XDR wird das Hauptmerkmal des SOC der Zukunft sein

Die Fähigkeit, sich auf Daten zu konzentrieren, ist nur eine der Schlüsselfertigkeiten, die das SOC der Zukunft benötigt, um effizient und effektiv zu sein. Aber das ist noch nicht alles: Da Angreifer immer komplexere Taktiken, Techniken und Verfahren einsetzen, um herkömmliche Sicherheitskontrollen erfolgreich zu umgehen und auszunutzen, benötigen Unternehmen neue Ansätze. Ziel ist es, eine wachsende Zahl anfälliger digitaler Assets innerhalb und außerhalb des herkömmlichen Netzwerkrands zu schützen sowie proaktive und einheitliche Sicherheitsmaßnahmen zu etablieren. Kurz gesagt: SOCs brauchen eine Plattform, die alle relevanten Sicherheitsdaten intelligent zusammenführt. An dieser Stelle kommt Extended Detection and Response (XDR) ins Spiel.

Frühe Definitionen von XDR beschrieben es als eine Lösung, die auf EDR-Lösungen aufbaut, wobei “X” einfach eine “Erweiterung” oder “nächste Generation” von EDR ist. Heute wird XDR jedoch als ganzheitlicher, architektonischer Ansatz verstanden, der Tools verschiedener Anbieter, Systeme, die an mehreren Anwendungspunkten über Angriffsflächen hinweg schützen, sowie Cloud-basierte und vor Ort installierte Sicherheitstechnologien miteinander verbindet.

XDR ermöglicht es einem Unternehmen, über die typischen Erkennungskontrollen hinauszugehen, indem es eine ganzheitliche und einfachere Sicht auf die Bedrohungen für die gesamte IKT-Infrastruktur ermöglicht. Es bietet Unterstützung für eine breite Palette von Netzwerksicherheitsaufgaben und kann je nach Reifegrad des Sicherheitsteams auch zur Unterstützung spezifischer Anwendungsfälle angepasst werden. Zu diesem Zweck werden verschiedene Datenströme zur Erkennung und Überwachung von Bedrohungen, zur Untersuchung und zur Reaktion auf Sicherheitsvorfälle aufgenommen und destilliert.

Die Herausforderung besteht darin, dass Unternehmen heute mehr als 45 verschiedene Sicherheitstools verwenden, die größtenteils nicht miteinander kommunizieren. Zudem arbeiten viele Teams intern nicht zusammen – eine betriebliche Realität, die es schwierig macht, XDR als eine weitere Lösung in diesem Puzzle zu betrachten. “Wenn wir XDR als eine Lösung definieren, können SOCs ihr Ziel nicht erreichen, weil XDR als Lösung kein ganzheitlicher Ansatz sein kann”, argumentiert Marc Solomon, Chief Marketing Officer bei ThreatQuotient.

Im Gegensatz dazu setzt die Betrachtung von XDR als Architektur voraus, dass ALLE Tools und ALLE Teams zusammenarbeiten. Ebenfalls notwendig: Dass datengesteuerte Sicherheitsansätze zusammen und in Harmonie mit früheren prozessbasierten Ansätzen arbeiten.

Die Vorteile von XDR

Laut Gartner sind die Hauptvorteile von Extended Detection and Response (XDR) folgende:

• Verbesserte Schutz-, Erkennungs- und Reaktionsfähigkeiten;
• Höhere Produktivität des operativen Sicherheitspersonals;
• Geringere Gesamtbetriebskosten für die effektive Erkennung von und Reaktion auf Sicherheitsbedrohungen.

Das Beratungsunternehmen warnt jedoch: Der Markt befinde sich noch in der Entstehung. Zudem würden Lösungen von verschiedenen Anbietern, Ansätzen und Erfahrungen entwickelt. Laut den Prognosen von Gartner werden bis 2023 mindestens 30 % der EDR- und SIEM-Anbieter angeben, XDR anzubieten – und das obwohl sie noch nicht über grundlegende XDR-Funktionen verfügen.

Laut Gartner werden XDR-Produkte pragmatische Sicherheitsverantwortliche ansprechen, die nicht über die Ressourcen verfügen, um ein großes Portfolio an Best-of-Breed-Sicherheitsprodukten zu integrieren, und/oder die immer noch Schwierigkeiten haben, den vollen Nutzen von SIEM- und SOAR-Tools zu erzielen. Marc Solomon weist jedoch darauf hin, dass SIEM, Netzwerkerkennungs- und Reaktionstools sowie Security-as-a-Service für XDR ebenso wichtig sind wie EDR. Die Integration von diesen und anderen Tools wird für einen echten XDR-Ansatz entscheidend sein.

Derzeit zeichnen sich drei Haupttypen von XDR-Architekturen ab:

Die Anbieter müssen sich auf die Tatsache einstellen, dass nicht alle Unternehmen ohne weiteres alle Tools von einem einzigen Anbieter beziehen werden. Die Bereitschaft, bestehende kurzfristig zu entfernen und zu ersetzen, ist gering. Ganz zu schweigen von der Tatsache, dass aufgrund der kontinuierlichen Innovation, die erforderlich ist, um mit neuen Anwendungsfällen, Bedrohungen und Bedrohungsvektoren Schritt zu halten, immer wieder neue Anbieter und Lösungen auf den Markt kommen werden.

Dieser Ansatz bietet zwar die Möglichkeit, einen führenden Anbieter von grundlegender Erkennungs- und Reaktionstechnologie auszuwählen, birgt aber auch einige Herausforderungen. Integrationen sind für den Aufbau einer XDR-Architektur unerlässlich. Der Anbieter wird sich jedoch wahrscheinlich auf Kosten der Integrationen auf die kontinuierliche Innovation seines Kerntechnologieangebots konzentrieren. Ganz zu schweigen von dem erheblichen Zeitaufwand, der erforderlich ist, um die Tools für die Interoperabilität zu identifizieren und tiefe Integrationen durchzuführen. Nur so kann das Versprechen von XDR eingelöst werden, wenn die Integration nicht zu den Kernkompetenzen gehört.

Jeder dieser Ansätze hat seine Vor- und Nachteile. Wenn Sie XDR jedoch eher als Ziel denn als Lösung betrachten, sollten Sie den Schwerpunkt und die Kernkompetenzen jedes Anbieters, den mit der Umstellung auf XDR verbundenen Aufwand und mögliche Ablenkungen kennen. Nur dann können Sie sicher sein, dass der Anbieter, den Sie auswählen, das XDR-Versprechen einhalten kann, das Ziel der Erkennung und Reaktion in der gesamten Infrastruktur und über alle Angriffsvektoren hinweg zu erreichen.

So gelingt der Einstieg

Dieses Vorgehen empfehlen die Experten von Gartner SRM-Führungskräften, die an einer Verbesserung der Reaktionsfähigkeit auf sicherheitskritische Vorfälle interessiert sind:

• Bewerten Sie eine XDR-basierte Anbieterkonsolidierungsstrategie nach ihrer Fähigkeit, die Sicherheitseffektivität und die Produktivität der Sicherheitsabläufe zu verbessern.

• Konzentrieren Sie sich bei den anfänglichen Überlegungen zu XDR-Produkten auf die Erkennung von Bedrohungen und die Reaktion auf Vorfälle mit hohem Sicherheitsaufkommen, wie z. B. Benutzer-Workspace, Cloud-Nutzung, Anwendungs-Workload oder traditionellen Netzwerkschutz.

• Bewerten Sie XDR-Lösungen nach ihrem Gesamtnutzen – und nicht nur nach den einzelnen Komponenten. Weitere zu berücksichtigende Merkmale sind die zugrundeliegende Data-Lake-Basis mit flexibler, kostengünstiger Datenspeicherung, funktionale Orchestrierung und Automatisierung sowie erweiterte Sicherheitsanalysen. Ein zuverlässiger XDR ist mehr als nur eine Reihe von Einzellösungen eines einzigen Anbieters und sollte in der Lage sein, einige der vorhandenen Sicherheitstools durch alternative, effizientere Arbeitsweisen zu ersetzen.

Außerdem sollten Sie zwei Komponenten gründlich bewerten, die jede XDR-Lösung bieten muss und die von Gartner als Front-End und Back-End beschrieben werden.

Das Front-End sollte aus drei oder mehr Lösungen oder Sensoren bestehen, darunter unter anderem Endpoint Detection and Response (EDR), Endpoint Protection Platforms (EPP), Netzwerk (Firewalls, Intrusion Detection and Prevention Systems (IDPs), Network Detection and Response (NDR), Identität, E-Mail-Sicherheit, Erkennung mobiler Bedrohungen, Schutz vor Cloud Workloads und Betrug. Ziel ist es, bedrohungsspezifische Lösungen und Reaktionen zu entwickeln, die ein größeres Ganzes ergeben, als die einzelnen Elemente für sich genommen bieten.

Das Back-End sollte Folgendes umfassen:

• Einheitlicher Richtlinienmechanismus für alle Komponenten.
• Zentralisierte Datenspeicherung (oft als Data Lake bezeichnet) zur Speicherung und Verarbeitung von Telemetriedaten aus der XDR-Komponentenlösung sowie aus einem relevanten Ökosystem anderer Datenquellen;
• Integrationen, in der Regel über API, um bessere Reaktionsmöglichkeiten zu schaffen;
• Erweiterte Analysefunktionen zur Vorverarbeitung und Korrelation hochwertiger Warnmeldungen und zur Reduzierung von Fehlalarmen;
• Fähigkeit zur Durchführung erweiterter Automatisierungs-, Orchestrierungs- und Workflow-Funktionen mit nativer Orchestrierung und Automatisierung von Sicherheitsabläufen und Incident Response-Prozessen.

Um sicherzustellen, dass Ihre Implementierung effektiv ist und Sie den größten Schutz für Ihre Investitionen erhalten, sollten Sie die folgenden Fehler vermeiden.

• Komplexität der Integration

XDR-Lösungen müssen sich nahtlos in bestehende Lösungen integrieren lassen. Wenn die Integration übermäßige Arbeit oder benutzerdefinierte Plug-ins erfordert, entgehen Ihnen Produktivitätsgewinne. Außerdem müssen Sie wahrscheinlich auf einen Teil der Kontrolle und der Transparenz verzichten, die XDR zu einer Verbesserung gegenüber den Alternativen machen. Wenn sich die von Ihnen gewünschte Plattform nicht gut integrieren lässt, sollten Sie sich nach einer anderen umsehen.

Auch wenn Sie vielleicht nicht alle Funktionen der von Ihnen bevorzugten Plattform erhalten, kann es sich lohnen, eine Integration nicht von Grund auf pflegen oder erstellen zu müssen. Durch die Nutzung der Vorteile einer nativen Integration können Sie eine neue Plattform schnell implementieren und den Schutz sofort verbessern.

Wenn Sie zusätzliche Tools in Ihr XDR-System integrieren möchten, sollten Sie denjenigen den Vorzug geben, die bereits kompatibel sind. Generell sollten Sie Anwendungen, Tools und Dienste meiden, die zusätzlichen Integrationsaufwand erfordern. Denn in diesem Fall kommen zusätzliche Kosten auf Sie zu.

• Fehlende Automatisierung

Automatisierung ist ein entscheidender Faktor für die Effizienz von XDR. Die Fähigkeit, Verfolgung, Warnungen und Reaktionen zu automatisieren, reduziert die Arbeitslast der Sicherheitsteams und ermöglicht es ihnen, sich auf übergeordnete Aufgaben zu konzentrieren. Um effektiv zu sein, muss die Automatisierung jedoch über das einfache Sandboxing von Prozessen oder das Blockieren des gesamten Datenverkehrs hinausgehen.

Die gewählte XDR-Plattform sollte idealerweise eine Automatisierung beinhalten, die sich an die aktuellen Systembedingungen anpasst und auf der Grundlage verschiedener Parameter reagiert. So kann z. B. erkannt werden, wenn ein Gerät eine Verbindung zu Ihrem Netzwerk hergestellt hat, und es kann einem früheren Benutzerprofil zugeordnet oder ein temporärer Status zugewiesen werden. Auf diese Weise können Sie unbekannte Geräte genauer überwachen und potenziell bösartige Zugriffe schneller unterbinden.

• Betriebliche Komplexität

XDR-Plattformen sollten die Arbeit von Sicherheits- und Reaktionsteams erleichtern. Dies geht über Schnittstellen und Dashboards hinaus und erstreckt sich auch auf Konfigurations- und Wartungsanforderungen. Wenn eine Lösung schwer zu aktualisieren ist oder sich Konfigurationen nicht einfach definieren oder ändern lassen, sinkt ihr Wert.

Wenn eine Plattform aus mehreren Technologien besteht, die nicht nativ miteinander verbunden sind, verwenden Teams weiterhin unterschiedliche Tools. Diese Tools sind wahrscheinlich nicht so effektiv und erfordern außerdem zusätzlichen betrieblichen Aufwand. Stattdessen sollten Sie nach Plattformen Ausschau halten, die native Dienste und Funktionen enthalten, die keine externen Add-ons erfordern.

Je einfacher die Integration von XDR in die bestehende Umgebung ist, desto besser ist die Investition.