Als Sicherheitskonzept dient Extended Detection and Response \u2013 oder kurz: XDR \u2013 der erweiterten Erkennung sowie Abwehr m\u00f6glicher Sicherheitsbedrohungen in der gesamten IT-Infrastruktur von Unternehmen. Im heutigen Beitrag zeigen wir auf, wie sich XDR von EDR unterscheidet und welche Vorteile mit diesem Sicherheitskonzept einhergehen. Au\u00dferdem berichten wir \u00fcber die XDR-L\u00f6sung von Cybereason und Google. Lesen\u00a0 Sie in unserem Beitrag zudem, wie XDR die Sicherheitslage in Organisationen in Zukunft ver\u00e4ndern k\u00f6nnte.<\/p>\n
XDR steht f\u00fcr Extended Detection and Response, was sich mit \u201eerweiterter Erkennung und Reaktion\u201c \u00fcbersetzen l\u00e4sst. Dahinter verbirgt sich ein noch recht junges Sicherheitskonzept: Ein konzeptioneller sowie technischer Ansatz, der das Erkennen und Abwehren m\u00f6glicher Sicherheitsbedrohungen erm\u00f6glicht \u2013 und zwar \u00fcber die gesamte IT-Infrastruktur von Unternehmen. Gepr\u00e4gt wurde der Begriff XDR von Palo Alto Networks, einem US-amerikanischen Sicherheitsanbieter, und dem Analysten-Team von Gartner.<\/p>\n
Durch XDR gelingt es, Daten automatisiert und zum Teil KI-gest\u00fctzt auf verschiedenen Sicherheitsebenen \u2013 etwa Server, E-Mail, Endpoint, Cloud-Workload oder Netzwerk \u2013 zu erfassen und zu korrelieren. Das automatisierte Analysieren dieser Datenmengen erm\u00f6glicht es, Bedrohungen schneller zu erkennen, sodass Unternehmen in die Lage versetzt werden, schneller handeln zu k\u00f6nnen.<\/p>\n
Hei\u00dft: Anders als bei vorangegangenen Sicherheitskonzepten wie Endpoint Detection and Response (EDR) liegt der Fokus nicht bei der Gefahrenerkennung und \u2013abwehr von Endger\u00e4ten. S\u00e4mtliche IT-Schichten werden einbezogenen, sodass das Sicherheitsmanagement an Einheitlichkeit und Transparenz gewinnt. Dies wird im direkten Vergleich zu EDR deutlich:<\/p>\n
EDR ist als Einzelvektor-basierte Punktl\u00f6sung zu betrachten: Wenngleich umfassende Funktionen \u00fcberzeugen k\u00f6nnen, schr\u00e4nkt EDR das Erkennen ein, da Bedrohungen ausschlie\u00dflich innerhalb gemanagter Endpunkte erkennbar sind. W\u00e4hrend EDR die Sicherheit der unternehmensweiten IT-Infrastruktur in Teilbereichen erfasst, wird mit XDR ganzheitlich betrachtet: XDR-Systeme sammeln, korrelieren und analysieren Daten aus Einzelkomponenten komplett. Die so erhaltenen Informationen k\u00f6nnen sowohl f\u00fcr automatisierte als auch f\u00fcr manuelle Ma\u00dfnahmen zur Gefahrenabwehr genutzt werden. Damit zeigt sich XDR nicht ausschlie\u00dflich reaktiv; proaktives Handeln ist ebenfalls m\u00f6glich.<\/p>\n
Security Dashboards liefern einen z\u00fcgigen \u00dcberblick zur unternehmensweiten Sicherheits- bzw. Gefahrenlage. XDR verfolgt das Ziel, das Sicherheitsniveau der IT-Infrastruktur weiter anzuheben und Sch\u00e4den m\u00f6glichst zu verhindern. Letztlich l\u00e4sst sich XDR als Erweiterung von EDR verstehen. Zwar erlaubt EDR, das Verhalten von Endpunkten aufzuzeichnen und zu analysieren \u2013 womit das EDR-Konzept schon mehr kann als einfache Antiviren-L\u00f6sungen. Endpoint Detection and Response analysiert Gefahren aufgrund von verd\u00e4chtigem Verhalten jedoch nur an Endpoints.<\/p>\n
XDR geht weiter: S\u00e4mtliche Systeme, Layer sowie Komponenten werden in die Gefahrenanalyse und \u2013abwehr einbezogen. Zur Bedrohungsanalyse und f\u00fcr die automatisierten Reaktionen wird auf Machine Learning- (ML) und K\u00fcnstliche Intelligenz-Verfahren (KI) gesetzt. Was KI f\u00fcr die Cybersecurity tun kann, haben wir bereits im Beitrag \u201eK\u00fcnstliche Intelligenz & Cybersecurity: Fluch und Segen zugleich\u201c<\/a> erl\u00e4utert.<\/p>\n Organisationen, in denen ein Security Operations Center (SOC) vorhanden ist oder die auf das SIEM-Konzept (Security Information and Event Management) setzen, finden in XDR zwar keinen Ersatz, jedoch wertvolle Erg\u00e4nzung.<\/p>\n Der gr\u00f6\u00dfte Vorteil von Extended Detection and Response liegt auf der Hand: Die ganzheitliche Betrachtung bezieht s\u00e4mtliche Systeme, Layer und Komponenten der IT-Infrastruktur einer Organisation mit ein. Das erh\u00f6ht die Sichtbarkeit m\u00f6glicher Gefahren und damit die Cybersicherheit. Anders als bei EDR ist die Sicht nicht auf Teilbereiche eingeschr\u00e4nkt, sondern ein umfassendes Bild der Sicherheitslage entsteht durch XDR.<\/p>\n Diese ganzheitliche Betrachtung verbessert die Optionen, im Fall der F\u00e4lle proaktiv und automatisiert mit priorisierten Ma\u00dfnahmen reagieren zu k\u00f6nnen. Das IT-Sicherheitsteam im Unternehmen kann also effizienter und zielgerichteter arbeiten. Au\u00dferdem wird das Management der IT-Sicherheit zentralisiert, was es produktiver werden l\u00e4sst. Da KI und Expertenanalysen bei XDR zusammenkommen, werden zwar weniger, jedoch kontextreichere Warnungen an das Sicherheitsteam gesendet. Damit spart XDR die Zeit, die notwendig ist, Warnungen und Protokolle zu bewerten und dann entscheiden zu k\u00f6nnen, welche Ma\u00dfnahmen wo erforderlich sind.<\/p>\n Weil sich logische Verkn\u00fcpfungen zwischen den Daten herstellen lassen, erm\u00f6glicht XDR aufschlussreichere Untersuchungen. Von optimierten Workflows und deutlich mehr M\u00f6glichkeiten profitieren Sicherheitsteams au\u00dferdem. Dank m\u00f6glicher SOC- und SIEM-Integration wird Analysten erm\u00f6glicht, Erkenntnisse aus XDR mit breiteren Sicherheits\u00f6kosystemen zu kombinieren. Integrierte Optionen erm\u00f6glichen z\u00fcgige Reaktionen auf etwaige Zwischenf\u00e4lle.<\/p>\n \u201eCybereason XDR powered by Google Cloud\u201c<\/a> nennt sich die aktuelle XDR-L\u00f6sung aus dem Hause Cybereason und Google, die Cybereason im Dezember 2021 vorstellte<\/a>. Unternehmen sollen mit dieser XDR-L\u00f6sung bef\u00e4higt werden, Cyberangriffe vorherzusagen bzw. diese zu erkennen und darauf zu reagieren. Die L\u00f6sung arbeitet KI-basiert und kombiniert Googles Cloud Chronicle mit der Cybereason-Visualisierungsplattform MalOp. Nutzende k\u00f6nnen \u00fcber MalOp den kompletten Angriffsverlauf nachvollziehen und dementsprechende Ma\u00dfnahmen einleiten. Dar\u00fcber hinaus erm\u00f6glicht es Chronicle, Vorfallsinformationen mit vergangenen Daten abgleichen zu k\u00f6nnen, sodass Bedrohungen in den Systemen gefunden werden k\u00f6nnen.<\/p>\n Die XDR-L\u00f6sung setzt Kontexte und Informationen bisheriger Sicherheitsvorf\u00e4lle in Korrelation miteinander. Dadurch ist sie in der Lage, schon kleinste Anzeichen schadhaften Verhaltens erkennen zu k\u00f6nnen. So gelingt es, die zu erwartenden Schritte bei einem Angriff vorauszusagen. Unternehmen werden dadurch in die Lage versetzt, Angriffe vorhersehen und bereits im Voraus verhindern zu k\u00f6nnen.<\/p>\n Mit KI und Expertenanalysen angereichert, kann XDR deutlich mehr als sein Vorg\u00e4nger EDR: XDR betrachtet die Sicherheitslage von Organisationen ganzheitlich und richtet den Fokus nicht nur auf Endpunkte. Die Vorteile von Extended Detection and Response sind deutlich sichtbar und sorgen insgesamt daf\u00fcr, dass Sicherheitsteams Bedrohungen schneller auf die Spur kommen und dadurch effizienter Sicherheitsvorf\u00e4lle verhindern. Es ist anzunehmen, dass sich XDR aufgrund dieser Vorteile in den kommenden Jahren weiterentwickeln und immer mehr etablieren wird.<\/p>\nWelche Vorteile gehen mit XDR einher?<\/h3>\n
XDR-L\u00f6sung von Cybereason und Google<\/h3>\n
XDR: Der erweiterten Erkennung geh\u00f6rt die Zukunft<\/h2>\n