Mit Extended Detection and Response (XDR) die nächste Ebene der IT-Sicherheit erreichen

Aus dieser Ausgangslage heraus haben IT-Securityanbieter Endpoint Detection and Response (EDR) entwickelt. Dieser Ansatz untersucht Endgeräte auf verdächtiges Verhalten und Anomalien und kann bei Verdacht automatisiert reagieren. Beispielsweise werden verdächtige Dateien in Quarantäne gesetzt. Die Sicht bleibt aber punktuell auf die einzelnen Geräte beschränkt. Einen Gesamtüberblick liefert erst eine aufwändige Korrelation in einem SIEM (Security Information an Event Management) oder SOAR (Security Orchestration, Automation and Response) – Systeme, die für sich selbst wieder komplex sind. 

Eine Gesamtsicht auf suspekte Vorgänge in einem Paket bietet aber erst die Weiterentwicklung XDR (Extended Detection and Response). Sie erweitert den EDR-Ansatz auf Netzwerkgeräte und Cloud-Dienste. «Damit können wir Events über den gesamten Ablauf hinweg nachverfolgen und die Zusammenhänge zwischen den einzelnen Schritten erkennen», beschreibt Yannick Schuitemaker, Security Analyst bei Swisscom, den Vorteil von XDR gegenüber EDR.

Das erleichtert die Arbeit der Security-Analysten, erklärt Schuitemaker: «Ohne XDR hatten wir nur eine beschränkte Sicht, beispielsweise anhand der Logfiles eines Proxys. Heute sehen wir direkt die gesamte Kommunikation eines Angreifers.» In Kombination mit der Machine-Learning-gestützten Korrelation von Ereignissen erleichtert XDR die Recherche bei einem Alert. Und ermöglicht es den Security-Fachleuten, schneller und vor allem früher zu reagieren. Mit den Response-Möglichkeiten von XDR lässt sich beispielsweise eine Ransomware-Attacke oftmals stoppen, bevor sich die Angreifer im gesamten Firmennetz ausgebreitet und wichtige Firmendaten verschlüsselt haben.

Damit bietet XDR eine zentrale Plattform für die Analyse und für erste Abwehrschritte bei Cyberangriffen. Dadurch lassen sich unter Umständen mehrere einzelne Tools im Security Operations Center oder sogar ein komplexes SIEM ersetzen. Das vereinfacht nicht nur den Security-Analysten die Arbeit, sondern auch dem CFO: Er kann (Lizenz-) Kosten sparen.

Die automatisierte Korrelation von Alerts über die gesamte Infrastruktur hinweg verringert auch die Anzahl an Meldungen, um die sich die Analysten kümmern müssen. «Das hilft uns, uns vertieft um jede Warnung zu kümmern und die Gefahr einer Alert Fatigue zu verringern», sagt Schuitemaker.

Bei der Erkennung entlastet XDR die Security-Fachleute von Routinearbeiten. Und spielt den Vorteil einer Cloud-Plattform aus: Bekannte Angriffe erkennt XDR von Haus aus, und neue Erkennungsmuster stehen allen Nutzenden zur Verfügung. «Das steigert die Qualität der Angriffserkennung und spart uns gleichzeitig Arbeit», beschreibt Schuitemaker den Nutzen dieses Ansatzes. «Wir können unser Fachwissen für Spezialfälle einsetzen, statt uns um Routinearbeiten kümmern zu müssen.»

XDR entlastet also die – raren – Cybersecurity-Fachleute. Ersetzt werden sie aber nicht. «Im Zweifelsfall entscheidet immer noch der Mensch über Response-Massnahmen», sagt Schuitemaker. «Denn jede Infrastruktur ist anders.» Die menschliche Reaktion ist entscheidend, um im Graubereich von Anomalien richtig zu handeln und Cyberangriffe von ungewöhnlichem, aber gewolltem Verhalten zu unterscheiden.

Weil Extended Detection and Response aber Cyberattacken über die gesamte Infrastruktur hinweg erkennen und Abwehrschritte einleiten kann, sparen sich die Fachleute viel mühsame Kleinarbeit. Das setzt Ressourcen frei für die eigentliche Abwehr und bringt gleichzeitig den Abwehrschutz von Unternehmen, die sogenannte Security Posture, auf die nächste Ebene.