Extended Detection and Response (XDR)
Rapid7: Kein XDR ohne Externe Threat Intelligence
Von Georgeta Toth, Regional Director Central Europe bei Rapid7
XDR ist in aller Munde. Das angesagte Akronym steht für Extended Detection and Response (XDR) und damit für eine Cloud-native, cloudbasierte Lösung, die mehrere Sicherheits-Telemetrie-Quellen vereinheitlicht und umwandelt, um eine umfassendere Erkennung und Reaktion auf Bedrohungen zu beschleunigen. Dies bedeutet, dass Security Teams schnell und auf der Grundlage präziserer Erkenntnisse handeln können, um Bedrohungen zu finden und abzuwehren.
Da die Angriffsflächen immer größer werden, stehen die Chancen für Angreifer immer besser. Daher ist es naheliegend, die Erkennungs- und Reaktionsmöglichkeiten zu erweitern, um proaktiver, umfassender und präskriptiver zu werden – um Bedrohungen früher zu erkennen und schneller zu reagieren bzw. Abhilfe zu schaffen.
Moderne XDR-Lösungen sind Cloud-nativ und legen den Schwerpunkt auf zuverlässige, sofort einsatzbereite Erkennung und Automatisierung, um echte Bedrohungen schneller zu finden und ihnen zu begegnen. Dies erfordert allerdings, auch externe Threat Intelligence in die Abwehrsysteme zu integrieren, um externe Bedrohungen zu erkennen, die ganz spezifisch auf das eigene Unternehmen abzielen. Neben die automatisierte Bedrohungsanalyse tritt hier die manuelle Recherche und Einschätzung durch ein Expertenteam, das alle Web-Assets des Unternehmens wie Domains, Subdomains, Applikationen etc. im Web im Auge hat und in den dunklen Bereichen des Internets nach Hinweisen auf konkrete Gefährdungen sucht. Damit ist das Unternehmen nicht mehr darauf beschränkt, sich gegen abstrakte Angriffsmöglichkeiten zu wappnen, sondern erfährt frühzeitig von konkreten Angriffsvorbereitungen.
Dazu korreliert XDR automatisiert und manuell gesammelte Daten aus verschiedenen Quellen, um Bedrohungen entlang der gesamten Angriffskette zu erkennen. Diese Daten werden analysiert und in eine zentralisierte, zusammenhängende Darstellung von Vorfällen umgewandelt. XDR stellt Playbooks zur Verfügung, um die Reaktion auf Bedrohungen in Kombination mit Automatisierung zu steuern. Dies führt zu kürzeren mittleren Erkennungs- und Reaktionszeiten (MTTD bzw. MTTR), was wiederum die Effizienz der SecOps erhöht als auch die finanziellen Auswirkungen eines Angriffs deutlich reduzieren kann. Die Einbindung manueller Recherchen kann sich hier als sehr effektiv erweisen, denn die meisten Angriffe mit erheblichen Schäden werden nicht spontan ausgeführt, sondern im Laufe der Zeit entwickelt. Und nicht selten finden sich schon vor der finalen Attacke Spuren und Hinweise in Dark-Web-Foren.
Spezifische externe Bedrohungsdaten können zudem bei der Einhaltung von Compliance-Richtlinien wie etwa der DSGVO unterstützen und damit potentiell horrende Geldbußen vermeiden. Eine Erkennung von gezielten Angriffen schon während der Planungsphase gibt dem Unternehmen die Möglichkeit, ebenso gezielte Abwehrmaßnahmen zu ergreifen und durch den Einsatz von Deception-Technologien noch weitere Einzelheiten über die Taktik der Angreifer herauszufinden.
Kommt es letztlich doch zu einem Verstoß, hat man zumindest den Aufsichtsbehörden nachgewiesen, dass man alles in der Macht des Unternehmens Liegende getan hat, um ihn zu verhindern.
Vergleich zwischen XDR und SIEM
Herkömmliche SIEM-Angebote (Security Information and Event Management) konzentrieren sich weitgehend auf die Sammlung von Daten und Protokollen, die Erstellung von Dashboards und die Erstellung von Berichten, die für die Einhaltung von Vorschriften, die Überwachung und forensische Aktivitäten wichtig sind. Dies ist eine Teilmenge des Umfangs von XDR, da der eigentliche Schwerpunkt eines SIEM in der Konsolidierung und Vereinheitlichung von Sicherheits-Telemetrie in einem einzigen Knotenpunkt für umfassende Bedrohungserkennung und -reaktion liegt.
Bei einem herkömmlichen SIEM müssen die Analysten relevante Sicherheitstelemetrie sammeln, Ergebnisse korrelieren, Bedrohungen validieren und Abhilfe schaffen. XDR konzentriert sich auf Effizienz und Produktivität bei jedem Schritt, beschleunigt die Reaktion auf Vorfälle und schafft Platz im Arbeitstag der Analysten. Dabei geht XDR geht über die Verwaltung und Analyse von SIEM-Protokollen hinaus, um Bedrohungen aus einer Vielzahl von Telemetrie-Quellen und Bedrohungsfeeds zu identifizieren.
Fazit: Verbessertes Signal-Rausch-Verhältnis
Angesichts des wachsenden Datenvolumens, das verwaltet und untersucht werden muss, bieten SIEM-Lösungen den Analysten nicht den gesamten Kontext, den sie benötigen, um die wachsende Anzahl von Warnungen zu priorisieren. XDR trennt das Signal vom Rauschen, leitet den Kontext ab und sorgt letztlich für eine Rationalisierung und das Aufzeigen von Problemen, die sofortige Aufmerksamkeit und Reaktion erfordern.