In den letzten zwanzig Jahren haben SIEM-Plattformen (Security Information and Event Management) als zentrales und übergreifendes Element der Angriffserkennung und -analyse im Rahmen professioneller IT-Security-Konzepte eine Schlüsselrolle eingenommen. Doch mittlerweile ist mit Extended Detection and Response (XDR) ein neuer Lösungsansatz zur Gefahrenidentifikation und -abwehr immer stärker im Kommen.
Beide Technologien verfolgen grundsätzlich das gleiche Ziel und warten daher mit ähnlicher, sich überlappender Funktionalität auf. Dennoch gibt es Unterschiede, die insbesondere vor dem Hintergrund der Zusammenarbeit mit einem Managed Security Service Provider von Relevanz sind. Denn mit der Wahl der richtigen Lösung werden entscheidende Weichen für den Aufbau einer effektiven und nachhaltigen Sicherheitsarchitektur gestellt, die gegenwärtigen und künftigen Anforderungen entspricht.
Hauptunterschiede zwischen XDR und SIEM
Der Hauptunterschied zwischen XDR und SIEM besteht darin, dass bei Letzterem weitaus generischer vorgegangen wird – insofern ist SIEM weniger effektiv als XDR. XDR zeichnet sich dadurch aus, dass es viel stärker auf die automatisierte Korrelation von Sicherheitsinformationen spezialisiert ist, wodurch sich Angriffe und Bedrohungen mit erheblich weniger Aufwand erkennen lassen. Mit SIEM-Tools können Unternehmen zwar Protokolle und Warnmeldungen aus mehreren Lösungen erfassen, diese Technologie unterstützt jedoch in der Regel keine Analysen oder automatisierte Prozesse zur Gefahrenabwehr – ganz im Gegensatz zu XDR-Lösungen, die EDR (Endpoint Detection and Response)- und MDR (Managed Detection and Response)-Komponenten enthalten und somit einen End-to-End-Ansatz zur Bedrohungserkennung und dem Ergreifen von Gegenmaßnahmen verfolgen. XDR kann auf SIEM und den darüber erfassten Daten aufsetzen und für mehr Überblick sorgen – dank einer besser überschaubaren Menge an Warnmeldungen und Informationen. Insofern ist XDR auch als ideale Ergänzung der SIEM-Technologie zu betrachten.
Grundsätzlich kann man sagen, dass XDR eine Alternative zu allen herkömmlichen, reaktiven Ansätzen darstellt, die darauf ausgelegt sind, Einblicke zu Bedrohungssituationen über verschiedene Informationsebenen hinweg zu generieren, darunter EDR, NDR (Network Detection and Response), User Behavior Analysis oder eben SIEM. Auf Basis der Daten aus verschiedenen Quellen und deren Korrelation und Klassifizierung ist XDR in der Lage, adäquate Reaktionsmaßnahmen anzustoßen. Jede erkannte Bedrohung wird mit einem Kritikalitätswert versehen, auf dessen Grundlage geeignete Gegenreaktionen ableitbar sind. Diese können bei Bedarf automatisch Wirkung entfalten und darüber hinaus auch künftig direkt zur Anwendung kommen, sobald eine Situation auftritt, die die gleichen Kriterien erfüllt. Im Vergleich dazu agiert SIEM passiv: IT-Administratoren werden zwar über Warnmeldungen auf besondere Vorkommnisse hingewiesen – wie damit umgegangen wird, obliegt dem verantwortlichen Mitarbeiter dann allerdings für gewöhnlich selbst. Der Personalaufwand ist also deutlich höher und der Prozess setzt weitaus mehr qualifiziertes Fachwissen voraus.
Im Folgenden sind die wichtigsten vier Aspekte zur Unterscheidung von SIEM und XDR aufgelistet.
Zielsetzung:
Die meisten SIEM-Lösungen bieten Unternehmen zentralisierte Protokollverwaltungs- und Analysefunktionen. Dies umfasst das Generieren von Warnmeldungen, die Korrelation von Daten aus mehreren ausgewählten Lösungen und die Möglichkeit der Analyse nach einem Ereignis. Darüber hinaus dient SIEM der Compliance-Überwachung und Angriffseindämmung oder wird für ein umfassendes Reporting herangezogen.
Bei XDR liegt die Konzentration darauf, die gesammelten Daten zu nutzen, um die Gefahrenerkennung und Bedrohungsabwehr konsequent zu verbessern. Das Ziel von XDR ist es, Vorfälle zu identifizieren, zu untersuchen und geeignete Maßnahmen zu ergreifen, um potenzielle Risiken schnell und effizient aufzulösen.
Komplexität der Verwaltung:
Offen ausgelegte SIEM-Lösungen erfordern oft einen erheblichen Verwaltungsaufwand, wenn es darum geht, Datenquellen zu integrieren, Ereignisse zu korrelieren und Warnmeldungen zu konfigurieren. Angesichts der Menge an Informationen, die im Sinne der Sicherstellung von Transparenz verarbeitet werden, erzeugen sie eine Vielzahl an einzelnen Warnmeldungen, die nur schwer zu klassifizieren und zu priorisieren sind.
Im Gegensatz dazu sind XDR-Lösungen so konzipiert, dass sie sich leicht in die Sicherheitsarchitektur eines Unternehmens integrieren lassen. Dies hat den Vorteil, dass die Anzahl der relevanten Warnmeldungen gezielt reduziert werden kann und Unternehmen weniger Gefahr laufen, in der Flut an Informationen Wichtiges zu übersehen. Dank automatischer Korrelation der Daten verschiedenster Sicherheitsebenen und entsprechend bestätigter Hinweise benötigen Sicherheitsanalysten weniger Zeit, um Warnmeldungen und Risiken zu bewerten und zu entscheiden, was Aufmerksamkeit und weitere Untersuchungen erfordert. Eine Gewichtung der Warnmeldungen unterstützt die Priorisierung der zu ergreifenden Gegenmaßnahmen. Zudem erfordert der Umgang mit XDR weitaus weniger Training. Anwender profitieren von einer einheitlichen Verwaltung über mehrere Sicherheitskomponenten hinweg.
Datenspeicherung:
SIEM-Lösungen fungieren als zentrales Datenarchiv und sind auf langfristige Speicherung ausgelegt. Dagegen greift XDR in der Regel nur auf Daten aus anderen Quellen zu, die ausschließlich temporär zu Analysezwecken gespeichert werden.
Reaktionsfähigkeit:
Obwohl die meisten moderneren SIEM-Lösungen auch einige Möglichkeiten zur Reaktion auf Ereignisse umfassen, sind sie im Prinzip ein Datenanalysetool, das IT-Verantwortlichen Daten und Warnmeldungen zur Gefahrenlage liefert. XDR erweitert diese Funktionen, indem es Reaktionsmaßnahmen innerhalb derselben Lösung unterstützt und koordiniert.
Wie können Managed Service Provider (MSP) ihre Kunden bei der Auswahl der für ihre Bedürfnisse am besten geeigneten Lösungen unterstützen?
MSP brauchen Hebelkraft, um sich im Kampf um Kunden, deren Sicherheitsanforderungen sich konsequent verändern, durchsetzen zu können. Durch die Ergänzung des eigenen Angebots um XDR- und SIEM-Lösungen können sie Unternehmen zu mehr Sicherheit verhelfen und gleichzeitig ihre eigene betriebliche Effizienz verbessern. Um mit diesen Lösungen einen Mehrwert zu schaffen, müssen sie jedoch in der Lage sein, ihre Kunden anzuleiten und ihnen die beste Lösung für ihre Bedürfnisse zu empfehlen.
SIEM kann ein nützliches Werkzeug sein, wenn der Kunde über die Zeit und die Ressourcen verfügt, sich damit auseinanderzusetzen. Wenn es auf Unternehmensseite beispielsweise nicht nur auf die Gefahrenerkennung und -abwehr ankommt, sondern es konkrete Anforderungen im Hinblick auf Compliance und Risk Management gibt, kann SIEM dazu beitragen, den Bedarf an umfassender Berichterstattung und Datenerfassung abzudecken.
Wenn das Unternehmen bereits eine SIEM-Lösung einsetzt, ist es ratsam, diese um XDR zu ergänzen und damit die Reaktionsfähigkeiten gezielt auszubauen.
Die größte Herausforderung bei SIEM ist die Alarmmüdigkeit. Da solche Lösungen eine große Anzahl von Warnmeldungen generieren – einschließlich Falschmeldungen („False Positives“), kann die Klassifizierung und Untersuchung aller Warnungen ein kleineres Team schnell überfordern. Gleichzeitig schlägt SIEM aufgrund seiner Komplexität meist mit deutlich höheren Kosten zu Buche, was insbesondere die Budgets mittelständischer Unternehmen oft übersteigt.
Hier punktet XDR: Nicht nur die Kosten sind geringer, auch der erforderliche Zeit- und Personalaufwand hält sich im Vergleich in Grenzen. Es darf jedoch nicht vergessen werden, dass es sich bei XDR um eine spezialisiertere Lösung handelt. Wie schon beschrieben, ist SIEM deutlich breiter angelegt und in der Lage, weitaus mehr unterschiedliche Daten zu korrelieren, einschließlich der Informationen anderer Lösungen jenseits von Firewall und Endpoints – wie beispielsweise Proxy- oder Anwendungsprotokolldaten. Durch die Automatisierung entfällt bei XDR jedoch ein Großteil der Arbeit, die eine SIEM-Lösung erfordert. Gleichzeitig setzt XDR kein so hohes Maß an Spezialisierung im Team voraus, was angesichts des derzeitigen Mangels an talentierten Fachkräften im IT-Security-Umfeld durchaus von Vorteil ist. Mit XDR-Lösungen wie ThreatSync von WatchGuard lassen sich bis zu einem bestimmten Grad viele Herausforderungen, die SIEM-Lösungen mit sich bringen, wirkungsvoll abfangen. Am Ende kommt es aber immer auf die individuelle Situation auf Kundenseite an.
Wenn Sie mehr über XDR erfahren und im Detail wissen wollen, welchen Mehrwert ThreatSync bietet, finden Sie hier viele weitere Informationen. Mit den Themen XDR und SIEM befassen sich zudem diese Blog-Beiträge:
- XDR: Hintergründe, Funktionsweise und Vorteile
- Oberwasser in der Informationsflut: Diese 5 Vorteile sprechen für die Integration von SIEM-Systemen
Autor: Paul Moll