Subscribe to our Newsletter!
By subscribing to our newsletter, you agree with our privacy terms
Home > IT Monitoring > Network > XDR wird das Hauptmerkmal des SOC der Zukunft sein
Dezember 29, 2021
Die Fähigkeit, sich auf Daten zu konzentrieren, ist nur eine der Schlüsselfertigkeiten, die das SOC der Zukunft benötigt, um effizient und effektiv zu sein. Aber das ist noch nicht alles: Da Angreifer immer komplexere Taktiken, Techniken und Verfahren einsetzen, um herkömmliche Sicherheitskontrollen erfolgreich zu umgehen und auszunutzen, benötigen Unternehmen neue Ansätze. Ziel ist es, eine wachsende Zahl anfälliger digitaler Assets innerhalb und außerhalb des herkömmlichen Netzwerkrands zu schützen sowie proaktive und einheitliche Sicherheitsmaßnahmen zu etablieren. Kurz gesagt: SOCs brauchen eine Plattform, die alle relevanten Sicherheitsdaten intelligent zusammenführt. An dieser Stelle kommt Extended Detection and Response (XDR) ins Spiel.
Frühe Definitionen von XDR beschrieben es als eine Lösung, die auf EDR-Lösungen aufbaut, wobei “X” einfach eine “Erweiterung” oder “nächste Generation” von EDR ist. Heute wird XDR jedoch als ganzheitlicher, architektonischer Ansatz verstanden, der Tools verschiedener Anbieter, Systeme, die an mehreren Anwendungspunkten über Angriffsflächen hinweg schützen, sowie Cloud-basierte und vor Ort installierte Sicherheitstechnologien miteinander verbindet.
XDR ermöglicht es einem Unternehmen, über die typischen Erkennungskontrollen hinauszugehen, indem es eine ganzheitliche und einfachere Sicht auf die Bedrohungen für die gesamte IKT-Infrastruktur ermöglicht. Es bietet Unterstützung für eine breite Palette von Netzwerksicherheitsaufgaben und kann je nach Reifegrad des Sicherheitsteams auch zur Unterstützung spezifischer Anwendungsfälle angepasst werden. Zu diesem Zweck werden verschiedene Datenströme zur Erkennung und Überwachung von Bedrohungen, zur Untersuchung und zur Reaktion auf Sicherheitsvorfälle aufgenommen und destilliert.
Die Herausforderung besteht darin, dass Unternehmen heute mehr als 45 verschiedene Sicherheitstools verwenden, die größtenteils nicht miteinander kommunizieren. Zudem arbeiten viele Teams intern nicht zusammen – eine betriebliche Realität, die es schwierig macht, XDR als eine weitere Lösung in diesem Puzzle zu betrachten. “Wenn wir XDR als eine Lösung definieren, können SOCs ihr Ziel nicht erreichen, weil XDR als Lösung kein ganzheitlicher Ansatz sein kann”, argumentiert Marc Solomon, Chief Marketing Officer bei ThreatQuotient.
Im Gegensatz dazu setzt die Betrachtung von XDR als Architektur voraus, dass ALLE Tools und ALLE Teams zusammenarbeiten. Ebenfalls notwendig: Dass datengesteuerte Sicherheitsansätze zusammen und in Harmonie mit früheren prozessbasierten Ansätzen arbeiten.
Laut Gartner sind die Hauptvorteile von Extended Detection and Response (XDR) folgende:
Das Beratungsunternehmen warnt jedoch: Der Markt befinde sich noch in der Entstehung. Zudem würden Lösungen von verschiedenen Anbietern, Ansätzen und Erfahrungen entwickelt. Laut den Prognosen von Gartner werden bis 2023 mindestens 30 % der EDR- und SIEM-Anbieter angeben, XDR anzubieten – und das obwohl sie noch nicht über grundlegende XDR-Funktionen verfügen.
Laut Gartner werden XDR-Produkte pragmatische Sicherheitsverantwortliche ansprechen, die nicht über die Ressourcen verfügen, um ein großes Portfolio an Best-of-Breed-Sicherheitsprodukten zu integrieren, und/oder die immer noch Schwierigkeiten haben, den vollen Nutzen von SIEM- und SOAR-Tools zu erzielen. Marc Solomon weist jedoch darauf hin, dass SIEM, Netzwerkerkennungs- und Reaktionstools sowie Security-as-a-Service für XDR ebenso wichtig sind wie EDR. Die Integration von diesen und anderen Tools wird für einen echten XDR-Ansatz entscheidend sein.
Derzeit zeichnen sich drei Haupttypen von XDR-Architekturen ab:
Die Anbieter müssen sich auf die Tatsache einstellen, dass nicht alle Unternehmen ohne weiteres alle Tools von einem einzigen Anbieter beziehen werden. Die Bereitschaft, bestehende kurzfristig zu entfernen und zu ersetzen, ist gering. Ganz zu schweigen von der Tatsache, dass aufgrund der kontinuierlichen Innovation, die erforderlich ist, um mit neuen Anwendungsfällen, Bedrohungen und Bedrohungsvektoren Schritt zu halten, immer wieder neue Anbieter und Lösungen auf den Markt kommen werden.
Dieser Ansatz bietet zwar die Möglichkeit, einen führenden Anbieter von grundlegender Erkennungs- und Reaktionstechnologie auszuwählen, birgt aber auch einige Herausforderungen. Integrationen sind für den Aufbau einer XDR-Architektur unerlässlich. Der Anbieter wird sich jedoch wahrscheinlich auf Kosten der Integrationen auf die kontinuierliche Innovation seines Kerntechnologieangebots konzentrieren. Ganz zu schweigen von dem erheblichen Zeitaufwand, der erforderlich ist, um die Tools für die Interoperabilität zu identifizieren und tiefe Integrationen durchzuführen. Nur so kann das Versprechen von XDR eingelöst werden, wenn die Integration nicht zu den Kernkompetenzen gehört.
Jeder dieser Ansätze hat seine Vor- und Nachteile. Wenn Sie XDR jedoch eher als Ziel denn als Lösung betrachten, sollten Sie den Schwerpunkt und die Kernkompetenzen jedes Anbieters, den mit der Umstellung auf XDR verbundenen Aufwand und mögliche Ablenkungen kennen. Nur dann können Sie sicher sein, dass der Anbieter, den Sie auswählen, das XDR-Versprechen einhalten kann, das Ziel der Erkennung und Reaktion in der gesamten Infrastruktur und über alle Angriffsvektoren hinweg zu erreichen.
Dieses Vorgehen empfehlen die Experten von Gartner SRM-Führungskräften, die an einer Verbesserung der Reaktionsfähigkeit auf sicherheitskritische Vorfälle interessiert sind:
Außerdem sollten Sie zwei Komponenten gründlich bewerten, die jede XDR-Lösung bieten muss und die von Gartner als Front-End und Back-End beschrieben werden.
Das Front-End sollte aus drei oder mehr Lösungen oder Sensoren bestehen, darunter unter anderem Endpoint Detection and Response (EDR), Endpoint Protection Platforms (EPP), Netzwerk (Firewalls, Intrusion Detection and Prevention Systems (IDPs), Network Detection and Response (NDR), Identität, E-Mail-Sicherheit, Erkennung mobiler Bedrohungen, Schutz vor Cloud Workloads und Betrug. Ziel ist es, bedrohungsspezifische Lösungen und Reaktionen zu entwickeln, die ein größeres Ganzes ergeben, als die einzelnen Elemente für sich genommen bieten.
Das Back-End sollte Folgendes umfassen:
Um sicherzustellen, dass Ihre Implementierung effektiv ist und Sie den größten Schutz für Ihre Investitionen erhalten, sollten Sie die folgenden Fehler vermeiden.
XDR-Lösungen müssen sich nahtlos in bestehende Lösungen integrieren lassen. Wenn die Integration übermäßige Arbeit oder benutzerdefinierte Plug-ins erfordert, entgehen Ihnen Produktivitätsgewinne. Außerdem müssen Sie wahrscheinlich auf einen Teil der Kontrolle und der Transparenz verzichten, die XDR zu einer Verbesserung gegenüber den Alternativen machen. Wenn sich die von Ihnen gewünschte Plattform nicht gut integrieren lässt, sollten Sie sich nach einer anderen umsehen.
Auch wenn Sie vielleicht nicht alle Funktionen der von Ihnen bevorzugten Plattform erhalten, kann es sich lohnen, eine Integration nicht von Grund auf pflegen oder erstellen zu müssen. Durch die Nutzung der Vorteile einer nativen Integration können Sie eine neue Plattform schnell implementieren und den Schutz sofort verbessern.
Wenn Sie zusätzliche Tools in Ihr XDR-System integrieren möchten, sollten Sie denjenigen den Vorzug geben, die bereits kompatibel sind. Generell sollten Sie Anwendungen, Tools und Dienste meiden, die zusätzlichen Integrationsaufwand erfordern. Denn in diesem Fall kommen zusätzliche Kosten auf Sie zu.
Automatisierung ist ein entscheidender Faktor für die Effizienz von XDR. Die Fähigkeit, Verfolgung, Warnungen und Reaktionen zu automatisieren, reduziert die Arbeitslast der Sicherheitsteams und ermöglicht es ihnen, sich auf übergeordnete Aufgaben zu konzentrieren. Um effektiv zu sein, muss die Automatisierung jedoch über das einfache Sandboxing von Prozessen oder das Blockieren des gesamten Datenverkehrs hinausgehen.
Die gewählte XDR-Plattform sollte idealerweise eine Automatisierung beinhalten, die sich an die aktuellen Systembedingungen anpasst und auf der Grundlage verschiedener Parameter reagiert. So kann z. B. erkannt werden, wenn ein Gerät eine Verbindung zu Ihrem Netzwerk hergestellt hat, und es kann einem früheren Benutzerprofil zugeordnet oder ein temporärer Status zugewiesen werden. Auf diese Weise können Sie unbekannte Geräte genauer überwachen und potenziell bösartige Zugriffe schneller unterbinden.
XDR-Plattformen sollten die Arbeit von Sicherheits- und Reaktionsteams erleichtern. Dies geht über Schnittstellen und Dashboards hinaus und erstreckt sich auch auf Konfigurations- und Wartungsanforderungen. Wenn eine Lösung schwer zu aktualisieren ist oder sich Konfigurationen nicht einfach definieren oder ändern lassen, sinkt ihr Wert.
Wenn eine Plattform aus mehreren Technologien besteht, die nicht nativ miteinander verbunden sind, verwenden Teams weiterhin unterschiedliche Tools. Diese Tools sind wahrscheinlich nicht so effektiv und erfordern außerdem zusätzlichen betrieblichen Aufwand. Stattdessen sollten Sie nach Plattformen Ausschau halten, die native Dienste und Funktionen enthalten, die keine externen Add-ons erfordern.
Je einfacher die Integration von XDR in die bestehende Umgebung ist, desto besser ist die Investition.
September 01, 2023
August 11, 2023
Juli 19, 2023
April 28, 2023
März 21, 2023
Es gibt eine Vielzahl von Netzwerkmonitoring-Tools und -Programmen, darunter sowohl kommerzielle Produkte als auch Open-Source-Lösungen.
Januar 30, 2023
Das moderne Netzwerk von heute muss genauso flexibel sein wie die Technologien, die es unterstützt.
Januar 27, 2023
Für viele Unternehmen ist Cloud Computing heute ein wichtiger Bestandteil ihrer IT-Infrastruktur.
November 25, 2022
Previous
Mehr Transparenz für mehr Sicherheit
Next
Zwei Tage genügen, um in ein Netzwerk einzubrechen