Unterschiede zwischen nativ einheitlichen und API-basierten XDR-Plattformen

Die Begriffe „vereinheitlicht“ und „integriert“ werden in der IT-Welt häufig synonym verwendet. Trotzdem gibt es zwischen nativ einheitlichen und API-basierten Integrationsplattformen Unterschiede, die IT-Verantwortliche kennen sollten. Denn diese haben Auswirkungen in vielerlei Hinsicht – von damit einhergehenden Kosten bis hin zu Effizienzaspekten. Im ersten Schritt ist es wichtig, die Definition der Begrifflichkeiten klar herauszuarbeiten.

• API-basiert: Beim Aufbau integrierter XDR-Plattformen sind in der Regel mehrere Anbieter im Boot. Hierbei handelt es sich um eine Kombination verschiedener Sicherheitslösungen, die logischerweise alle von separaten Teams anhand von unterschiedlichen Kriterien entwickelt wurden. An gemeinsamen Datenstrukturen oder aufeinander abgestimmten Funktionen mangelt es, Architektur und Design der einzelnen Hersteller weichen meist deutlich voreinander ab. Die Integration der verschiedenen Lösungen erfolgt via API (Application Programming Interface, Programmierschnittstelle). Der typische Nachteil: Die auf diese Weise entstehenden Plattformen enthalten völlig verschiedene Daten mit mehreren eigenständigen Datenbanken, was einem reibungslosen Zusammenspiel mit weiteren Technologien ebenfalls im Wege steht.
• Nativ einheitlich: Solche Plattformen werden von einem Anbieter entwickelt, der Zugriff auf den Quellcode aller Sicherheitsbausteine hat. Es liegt eine gemeinsame Datenstruktur zugrunde. Dies ermöglicht eine weitaus tiefere Integration der Sicherheitskontrollen und den Aufbau einer Plattform auf Basis einer einheitlichen Datenbank mit synergetischen Effekten, die sich auf andere Weise überhaupt nicht erzielen lassen.

Nachdem die grundsätzlichen Unterschiede nun klar sind, soll noch einmal deutlicher herausgearbeitet werden, warum ein nativ einheitliches XDR-Konzept gegenüber einem API-basierten Konstrukt häufig die Nase vorn hat.

Tiefgang: Einheitlichkeit im Hinblick auf Daten, Protokolle und Telemetrie liefert das Fundament für eine verlässliche Gefahrenerkennung und -abwehr, deren Effektivität über die Zeit weiterwächst. Die Wirkung eines API-basierten Ansatzes ohne einheitliche Datenstruktur ist demgegenüber weitaus oberflächlicher.

Anfälligkeit gegenüber API-Versionierung: Im Hinblick auf die mittel- bis langfristige Nachhaltigkeit ist ein API-basiertes XDR-Konzept deutlich risikobehafteter. Sollten einzelne Anbieter Änderungen an ihren Programmierschnittstellen vornehmen, sind im Zuge der Nutzung neuer und vorhandener Funktionen möglicherweise immer wieder Aktualisierungsläufe erforderlich. Es besteht die Gefahr von Integrations- und Kompatibilitätsproblemen, die Sicherheitsteams zusätzlich belasten.

Mangel an Integrationsstandards: Selbst auf kurze Sicht sind XDR-Implementierungen aufgrund fehlender API-Standards in hohem Maße vom Vorgehen einzelner Anbieter hinsichtlich der Einbindung von Sicherheitskontrollen abhängig. Die Konsistenz des Datenabrufs und der Reaktionsmechanismen ist grundsätzlich nicht gewährleistet. Die Implementierung eines einheitlichen und umfassenden domänen- sowie anbieterübergreifenden Security-Modells gestaltet sich somit schwieriger.

Fehlende Flexibilität, um sich mit der gleichen Geschwindigkeit wie die Bedrohungsakteure weiterzuentwickeln: Angriffsszenarien entwickeln sich kontinuierlich weiter und Cyberkriminelle finden immer wieder neue Schlupflöcher. Das Identifizieren der erweiterten Angriffstechniken erfordert auch immer wieder neue Aktivitätssensoren, die neue Arten von Telemetrie und Daten sammeln und deren Analyse automatisieren. Es handelt sich um eine sehr proaktive und dynamische Aufgabe, welche die Überwachung neuer Verhaltensweisen, das Erfassen neuer Telemetriedaten und die Implementierung einschlägiger Datenkorrelationsfunktionen in verschiedenen Bereichen umfasst. Hier gelangt eine statische API-Integration schnell an ihre Grenzen. Einmal umgesetzt, sind die Handlungsspielräume im Hinblick auf Anpassungen begrenzt. Entsprechende Weiterentwicklungen gehen immer auch mit Kosten und Aufwand einher.

Probleme mit Sicherheit und Skalierbarkeit: Nicht alle API sind sicher. Hier liegt die Hauptsorge vieler Anbieter, wenn diese zum Einsatz kommen. Schließlich werden dadurch auch darauf basierende Plattformen anfälliger gegenüber Cyberangriffen. Zudem steht und fällt die Leistung einer Plattform mit dem reibungslosen Funktionieren der API. Je nach Design der API und deren Möglichkeiten im Hinblick auf vertikale und horizontale Skalierbarkeit könnte es zu Problemen kommen, die sich auf die Wirksamkeit und Performance der gesamten Plattform niederschlagen.

Fehlender Implementierungszugang für tiefe Integration und Anpassungen im Zuge neuer Anforderungen: Effiziente domänenübergreifende und einheitliche Sicherheit sowie die Fähigkeit, neue domänenübergreifende Angriffstechniken zu erkennen, kann es nur geben, wenn die Integration von Sicherheitskontrollen nativ ist, dieselbe Datenstruktur aufweist und von einem einzigen Anbieter mit Zugriff auf den kontrollierenden Quellcode gesteuert wird. Die Vereinheitlichung im Rahmen einer einzigen Sicherheitsplattform ermöglicht eine konsequente Anwendung und flexible Weiterentwicklung entlang veränderter Rahmenbedingungen. Dies bietet gegenüber einem API-basierten Konzept entscheidenden Mehrwert. Wie sich dieser gestaltet, zeigen die vielfältigen Kombinationsbeispiele des „Better Together“-Sicherheitskonzepts von WatchGuard.

Mehr Informationen zur Architektur und den Vorteilen der Unified Security Platform von WatchGuard sind im Leitfaden „Warum Sie WatchGuard kaufen sollten“ und auf der „Unified Security Platform“-Webseite zu finden.

Autor: Paul Moll

Quelle: WatchGuard-Blog