Das Schlagwort „eXtended Detection and Response (XDR)“ macht in der Security-Branche bereits seit einigen Jahren die Runde. Laut der Analysten von Gartner, die den Begriff 2020 erstmals definierten, handelt es sich bei XDR um ein herstellerspezifisches Tool zur Erkennung von und Reaktion auf Bedrohungen aller Art. Konkret lässt sich mit XDR das Monitoring und die automatisierte Gefahrenabwehr über verschiedenste Security-Produkte hinweg in eine umfassende Sicherheitsplattform integrieren.
Im Rahmen einer aktuellen ESG-Studie geben 62 Prozent der befragten IT-Sicherheitsverantwortlichen an, mit dem Begriff XDR „sehr vertraut“ zu sein. Dieser Wert lag im Jahr 2020 bei nur 24 Prozent. Obwohl dies bereits eine eindeutige Verbesserung darstellt, sind 29 Prozent mit der XDR-Technologie nach wie vor nur „etwas vertraut“, „nicht sehr vertraut“ oder „überhaupt nicht vertraut“. Trotzdem bleibt eine grundlegende Frage zu klären: Worum geht es dabei genau? Da offensichtlich immer noch kein umfassend klares Verständnis vom Begriff und der Bedeutung von XDR vorliegt, tauchen wir etwas tiefer in das Konzept ein und klären, was sich genau dahinter verbirgt.
Die eXtended Detection and Response-Technologie adressiert speziell die Notwendigkeit, neue Wege bei der Aggregation, Korrelation und Analyse der Sicherheitstelemetrie zu beschreiten. Erst dadurch wird es möglich, die zunehmend diversifizierten Angriffsflächen zu schützen und einer sich ständig weiterentwickelnden Bedrohungslandschaft Herr zu werden, in der Angriffe immer schwieriger zu erkennen sind. Die Integration von XDR-Funktionen in die Infrastruktur eines Unternehmens sorgt dafür, dass sich Sicherheitsereignisse aus verschiedenen Quellen und Assets analysieren und korrelieren lassen. Auf einen Blick wird klar, welche Aktivitäten wo stattfinden. XDR führt dieses Wissen auf einer einzigen Sicherheitsplattform zusammen und gewährleistet auf diese Weise schnelle, automatisierte Reaktionen, die mit weniger Arbeitsbelastung für die Sicherheitsbeauftragten einhergehen.
Die Korrelation war bereits Bestandteil der ersten WatchGuard-Version von ThreatSync als cloudbasierter Engine, die Ereignisdaten von Host Sensoren und Fireboxen analysiert, um böswilliges Verhalten zu identifizieren. Bei dieser TDR-Lösung (Threat Detection and Response) kam jedoch nur Endpoint-Telemetrie zum Einsatz, um schädliche Dateien zu erkennen und via Cloud darauf zu reagieren. Darüber hinaus wurden Netzwerkereignisse mit einzelnen Dateien und Prozessen auf dem Endpoint abgeglichen. Jetzt hat sich ThreatSync zu einer XDR-Lösung entwickelt, in der Endpoint- und Netzwerksicherheitsfunktionalitäten auf einer einzigen Plattform synergetisch verschmolzen sind. Somit ist die Korrelation von Informationen zur Erkennung von Bedrohungen im Hinblick auf verschiedenen Schutzebenen plattformübergreifend möglich. Gleiches gilt für die Orchestrierung der entsprechenden Werkzeuge zur Abwehr der potenziellen Gefahr.
Wie funktioniert XDR?
XDR erhöht die Sicherheit, indem verschiedene Technologien zielführend kombiniert werden. Dadurch verbessert sich die Qualität der Gefahrenerkennung im Vergleich zu Einzellösungen deutlich. XDR sammelt und zeigt Server-, Endgerät- und Firewall-relevante Ereignisse produktübergreifend in einer einzigen Ansicht an. Auf diese Weise eröffnet sich Sicherheitsexperten der Gesamtkontext auf einen Blick und sie können schneller auf fortgeschrittene Bedrohungen reagieren und diese stoppen. Das Risiko von Sicherheitsbedrohungen wird auf diese Weise erheblich reduziert. Durch das Zusammenführen all dieser Daten auf einer Plattform erübrigt sich im Tagesgeschäft nicht zuletzt der Wechsel zwischen mehreren Konsolen und Oberflächen. Zudem sind IT-Security-Verantwortliche in der Lage, Bedrohungen sowohl auf geschützten als auch auf ungeschützten Geräten zu erkennen. Domänenübergreifende Daten werden verwendet, um auch fortgeschrittene, am Perimeter oder Endpoint nicht sichtbare Bedrohungen zu vereiteln.
Auf Basis einer solch stichhaltigen Korrelation über jegliche Domänen, Sicherheitsereignisse und eingesetzten Security-Produkte hinweg kann das Monitoring deutlich effektiver erfolgen – selbst fortschrittliche, komplexe Angriffe lassen sich zügig erkennen und stoppen. Einzelne Auffälligkeiten, die bisher möglicherweise als harmlos eingestuft wurden, werden im Kontext schnell zu Indicators of Compromise (IoCs) mit Hinweis auf konkrete Bedrohungsszenarios. Dadurch verkürzt sich die Mean Time to Detect (mittlere Erkennungszeit, MTTD) – einhergehend mit der Möglichkeit zur raschen Eindämmung der Auswirkungen, des Schweregrads und Umfangs einer Sicherheitsattacke.
Durch Automatisierung und Planbarkeit der Gefahrenabwehr werden Security-Analysten ebenso von sich wiederholenden oder manuellen Aufgaben befreit. Die Lösung reagiert im Fall der Fälle automatisch entsprechend zuvor definierter Kriterien, beispielsweise indem Prozesse ohne weiteres manuelles Zutun beendet, Dateien gelöscht, Endgeräte isoliert oder öffentliche IP blockiert werden.
Anwendungsfälle und Vorteile von XDR – insbesondere für MSP
Der Einsatz von XDR bietet vor allem Managed Service Providern (MSP) große Vorteile beim Schutz ihrer Kunden. So kann die Korrelation zwischen Auffälligkeiten im Netzwerk und am Endpoint gerade beim Erkennen von Advanced Persistent Threats (APT) äußerst hilfreich sein. Anwender erwarten heutzutage, dass Daten sofort zur Verfügung stehen. Daher müssen Firewalls den Download auch für unbekannte Dateien zulassen, die gleichzeitig erst noch an die Sandbox zur Analyse geschickt werden. Sobald eine Datei analysiert wurde und sich als schadhaft entpuppt, kann XDR diese direkt dem Endgerät zuordnen und sie vom entsprechenden Gerät entfernen.
Ähnlich verhält es sich mit Prozessen, die auf einem Computer ausgeführt werden und an sich nicht schädlich sind, aber böswillige Verbindungen herstellen können (wie z. B. Browser oder E-Mail-Clients): Mithilfe der XDR-Funktionen sind Daten von blockierten Verbindungen auf der Firewall mit einzelnen Anwendungen auf dem Endpoint verknüpfbar. Dies ermöglicht es Benutzern, neue bösartige Anwendungen zu erkennen oder einfach nur „Goodware“ mit verdächtigem Verhalten zu entdecken, das weitere Analysen erfordert.
Die oben genannten Anwendungsfälle beziehen sich vor allem darauf, wie MSP via XDR die Netzwerke ihrer Kunden besser schützen können. Darüber hinaus profitieren sie in den eigenen Reihen bei Einsatz von XDR von etlichen weiteren Vorteilen:
- Zentrale Sicht auf Bedrohungen: XDR sorgt für eine genauere und schnellere Erkennung von Bedrohungen, indem entsprechende Hinweise von Seiten verschiedener eingesetzter Security-Leistungsbausteine über eine einzige Benutzeroberfläche zusammengeführt werden. Das Sammeln und Visualisieren von übergreifenden Informationen macht Managed Service Provider agiler, da sie zu jeder identifizierten Auffälligkeit den Kontext erhalten und im Ernstfall sofort gegenwirken können.
- Reduzierte Mean Time To Detect (MTTD): Laut Daten von IBM dauerte es 2022 durchschnittlich 207 Tage, bis Unternehmen einen Sicherheitsvorfall identifizierten. Organisationen mit XDR-Technologien haben in dem Zusammenhang erhebliche Vorteile. Im Vergleich zu anderen ohne XDR konnten sie Vorfälle im Durchschnitt um etwa einen Monat (29 Tage) schneller klären.
- Einheitliche Orchestrierung der Bedrohungsreaktion: Mit XDR können MSP effizienter arbeiten. Ihnen steht eine breite Palette von Maßnahmen zur Verfügung, mit denen die Reaktionen auf Bedrohungen im gesamten Netzwerk von einer einzigen Konsole aus schneller geplant und automatisiert werden können. Die verringerte Mean Time To Respond (MTTR) reduziert das Risiko und bietet eine höhere Genauigkeit der Gefahrenabwehr. Es macht dabei unzweifelhaft einen Unterschied, ob rechtzeitig auf eine Bedrohung reagiert und verhindert werden kann, dass diese größeren Schaden anrichtet – oder ob sich der Angriff ungehindert weiter ausbreitet und Hacker zunehmend mehr Kontrolle über Systeme des Unternehmens übernehmen.
- Einsatz ohne spezifische Konfiguration: Einige XDR-Lösungen erfordern fortgeschrittene Kenntnisse bei der Installation, Konfiguration und Einrichtung. Die XDR-Lösung WatchGuard ThreatSync ist Teil des Unified Security Platform®-Frameworks und bietet eine einheitliche sowie intuitive Benutzererfahrung. ThreatSync fügt sich als integrierte, produktübergreifende Schlüsselkomponente nahtlos ein. Kosten für die üblicherweise erforderliche Konfiguration und Integration mehrerer Einzellösungen auf Seiten der Anwender werden dadurch obsolet.
XDR eignet sich perfekt für kleine und mittelständische MSP, da es ihnen ermöglicht, die Sicherheitsfunktionen auf automatisierte Weise und ohne Einbeziehung von Cybersicherheitsexperten zu erhöhen. XDR verbessert die Visualisierung, erhöht die Erkennungsfähigkeiten in bestimmten Szenarien und vereinfacht die Reaktion auf sowie Behebung von Angriffen. Erfahren Sie, wie WatchGuard Ihnen helfen kann, mit seiner ThreatSync-Lösung einen XDR-basierten Sicherheitsansatz zu verfolgen.
Autor: Michael Haas, WatchGuard Technologies
Quelle: WatchGuard-Blog