Cybersicherheit: Was XDR können muss und worauf es bei der Auswahl einer XDR-Lösung ankommt – Cyberunkraut im Netzwerk eliminieren

EDR, SIEM, DLP – Der Urwald der Cybersecurity-Abkürzungen wird immer dichter. Mit jeder neuen Angriffsart sprießt gefühlt ein weiteres »Lösungspflänzchen« aus dem digitalen Boden, das besonders gut gegen neue Malware-Varianten helfen soll. Aber die vielen neuen Lösungen und Ansätze erfordern nicht nur immer mehr Expertenwissen bei Security-Verantwortlichen, sie müssen sich auch optimal in bestehende Systeme integrieren. Fortschrittliche XDR-Lösungen lichten den Security-Dschungel und erleichtern Unternehmen die Absicherung ihrer gesamten IT-Infrastruktur durch einen hohen Automatisierungsgrad bei der Bedrohungsbekämpfung.

XDR (Extended Detection and Response) basiert auf einem Ansatz, der sich auf Vorgänge im gesamten Netzwerk konzentriert und nicht auf einzelne Alarme. Dabei steht das Verhalten der Angreifer vom ersten Eindringen, bis zu jedem Endpoint im Mittelpunkt. Diese erweiterte Ausrichtung ist wichtig, da bisherige EDR-Ansätze (Endpoint Detection and Response), die vor allem den einzelnen Sicherheitsalarm als Dreh- und Angelpunkt nutzen, nicht mehr ausreichen. Denn die Menge der Warnmeldungen nimmt stetig zu. Ohne XDR schaffen es die vielen verschiedenen Security-Lösungen wahrscheinlich nicht, die einzelnen Warnmeldungen sinnvoll miteinander in Verbindung zu bringen – auch wenn sie Teil desselben Angriffs sind. Wären Attacken nach wie vor einzelne, isolierte Aktivitäten im Netzwerk, würde der klassische Ansatz wahrscheinlich noch gut funktionieren. Aber leider erfolgen Angriffe heutzutage nicht mehr auf diese Weise, sondern betreffen in der Regel mehrere kompromittierte Benutzeridentitäten und Endpunkte. Hier kommt genau der integrierte Ansatz von XDR ins Spiel. XDR deckt Angriffe überall auf und bringt sie miteinander in Kontext – unabhängig davon, wo sie beginnen und wohin sie sich im Netzwerk bewegen. Diese Transparenz ermöglicht es Sicherheitsteams, schnell und effizient aufzudecken, ob scheinbar zusammenhanglose Ereignisse tatsächlich Teil eines mehrstufigen Angriffs sind. Das ist ähnlich wie beim Gärtnern: Entfernt man nur die sichtbaren Teile eines Unkrauts, kann es gegebenenfalls ungesehen weiterwurzeln. Das Problem ist also nur punktuell eingedämmt, aber nicht ausgemerzt.

Um sich nicht nur für XDR, sondern vor allem auch die richtige XDR-Lösung zu entscheiden, spielen drei Themen eine wichtige Rolle, zu der sich jeder Entscheidungsträger informieren sollte. Die optimale Lösung muss die individuelle Bedrohungslandschaft für das eigene Unternehmen verstehen, Angreifer auf Basis ihres Verhaltens erkennen und verstehen und angemessen auf jede Bedrohung reagieren und das Unternehmen so schützen.

Bedrohungslandschaft verstehen. Die meisten Unternehmensnetzwerke sind mit der Zeit gewachsen. Immer mehr Endpunkte kommen hinzu. Und inzwischen sind nicht nur Endpunkte Angriffsflächen für Cyberkriminelle – SaaS-Dienste und Cloud-Infrastrukturen müssen mindestens genauso gut abgesichert werden, wie die klassischen Netzwerkstrukturen. Die ideale XDR-Lösung liefert dabei nicht nur eine Übersicht darüber, was alles geschützt werden muss – sie tut dies auch auf eine simple und für jeden verständliche Weise. So können nicht nur die Wege und Strategien der Angreifer besser nachvollzogen werden. Auch neue oder noch unerfahrenere Mitarbeiter in den IT-Abteilungen können so schnell und effizient auf neue Bedrohungen reagieren und kennen schon bald das Netzwerk und mögliche Bedrohungen wie ihre Westentasche.

Angriffsverhalten verstehen. Typischerweise werden in der Cybersecurity sogenannte Indicators of Compromise (IOCs) genutzt, um Attacken zu erkennen. Das bedeutet, dass Daten aus Protokolleinträgen ausgewertet und auf Indikatoren durchsucht werden, die auf die Anwesenheit von Angreifern hindeuten. Diese Transparenz sollten heutzutage alle Security-Lösungen liefern. Noch wichtiger sind aber inzwischen Verhaltensindikatoren, Indicators of Behaviour (IOBs), bei denen tatsächliche Aktivitäten und nicht nur zurückgelassene Spuren bekannter Angriffsmuster ausgewertet werden. Das ist wichtig, weil die Angreifer zunehmend professioneller werden und teilweise mit individuell zugeschnittenem Code zielgenau ihre Opfer attackieren. Im Zuge dessen ändern die Angreifer beispielsweise Berechtigungen oder lassen Anwendungen Prozesse anstoßen, die Schadcode von einem Prozess in einen anderen injizieren. Hierfür gibt es möglicherweise keine bekannten IOCs, die zur Erkennung solcher Kompromittierungen genutzt werden können. Deswegen liefert nur die Betrachtung der aktuellen Aktivitäten in solchen Fällen Hinweise darauf, ob sich ein Hacker im System befindet, der langsam seine Berechtigungen erweitert und versucht, unerkannt zu bleiben. Durch die Korrelation von IOCs und IOBs in der Analyse von modernen XDR-Lösungen können sich die Sicherheitsteams ein vollständiges Angriffsbild machen und entsprechend reagieren.

Automatisierung der Bedrohungsabwehr. Last but not least ist es entscheidend, wie eine XDR-Lösung auf Bedrohungen reagiert. Das Erkennen allein reicht nicht – ein Angreifer muss möglichst schnell aus dem System entfernt und unschädlich gemacht werden. Sobald ein Angriff identifiziert und auf Makroebene verstanden wurde, sollte die ideale XDR-Lösung automatisch Gegenmaßnahmen ergreifen oder zumindest geleitete Reaktionsmöglichkeiten aufzeigen. So kann beispielsweise das Beenden eines Prozesses oder die Quarantäne einer bösartigen Datei autonom oder mit einem einfachen Mausklick, auch aus der Ferne, erfolgen. Der Grad der Automatisierung ist hier der entscheidende Punkt. Denn Security-Manpower ist in den Unternehmen in der Regel knapp und das zunehmende Bedrohungsszenario oftmals kaum managebar.

Fazit. Haben Entscheidungsträger diese drei Themen im Blick, sind sie auf einem guten Weg, wenn es darum geht, ihr Unternehmen vor Ransomware und anderen Bedrohungen gut zu schützen. Der ganzheitliche, integrierte Ansatz und der hohe Automatisierungsgrad von guten XDR-Lösungen gibt dabei nicht nur den vollen Überblick über den Security-Status der ganzen Unternehmens-IT, sondern bricht starre Security-Silos auf und entlastet die IT- oder Sicherheits-Teams in Unternehmen. Diese laufen den Cyberkriminellen nicht mehr nur hinterher, sondern können in ihrem digitalen Garten das Aufkommen und die Verbreitung von Unkraut verhindern – ohne Sonderschichten oder zusätzliche Mitarbeiter.

 


Frank Kölmel,
Vice President Central Europe
bei Cybereason

 

Illustration: © TWINS DESIGN STUDIO/shutterstock.com

 

82 Artikel zu „XDR „

XDR: Wie Sicherheitsteams Cyberangriffe frühzeitig erkennen und abwehren können

Sicherheitsteams haben aufgrund der Implementierung von neuen Technologien und Remote-Work-Prozessen zunehmend Schwierigkeiten, die Kontrolle über die komplexe Unternehmens-IT zu behalten. In Sachen IT-Sicherheit kann dies zu Problemen führen, da sich Cyberbedrohungen nicht mehr effektiv abwehren lassen. Eine einheitliche Plattform, die sämtliche Sicherheitsfunktionen zentralisiert, schafft Transparenz und effizientes Bedrohungs-Management. Tanja Hofmann, Lead Security Engineer bei McAfee…

Proaktive Sicherheit durch Cyber Threat Intelligence

Beim Schutz von Unternehmen vor Infiltration, Datendiebstahl und der Störung der Geschäftsabläufe durch Cyberkriminelle bedeutet »Wissen« ist Macht. Mit dem Aufbau von Threat-Intelligence-Teams und der Umsetzung von CTI-Programmen (Cyber Threat Intelligence) wollen Unternehmen von einer reaktiven in eine proaktive Verteidigungsposition wechseln.   Es deutet sich eine gewisse Form von wachsender Zustimmung in den Unternehmen an,…

Cryptojacking

Noch ist das Thema »Cryptojacking« eine relativ neue Entwicklung im Bereich der Cyberbedrohungen. Dennoch setzt eine zunehmend große Zahl an Cyberkriminellen auf diese Blockchain-Anwendung um Schäden anzurichten.   Momentan ist es noch schwer die Schäden zu beurteilen, aber dass Cryptojacking einen starken Anstieg verzeichnet ist nicht mehr von der Hand zu weisen. Wenn sich dann…

Zero-Day-Schwachstelle: Cyberkriminelle nutzen Cloud-Anbieter, um Malware zu hosten

  HP Inc. analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden [1].   Das HP Forschungsteam stellte unter anderem fest, dass Cyberkriminelle Zero-Day-Schwachstellen ausnutzen. So wurde die Zero-Day-Schwachstelle CVE-2021-40444, die die MSHTML-Browser-Engine mit Microsoft Office-Dokumenten bei der Ausführung von Remote-Code gefährdet…

Environment, Social, Governance –
ESG-Vorhaben vorantreiben

Die ESG-Themen spielen für deutsche Unternehmen traditionell eine große Rolle und grüne Technologien werden in Zukunft stark an Relevanz gewinnen. Wir sprachen mit Dr. Rolf Werner, Geschäftsführer von Cognizant Technology Solutions in Deutschland, dessen Ziel es ist, ESG-Themen in jeden Teil des geschäftlichen Entscheidungsprozesses einzubinden, dadurch mit gutem Beispiel voranzugehen sowie den Kunden zu helfen den Wandlungsprozess hin zu einem nachhaltig agierenden Unternehmen zu beschreiten.

Fast jeder zweite in Deutschland online unsicher unterwegs

Bitdefender-Studie zeigt Unzulänglichkeiten von Verbrauchern beim digitalen Verhalten auf. 52 % der Deutschen legen online ein riskantes Verhalten rund um Datensicherung, digitale Identität und Management ihrer Geräte an den Tag – im internationalen Vergleich 58 %. 46 % der Deutschen haben Erfahrungen mit Cyberkriminalität gesammelt – international 61 %. 31 % der Anwender, die vor…

Nach dem Aus des Privacy Shields – Endpunkte rechtskonform managen und absichern

Im Juli des vergangenen Jahres hat der Europäische Gerichtshof mit seinem Schrems-II-Urteil das Privacy-Shield-Abkommen, das den Datenfluss zwischen der EU und den USA regelt, für nichtig erklärt. Europäische Unternehmen, die für die Aufrechterhaltung ihrer IT-Infrastruktur auf Lösungen angewiesen sind, deren Nutzung einen Datentransfer in die USA erforderlich macht, müssen sich seitdem – wollen sie weiterhin datenschutzkonform agieren – an den europäischen Standartvertragsklauseln für den Datentransfer zwischen EU- und Nicht-EU-Staaten orientieren. Kein leichtes Unterfangen. Gerade wenn es um Endpunktmanagement- und Endpunktsicherheitslösungen geht. Denn nur die wenigsten von ihnen lassen sich im Einklang mit den neuen Regelungen betreiben.

Smart Mobility: Sicherheit vernetzter und autonomer Fahrzeuge – Cybersecurity ist der neue Airbag

Neben der weiteren Elektrifizierung wird die Mobilität im Jahr 2030 autonom, digital, intelligent, nachhaltig und sicher sein. Der Begriff Mobilität bezieht sich dabei nicht nur auf Fahrzeuge an sich, sondern auf das gesamte Ökosystem von Geräten und Diensten, die mit einem Fahrzeug verbunden sind. Die zunehmende Konnektivität und die integrierten Kommunikations- und Servicefunktionen von Fahrzeugen stellen jedoch hohe Anforderungen an die Security.

Attack Surface Management für präventive Security-Konzepte – Cyberkriminellen die Basis nehmen

Ein geeignetes ASM verschafft Unternehmen einen vollständigen Überblick der erreichbaren Webseiten, Technologien, IT-Systeme, Internetdienste und Portale mit allen erforderlichen technischen Details. Es läuft vollautomatisch und fortlaufend ab, so dass sehr schnell Maßnahmen ergriffen werden können. Dadurch verlieren Cyberkriminelle die Lust, ihre Spurensuche fortzusetzen, da sie keine Angriffsflächen finden.

Mit Deep Learning präventiv statt reaktiv – Warum geben wir uns nur mit Schadensbegrenzung zufrieden?

Die einzige Möglichkeit, mit neuen und sich ständig weiterentwickelnden Cyber­angriffen Schritt zu halten, besteht darin, immer auf dem neuesten Stand der Innovation zu bleiben, sowie proaktiver und weniger reaktiv zu handeln. ­Organisationen sollten in Lösungen investieren, die einen Cyber­angriff abwehren, bevor er stattfindet.

Was ist bei der Auswahl eines MDR-Dienstes zu beachten 

Viele Unternehmen hoffen darauf, für Ihre IT-Sicherheit externe Ressourcen an Bord zu holen. Managed Detection and Response, kurz MDR, ist daher eine relativ neue und immer wichtigere Dienstleistung in der Cybersicherheitsbranche. Doch was kann MDR leisten und worauf ist bei der Auswahl eines Dienstes zu achten? Der Artikel gibt dazu drei Ratschläge und fordert Standards…

Checkliste: Wie cyber-smart bist du?

Cybersicherheit ist ein überwältigendes Thema in der heutigen Zeit. Gerade jetzt, wenn wir einen Großteil unseres Lebens online verbringen. Es gibt aber Tipps und Tricks, wie wir uns »cyber-smart« – also umsichtig und sicher – im Netz bewegen können. Zum Cyber-Security-Awareness-Monat gibt LastPass fünf Schritte an die Hand, die jeder umsetzen kann.   Sichere Passwörter…

Rechenzentrumsplanung und -organisation: Zum Datenschutz gehört die physische RZ-Sicherheit

Ransomware, Cyberangriffe und andere Schadsoftware-Attacken werden oft als DAS Thema bei der IT-Sicherheit verstanden. Jüngst führten aber Naturkatastrophen wie Unfälle, Brände und Hochwasser eine ganz andere Facette und das ganz Elementare vor Augen: IT-Sicherheit beginnt bei der Konzeption, Planung und Bau eines Rechenzentrums.

Probleme beim Umgang mit SaaS

Starkes Wachstum, aber keine einheitlichen Prozesse: SaaS-Management ist in Unternehmen nicht klar definiert. SaaS erobert die Geschäftswelt in rasantem Tempo. In einer aktuellen Studie von LeanIX beschreiben 70 Prozent der befragten internationalen IT-Experten in ihren Unternehmen ein starkes SaaS-Wachstum in den letzten beiden Jahren – bis hin zur Verdopplung der Anwendungen. Eine geeignete Management-Disziplin für…

HTTPS: Neun von zehn Malware-Angriffen erfolgen über gesicherte Verbindungen

Enormer Anstieg bei Malware-, Netzwerk- und Ransomware-Angriffen in Q2 2021. Im jüngsten Internet Security Report von WatchGuard Technologies für das zweite Quartal 2021 spiegelt sich der weltweit anhaltende Trend zu mobilen oder hybriden Arbeitsmodellen aus sicherheitstechnischer Sicht wider. Die Forscher des WatchGuard Threat Lab fanden beispielsweise heraus, dass 91,5 Prozent aller Malware in diesem Zeitraum…

Wie Endanwender zum Opfer von Cyberattacken werden

Hacker richten ihre Angriffe zunehmend auf neue Zielgruppen in Unternehmen. Sicherheitsexperte CyberArk zeigt anhand von drei Beispielen, welche Gefahren Entwicklern, dem mittleren Management und Forschern drohen. Eine Sache, die sich nicht geändert hat, ist die Art und Weise, wie Angreifer vielfach vorgehen: Der Diebstahl von Zugangsdaten mittels Spear-Phishing ist so beliebt wie eh und je.…

NDR: Wie KMUs von Network Detection and Response profitieren

Für kleine und mittelständische Unternehmen, die oft nur über begrenzte Budgets und Ressourcen verfügen, ist es eine Herausforderung, sich im derzeitigen Sturm der Cyberkriminalität zu schützen. Die Bedrohungen entwickeln sich schneller als die vorhandenen Cyber-Sicherheitslösungen, kleine IT-Abteilungen können nicht Schritt halten. Aber eine fortgeschrittene Technologie gegen Cyberkriminalität, die seit Jahren in großen Unternehmen eingesetzt wird,…

Keine Panik nach dem Ransomware-Angriff

Sieben Maßnahmen, die Opfer während oder nach einem erfolgreichen Ransomware-Angriff ergreifen sollten. Die Ransomware-Welle schwappt unverändert über Unternehmen und Behörden hinweg und gefühlt verschärft sich die Sicherheitslage. Die Frage scheint nur noch zu sein: Wann und wie erwischt es einen selbst? Ratgeber, wie man seine Cyberabwehr gegen Ransomware aufstellen sollte, oder Technologien, die eine erfolgreiche…

Jäger des Datenschatzes: Unternehmen im Fokus von Cyberkriminellen

Mit der fortschreitenden Digitalisierung wird sich das Datenaufkommen in der Wirtschaft in Zukunft vervielfachen. Die Gesetzgebung hat daher dafür gesorgt, dass der Datenschutz auch bei digitaler Datenverarbeitung einen hohen Stellenwert genießt. Neben dem Schutz von Betriebsgeheimnissen müssen Unternehmen vor allem der Sicherheit von personenbezogenen Daten hohe Priorität einräumen. Besonders folgenreich können Verstöße gegen die DSGVO…