaten aus verschiedensten Systemen manuell zu durchsuchen und zusammenzufügen. Dadurch geht bei einem Angriff wertvolle Zeit verloren und es steigt die Wahrscheinlichkeit, dass Angreifer unbemerkt eindringen können.

Gleichzeitig sind viele dieser Sicherheitslösungen die besten ihrer Art, die speziell für die individuellen Anforderungen des jeweiligen Unternehmens ausgewählt wurden. Der Austausch dieser Tools kann teuer werden – ganz zu schweigen davon, dass die Ersatzlösungen nicht immer den gleichen Schutz bieten.

An dieser Stelle kommt XDR ins Spiel. Bei einem Open XDR-Modell können Unternehmen wichtige Telemetriedaten aus zahlreichen Sicherheitstools verschiedener Anbieter in einer zentralen Übersicht bündeln, sodass den Sicherheitsanalysten umfangreiche, belastbare Daten aus allen Sicherheitsprodukten zur Verfügung stehen. Das Zusammenführen von Erkenntnissen aus Sicherheitslösungen, die vorher isoliert waren, verbessert die Transparenz und Erkennung, was letztendlich die Reaktionszeiten verkürzt und die Sicherheit des Unternehmens stärkt – ohne dabei die Komplexität des Sicherheitspakets zu erhöhen.

5 Vorteile von Open XDR

Open XDR eignet sich hervorragend für Unternehmen, die erstklassige Cybersicherheitslösungen von verschiedenen Anbietern verwenden. Für diesen Fall bietet das Open XDR-Modell einige wichtige Vorteile im Vergleich zu einer Native XDR-Lösung:

  1. Anbieterneutral: Open XDR ermöglicht das Zusammenführen verschiedener Telemetriedaten von mehreren Sicherheitspartnern in einer zentralen Übersicht, sodass Unternehmen den größtmöglichen Nutzen aus ihren vorhandenen Assets ziehen und weiterhin in die Tools und Lösungen investieren können, die ihre Anforderungen am besten erfüllen.
  2. Flexibel und skalierbar: Beim Open XDR-Modell gibt es keine Anbieterbindung. Dies ist eine wichtige Eigenschaft, da sich der Markt der Cybersicherheitsanbieter kontinuierlich ändert. Wenn ein Unternehmen einen Open XDR-Ansatz verfolgt, kann es jederzeit die modernsten Lösungen von verschiedenen Anbietern implementieren.
  3. Erweiterter Schutz: Eine Open XDR-Lösung ermöglicht es Unternehmen, Lücken in der Sicherheitsarchitektur mithilfe einer Vielzahl an Tools und Lösungen von verschiedenen Anbietern zu beseitigen. Dagegen sind Unternehmen mit einem Native XDR-Ansatz auf die Tools beschränkt, die sie von ihrem gewählten Anbieter erwerben können.
  4. Optimaler Mehrwert: Beim Open XDR-Modell müssen bestehende Lösungen nicht komplett ausgetauscht werden, um unbedingt in die XDR-Plattform integriert zu werden. Stattdessen können Unternehmen verschiedene Sicherheitstools in einer Master-Ansicht konfigurieren und integrieren.
  5. Verbesserte Leistung: Durch die Bereitstellung einer zentralen Übersicht über alle Telemetriedaten des Unternehmens kann nicht nur die Effizienz der Mitarbeiter, sondern auch ihre Leistungsfähigkeit gesteigert werden.

Vorteile von XDR

Zur Erinnerung: Die Implementierung einer XDR-Lösung – ganz gleich, ob Native XDR oder Open XDR – bietet Unternehmen wichtige Vorteile. Zu den Vorteilen gehören:

  • Konsolidierte Bedrohungstransparenz: XDR bietet detaillierte Einblicke, da es schichtübergreifend angewendet wird und Daten aus E-Mails, Cloud-Workloads und Netzwerken sowie von Endgeräten und Servern erfasst und korreliert werden.
  • Unkomplizierte Erkennungen und Untersuchungen: Analysten und Threat Hunter können sich auf Bedrohungen mit hoher Priorität konzentrieren, da XDR die als unbedeutend eingestuften Anomalien aus den Warnungen herausfiltert. Zudem sind hochentwickelte Analysen und Korrelationsfunktionen bereits im Tool integriert, sodass XDR getarnte Bedrohungen automatisch erkennt – und dem Sicherheitsteam den Aufwand für die permanente Neuerstellung, Optimierung und Verwaltung von Erkennungsregeln abnimmt.
  • Umfassende Orchestrierung und Reaktion: Detaillierter, domänenübergreifender Bedrohungskontext und Telemetriedaten – von betroffenen Hosts und Ursachen bis hin zu Indikatoren sowie Zeitleisten – begleiten den gesamten Untersuchungs- und Behebungsprozess. Automatisierte Warnungen und wirksame Reaktionsmaßnahmen können komplexe Workflows mit mehreren Tools auslösen, die die Effizienz des Sicherheitskontrollzentrums (SOC) erheblich erhöhen und Bedrohungen präzise neutralisieren.

Wichtige Funktionen einer XDR Plattform

Wenn eine XDR-Lösung von einer cloudnativen Plattform bereitgestellt wird, verbessert sich die Transparenz erheblich. Gleichzeitig können Angriffe schneller identifiziert und gezielt abgewehrt werden. Doch nicht alle Lösungen bieten den gleichen Funktionsumfang.

Sicherheitsteams sollten sorgfältig abwägen, welche Plattform die Grundlage der XDR-Funktionalität bilden soll, damit umfassender Schutz, zukünftige Flexibilität und die optimale Ressourcennutzung gewährleistet sind. Nachfolgend gehen wir auf einige wichtige Fragen ein, die sich Unternehmen bei der Bewertung von XDR-Anbietern und deren Angeboten stellen sollten.

Daten

  • Erfasst und zentralisiert die Lösung Daten von Endgeräten und Sicherheitslösungen im gesamten Unternehmen?
  • Nutzt die Lösung erweiterte Automatisierung sowie Technologien wie künstliche Intelligenz (KI) und Machine Learning (ML), um Daten zu analysieren, mit der überwundenen Angriffsfläche zu korrelieren und basierend darauf Prioritäten festzulegen?
  • Normalisiert und reorganisiert die Lösung Daten, damit Benutzer sie problemlos für weitere Abfragen und Analysen bei der Bedrohungssuche und für Untersuchungen nutzen können?
  • Werden die Daten von der Lösung für die Sicherheitsteams in einer zentralen Konsole aufbereitet, sodass die Benutzer nicht nur domänenübergreifende Informationen für die Bedrohungssuche und Untersuchung erhalten, sondern auch die Reaktion steuern und koordinieren können?

Plattform

  • Ist die Lösung anbieterneutral? Unterstützt sie die Integration verschiedener Tools von unterschiedlichen Anbietern?
  • Hat die Plattform Beschränkungen, die die zukünftige Integration von Lösungen beeinträchtigen könnten?
  • Unterstützt die Plattform komplexe Konfigurationen und Anpassungen (z. B. benutzerdefinierte Erkennungen) basierend auf individuellen Kundenanforderungen?
  • Nutzt die Plattform offene, präzise definierte Schemata für den Datenaustausch mit anderen IT-Sicherheitssystemen, um die effektive Kommunikation zwischen Sicherheitstools sicherzustellen?
  • Ist die Plattform bei bedeutenden Analysten oder Branchenverbänden als führende Lösung im Bereich XDR anerkannt?

Benutzererlebnis

  • Bietet die Lösung ein intuitives und ansprechendes Benutzererlebnis?
  • Welche Hilfen bietet der Anbieter, um neue Mitarbeiter in die Plattform und deren sachgemäße Nutzung einzuführen?

MIGRATION ZU ERWEITERTER ERKENNUNG UND REAKTION (XDR)

Laden Sie dieses Whitepaper herunter und erfahren Sie, worauf Sie bei einer XDR-Lösung achten sollten, um maximal von den Funktionen und Vorteilen zu profitieren.

Jetzt herunterladen

CrowdXDR Alliance: Der CrowdStrike-Ansatz für Open XDR

Um die Vorteile von Open XDR zu nutzen, hat CrowdStrike die CrowdXDR Alliance gegründet. Dies ist ein gänzlich neuer Zusammenschluss von Unternehmen, die sich das Ziel gesetzt haben, die einheitliche bedrohungsorientierte Erkennung und Reaktion im gesamten Sicherheits- und Technologie-Ökosystem von Unternehmen zu ermöglichen. Die Allianz umfasst branchenführende Sicherheits- und IT-Lösungen wie Google Cloud, Proofpoint, Zscaler und CloudFlare.

Konkret bietet die CrowdXDR Alliance folgende Vorteile:

  • Ein einheitlicher XDR-Ansatz mit einer gemeinsamen Ontologie und Abfragesprache sowie speziell entwickelten Workflow-Automatisierungen
  • Beispiellose Transparenz mit einem breiten Spektrum an Original- und Drittanbieterquellen für mehrere Technologien und Domänen
  • Flexibilität und Möglichkeit, XDR nach eigenen Wünschen zu implementieren, sodass Sie entscheiden können, in welchem Umfang Sie XDR in Ihrem Unternehmen einsetzen möchten, welche Domänen die Lösung abdecken soll und welche Tools integriert werden

INFORMATIONEN ZUM AUTOR

Anne Aarness is a Senior Manager, Product Marketing at CrowdStrike based in Sunnyvale, California.