XDR

ML-basierte XDR-Lösungen: Das Schweizer Messer der IT-Sicherheit

ML-basierte XDR-Lösungen: Das Schweizer Messer der IT-Sicherheit

Mehr als nur grundlegender Schutz

Wenn man die Wahl hätte zwischen einem hochwertigen einfachen Messer für den täglichen Gebrauch und einem Schweizer Taschenmesser, welches wäre der Favorit? Die meisten Menschen würden sich für Letzteres entscheiden, weil es mehr kann. Wie ein einfaches Messer verfügt das Schweizer Taschenmesser über eine Hauptklinge für allgemeine Aufgaben, aber es hat auch eine Reihe anderer Werkzeuge, die in vielen Situationen nützlich sind. Ebenso bietet XDR (Extended Detection and Response) dieselben Funktionen wie EDR (Endpoint Detection and Response), darüber hinaus aber noch viele weitere.

Zurzeit stehen viele Behörden vor einer ähnlichen Entscheidung, um eine passende Cybersicherheitslösung evaluieren, die mehr als nur grundlegenden Schutz verspricht. Genauer gesagt, versuchen sie zu entscheiden, ob sie eine EDR-Lösung oder eine XDR-Plattform implementieren sollen. Letztere kombiniert EDR zusätzlich mit Anti-Viren-Funktion, NDR (Network Detection and Response), Analyse des Benutzerverhaltens sowie vielen anderen Fähigkeiten und Funktionen in einem einzigen System. Die Plattform nutzt künstliche Intelligenz (KI) und maschinelles Lernen (ML), um Ereignisse auf Endgeräten, in Netzwerken und in der Cloud zu korrelieren und dadurch Sicherheitsteams einen Überblick über die ganze Umgebung zu verschaffen.

Mittels einer XDR-Plattform ist es möglich, Sicherheitsteams einen ganzheitlichen Überblick über Netzwerke, Cloud-Workloads und Server zu liefern. Hinzukommen Sicherheitsinformationen, das Management von Sicherheitsvorfällen sowie andere Elemente. Die Plattform sammelt und korreliert auch Daten über mehrere Endpunkte hinweg. EDR überwacht zwar Endpunkte und ist fortschrittlicher als herkömmliche Endpunktlösungen, bietet aber keinen Überblick über die gesamte IT-Umgebung des Unternehmens, um Sicherheitsteams bei der Erkennung umfassenderer und komplexerer Angriffe zu unterstützen.

Schrittweise in Richtung Zero Trust

Generell benötigen Behörden eine Lösung für die Sichtbarkeit von Bedrohungen, die Erkennung und die Reaktionsfähigkeit, also Funktionen und Tools zur Verbesserung ihrer Sicherheitslage. Für die Überwachung und Kontrolle von Endgeräten im Bereich der Cybersicherheit hat sich dabei EDR etabliert. Viele Behörden nutzen bereits eine Art von EDR-Lösung. XDR – als eine Weiterentwicklung von EDR – ist noch relativ neu, und der Mehrwert ist vielen IT-Entscheidern noch nicht bewusst.

Zugleich steigen aber die Sicherheitsanforderungen. So hat das Bundesinnenministerium vor dem Hintergrund der sich verschärfenden Bedrohungslage im Sommer das Ziel vermeldet, „schrittweise in Richtung Zero Trust“ zu gehen. Um eine Zero-Trust-Architektur durchzusetzen, müssen die Behörden die Sicherheitslage aller ihrer autorisierten Geräte überwachen und bewerten. Angesichts der zunehmenden Nutzung von Cloud-Diensten im öffentlichen Sektor wachsen natürlich auch ihre Assets und verteilen sich immer mehr über das Internet. Die Behörden müssen daher wissen, welche IT-Ressourcen sie nutzen und wo sie verwundbar sind, ob intern oder in der Cloud. Ziel ist es, die Sicherheit ihrer Endgeräte, Server und anderer wichtiger technischer Assets erfolgreich zu überwachen und zu verbessern.

Unterstützung durch KI/ML erforderlich

Führt eine Behörde ein Zero-Trust-Modell ein, verpflichtet sie sich zu einem ganzheitlichen Ansatz, um jede Interaktion in ihrer IT-Umgebung in Bezug auf Benutzer, Anwendungen und Infrastruktur zu schützen. Wenn sie sich bei der Erkennung und Reaktion nur auf die Endpunkte konzentriert, sehen die Sicherheitsverantwortlichen nicht das gesamte Bild der Risiken und Bedrohungen, einschließlich derer, die mit Cloud-Anwendungen sowie verwalteten und nicht verwalteten Hosts verbunden sind. Um diese Anforderungen zu erfüllen und die Umsetzung des Zero-Trust-Modells voranzutreiben, ist Unterstützung durch KI/ML erforderlich.

Wird eine Behörde mit einem störenden und potenziell schädlichen Sicherheitsvorfall konfrontiert, sollte sie nicht nur grundlegende, sondern erweiterte Reaktionsmöglichkeiten auf dem neuesten Stand der Technik zur Hand haben. Entscheidend ist die Sichtbarkeit der Umgebung über die Endpunkte hinaus, um Benutzer, Systeme und Daten besser schützen zu können und mittels verhaltensbasierter Analyse Angriffe zu verhindern.