Was XDR-Lösungen leisten müssen – Partner against Cybercrime

XDR ist ein strategischer Cybersicherheitsansatz, der bislang voneinander getrennte Produkte, Daten und Prozesse zusammenführt, damit Sicherheitsteams raffinierte Bedrohungen besser erkennen und schneller darauf reagieren können.

Nicht nur die IT-Infrastruktur von Unternehmen wird aufgrund von Homeoffice und Work from Anywhere immer komplexer und bietet unter anderem dadurch eine vergrößerte Angriffsfläche, auch die Cyberangriffe selbst entwickeln sich in ihrer Komplexität immer weiter. Schneller, raffinierter und effizienter scheint die Devise zu lauten.

Unzählige hochmotivierte Angreifer operieren täglich weltweit, immer auf der Suche nach neuen potenziellen Opfern, die sie beispielsweise erpressen oder um ihr Wissen bestehlen können. So identifizierte die Threat Hunter von OverWatch allein im vergangenen Jahr global mehr als 77.000 potenzielle Eindringlinge und stoppten damit alle sieben Minuten einen Angriff [1]. Traditionelle Präventionsmaßnahmen, wie Firewalls oder signaturbasierte Antivirensoftware sind den modernen Angriffsszenarien und den immer komplexeren IT-Infrastrukturen nicht mehr gewachsen, weswegen Cloud-native und KI-gestützte Sicherheitslösungen bei Unternehmen ganz oben auf der Prioritätenliste stehen sollten.

XDR – mehr als nur ein Buzzword. Eine moderne, resiliente Cybersicherheitslösung muss eine umfassende Visibilität liefern, die Sicherheitsteams in die Lage versetzt, in Echtzeit auch auf fortschrittliche Angreifer reagieren zu können, und das auch in hybriden IT-Umgebungen. Denn eine der größten Herausforderungen der heutigen IT-Security ist es, den Überblick zu behalten und zu wissen, was, wann, wo passiert. Um Sicherheitsverletzungen jeder Art in der gesamten IT-Infrastruktur verhindern zu können, spielen neue Technologiekonzepte wie eXtended Detection and Response (XDR) in der heutigen Zeit eine zentrale Rolle. XDR ist der nächste Schritt zur bedrohungsorientierten Erkennung und Prävention von Sicherheitsvorfällen und verknüpft wichtige Domänen der Security-Infrastruktur mit Verhaltensanalysen und Automatisierung zu einem einheitlichen System.

Diese ganzheitliche XDR-Plattform erleichtert es Sicherheitsteams, Angriffe frühzeitig zu erkennen und abzuwehren, bevor überhaupt ein Schaden entsteht. Denn XDR wurde entwickelt, um die gesamte Infrastruktur zu schützen, inklusive Netzwerke, Identitäten, Cloud-Workloads, Server, E-Mails usw. Zentrales Merkmal einer XDR-Technologie: Sie ist in der Lage, alle eingehenden Datensätze aus den unterschiedlichsten Quellen zu normalisieren und in einem einheitlichen Schema darzustellen oder vereinfacht auf einen Nenner, das heißt eine gemeinsame Sprache, zu bringen, sodass diese dann kontextualisiert, verarbeitet und korreliert werden können.

Bei spezifischen Vorfällen kann das Sicherheitsteam auf alle für die Analyse notwendigen Daten zurückgreifen, unabhängig von der Art der Daten, um Anomalien gezielt untersuchen und gegebenenfalls Gegenmaßnahmen einleiten zu können. Dadurch werden nicht nur unnötige Datenfluten vermieden und eine Konzentration auf die essenziellen Datenmengen ermöglicht, sondern XDR auch trennscharf von SIEM-Lösungen abgegrenzt. Eine echte XDR-Lösung muss daher der Herausforderung gewachsen sein, enorme und ständig wachsende Mengen an Ereignis- und Protokolldaten zu operationalisieren, damit Organisationen strukturierte und unstrukturierte Daten in ihrer Umgebung sammeln, beobachten, analysieren und entsprechend handeln können. Mit XDR werden so isolierte Sicherheitstools koordiniert und ihr Mehrwert gesteigert, da die Sicherheitsanalyse, die Untersuchung und die Behebung in einer zentralen Konsole einheitlich zusammengefasst und optimiert werden. Folglich trägt XDR zur erheblichen Verbesserung der Einblicke in Bedrohungen, Beschleunigung von Sicherheitsabläufen und Senkung der Gesamtbetriebskosten bei. Zudem wird die ständige Belastung der Sicherheitsteams verringert.

Eine Allianz, die neue Maßstäbe setzt. Um das volle Potenzial von XDR auszuschöpfen und den Bedrohungsakteuren von heute gemeinschaftlich die Stirn zu bieten, hat CrowdStrike im Jahr 2021 die CrowdXDR Alliance ins Leben gerufen. Die CrowdXDR Alliance schafft mit wegweisenden Partnern ein einzigartiges Technologie-Ökosystem, das branchenführende Sicherheits- und IT-Lösungen zusammenführt mit dem Ziel EDR-Daten mit den relevantesten anbieterspezifischen Sicherheitstelemetrien anzureichern, um die Erkennung und Reaktion über einen integrierten Security-Stack zu erweitern. Eine weitere Besonderheit der CrowdXDR Alliance: Die gemeinsame Arbeit an einer standardisierten XDR-Sprache, die den Datenaustausch zwischen den Sicherheitstools und -prozessen erleichtert – ein Novum in der Branche. Damit überwindet die CrowdXDR Alliance den traditionellen Mangel an Standards für die gemeinsame Nutzung von Daten über Sicherheitsplattformen hinweg, der zu Lücken bei Untersuchungen und der Suche nach Bedrohungen führen kann.

Die Stärke der CrowdXDR Alliance liegt in der Bereitschaft aller Partner, offene und einheitliche Daten technologieübergreifend auszutauschen, die EDR-Daten weiter anzureichern und die Lücken in bestehenden Legacy- und Next-Gen-Tools in den Bereichen Untersuchung, Threat Hunting und Reaktionsmöglichkeiten zu schließen. Damit ist die einheitliche und offene Koalition ein weiterer wichtiger Schritt, um sich den Herausforderungen der sich stetig und schnell wachsenden, komplexen Bedrohungslandschaft erfolgreich zu stellen.

Praktische XDR-Checkliste für Unternehmen. XDR ist wesentlich mehr als nur ein Marketing-Schlagwort, sondern ein strategischer Cybersicherheitsansatz, der bislang voneinander getrennte Produkte, Daten und Prozesse zusammenführt, damit Sicherheitsteams raffinierte Bedrohungen besser erkennen und schneller darauf reagieren können. Für Unternehmen ist es daher umso wichtiger zu verstehen, was eine XDR-Lösung leisten muss, um nicht auf falsche Angebote hereinzufallen. Wichtig ist daher zunächst, dass Entscheider nie das Ziel ihrer Sicherheitsstrategie aus den Augen verlieren: Sicherheitsverletzungen jeder Art zu verhindern. Und das zu jedem Zeitpunkt und egal, wie sich die IT-Umgebungen oder die Bedrohungen zukünftig entwickeln. Darüber hinaus sollten Unternehmen folgende XDR-Checkliste im Hinterkopf behalten:

  • Verfügt die Lösung über native EDR-Funktionen, denn ein gutes XDR steht und fällt mit der Qualität der Signale?
  • Stehen einheitliche Bedrohungsinformationen (Threat Intelligence) und -analysen für zuverlässige Erkennung und vereinfachte Reaktionen zur Verfügung?
  • Gibt es automatisierte Erkennung für alle IT-Umgebungen, Identitäten, Cloud-Workloads, Netzwerke, E-Mails und Endgeräte, um die Zeit für die Triagierung zu verkürzen und die Reaktion zu beschleunigen?
  • Stehen cloudbasierte Integrationen zur Verfügung, mit denen Erkennungen und Ereignisse aus mehreren internen und externen Datenquellen erfasst und grafisch dargestellt werden können?
  • Erlaubt der XDR-Ansatz das proaktive Threat Hunting mittels der gesammelten Telemetrie und bietet darauf aufbauend die Erstellung von maßgeschneiderten, toolübergreifenden Erkennungslogiken?
  • Ist die Orchestrierung und Erstellung von Playbooks zur Automatisierung ein integraler Bestandteil?
  • Gibt es einen API-first-Ansatz und eine strategische Partner-Allianz mit branchenführenden Lösungsanbietern?

Erst wenn eine Lösung all dies leisten kann, wird sie von Sicherheitsexperten als XDR-Lösung bezeichnet.

 


Aris Koios,
Technology Strategist (Central Europe)
bei CrowdStrike

 

[1] https://www.crowdstrike.com/resources/reports/overwatch-threat-hunting-report/

 

Illustration: © Arif_Vector/shutterstock.com