Entwicklungen bei der Gefahrenabwehr
Von EDR zu XDR
Fortsetzung des Artikels von Teil 1
Erweiterung
XDR-Lösungen erweitern EDR-Tools um zusätzliche Sensortechnik – entweder vom selben Anbieter oder durch die Integration externer Lösungen über APIs im Rahmen von XDR-Allianzen. Sie kombinieren mehrere Datenquellen und Sensoren für die Erkennung von Bedrohungen und die Reaktion auf Vorfälle, um eine vollständige situative Übersicht zu schaffen. Die korrelierten Datenquellen können EDR plus Firewalls, SIEM oder Data Lake sein. Zu den XDR-Kernfunktionen gehören Sicherheitsanalysen, Alarmkorrelation, Reaktion auf Vorfälle und Automatisierung von Reaktionsplänen. XDR ist eine Weiterentwicklung von SIEM mit Schwerpunkt auf der Angriffserkennung. Im Gegensatz zu SIEM verfolgt XDR den Ansatz „Ich will erkennen, ob ...“ und wertet nur spezifische Daten aus, die zur Fragestellung passen. Damit agiert es wesentlich präziser und schlanker als SIEM. XDR arbeitet mit Auswertungsszenarien und vordefinierten Abläufen, die bei der Erkennung potenziell gefährlicher Vorgänge automatisch greifen. Das Erstellen der oft KI/ML-basierten (künstliche Intelligenz/maschinelles Lernen) Detection liegt weitgehend beim Softwarehersteller und soll so das Anwenderunternehmen entlasten. XDR-Lösungen haben im Vergleich zu EDR einen höheren Integrations-, Automatisierungs- und Bedienungskomfort.
MDR-Services wiederum bieten ferngesteuert Funktionen eines modernen SOCs (Security Operations Center). MDR-Anbieter liefern eine menschengesteuerte, oft schlüsselfertige Lösung, die auf einem vordefinierten Technologie-Stack basiert. Der wichtigste Pluspunkt von MDR ist neben einer schlanken Architektur der Service in Bezug auf Prozesse, Schnittstellen etc., der das Onboarding neuer Kunden stark beschleunigen kann. Die Analyse aller gesammelten Telemetriedaten erfolgt auf der Plattform des MDR-Anbieters. Ziel ist es, Lücken bei der Erkennung von und Reaktion auf Bedrohungen zu schließen. So können Unternehmen Bedrohungen schnell erkennen, analysieren, untersuchen und darauf reagieren.
Die Identität ist heute eine wesentliche Grundlage für Sicherheitsmaßnahmen, da Angreifer zunehmend die Identitätsinfrastruktur selbst ins Visier nehmen. ITDR umfasst Tools und Prozesse, um die Identitätsinfrastruktur vor Angriffen zu schützen. Solche Lösungen sind in der Lage, Bedrohungen zu erkennen und zu identifizieren, Richtlinien zu bewerten, auf Bedrohungen zu reagieren, potenzielle Angriffe zu untersuchen und bei Bedarf den normalen Betrieb wiederherzustellen. ITDR fügt selbst ausgereiften IAM-Implementierungen (Identity- und Access-Management) eine zusätzliche Sicherheits-ebene hinzu.
NDR: Netzwerk im Namen, RZ-Schutz im Fokus
Der größte Innovationsschub der letzten Jahre manifestierte sich bei Network Detection and Response. Eine NDR-Plattform überwacht das Netzwerk eines Unternehmens kontinuierlich, um Bedrohungen und anomales Verhalten mittels nicht signaturbasierter Tools oder Techniken zu erkennen. Die Plattform sammelt und speichert Metadaten und reichert sie mit relevanten Sicherheitsinformationen an, um dann KI-basierte Bewertungen durchzuführen. Auf diese Weise bietet NDR einen kontinuierlichen Einblick in alle Identitäten, Geräte und Technologien, die mit dem Netzwerk verbunden sind – vom RZ über die Cloud bis hin zu Druckern und IoT-Geräten.
Führende NDR-Lösungen nutzen KI/ML, um das Verhalten von Angreifern zu modellieren und selbst professionelle Angreifergruppen zuverlässig zu erkennen. Sie vermeiden Alarmfluten, indem sie aktive Angriffsschritte und nicht Anomalien aufzeigen. Dabei decken sie mehrere Phasen des Lebenszyklus eines Angriffs ab, darunter Persistenz, Ausnutzung von Privilegien, Umgehung der Verteidigung, Zugriff auf Zugangsdaten, Scouting, laterale Bewegungen, Datensammlung, C2 (Command and Control) sowie Exfiltration. Auf diese Weise verbessern sie die Angriffserkennung und die Betriebseffizienz des SOCs erheblich.
NDR-Plattformen decken sicherheitsrelevante Zusammenhänge auf, extrahieren belastbare Daten und korrelieren Ereignisse über Zeit, Benutzer und Anwendungen hinweg. Ziel ist es, den Zeit- und Arbeitsaufwand für Untersuchungen deutlich zu senken. NDR erweist sich hier als besonders effektiv, weil es die Aktivitäten von Angreifern sichtbar macht, sobald diese über das Netzwerk mit einem anderen System interagieren. Ein Beispiel wären Exploits, die außerhalb des Betriebssystems, also etwa im BIOS eines Geräts arbeiten. Angreifer könnten damit EDR unterlaufen, ihre bösartigen Aktivitäten würden nicht in den Protokollen auftauchen. Eine NDR-Plattform würde hier dennoch Alarm schlagen.
Eine NDR-Plattform kann Sicherheits-Events und Bedrohungskorrelationen in SIEM-Lösungen einspeisen, um umfassende Sicherheitsbewertungen zu ermöglichen. NDR geht also über die reine Bedrohungserkennung hinaus. Die Reaktion auf Bedrohungen in Echtzeit basiert im Wesentlichen auf proprietären Überwachungsfunktionen. Möglich sind dabei auch Integrationen mit anderen Sicherheitslösungen wie SOAR (Security Orchestration, Automation, and Response).
Auf die Ergebnisse kommt es an
Die Vielfalt heutiger DR-Lösungen ist zum Teil das Ergebnis der Weiterentwicklung früherer Ansätze. Dies erschwert es Unternehmen, die richtige Lösung oder Kombination für ihre individuellen Sicherheitsanforderungen zu finden. Letztendlich ist es entscheidend, dass die Lösung alle aktuellen und zu erwartenden Bedrohungsszenarien abdeckt, einen hohen Automatisierungsgrad aufweist, die gewünschten Ergebnisse liefert und das Unternehmen optimal befähigt, seine Resilienz zu erhöhen.
Matthias Schmauch ist Regional Sales Manager bei Vectra.
- Von EDR zu XDR
- Erweiterung
Lesen Sie mehr zum Thema
