Advertorial
Was Extended Detection & Response (XDR) unentbehrlich macht
Endpoint Detection & Response (EDR) ist aufgrund der Komplexität der IT-Sicherheitslage nicht mehr ausreichend. Gefragt ist eine Lösung, die alle Vektoren, vom Endpunkt bis zum Netzwerk sichtbar macht.
Auch und besonders kleine und mittelständische Unternehmen (KMU) stehen laut einer Studie des Bitkom im Fokus von Cyberangriffen. Da sie innovativ arbeiten und stark in die Lieferketten von Konzernen eingebunden sind, dienen sie häufig als erste Einfallstore. Innerhalb weniger Tage könne sich Cyberkriminelle Vollzugriff auf das Unternehmensnetzwerk verschaffen und darüber unbemerkt monate- oder in extremen Fällen sogar jahrelang agieren.
Herkömmliche Sicherheitsstrategien greifen oftmals zu spät und zu kurz, weil sie den heute gängigen Angriffsmustern – in Wellen und über mehrere Ebenen hinweg – nicht gerecht werden. Auf das Phishing per E-Mail löst der aktivierte Schadcode das Kompromittieren von Server und Netzwerk aus. Dort lädt der Eindringling weiter Malware und infiziert immer mehr Systeme. Unternehmen, die bereits einen hohen Reifegrad in der Security erreicht haben, bringen gegen diese Bedrohungen vor allem traditionelle Endpunkt Detection & Response-Lösungen (EDR) und ein Security Information and Event Management (SIEM) in Stellung.
Die Nachteile von EDR: Viel Aufwand, fehlende Zusammenhänge und hohe Fehlerquote
Ein EDR versperrt Angreifern den Zugang über den Endpunkt, lässt das Netzwerk jedoch außen vor. So bleibt Cyberkriminellen über das Abgreifen von Zugangsdaten die Chance, ins Netzwerk einzudringen. Der Fokus liegt zudem auf einzelnen Hinweisen, die sich erst mit weiteren Informationen zu einem Gefahrenbild zusammenfügen. EDR sammelt und korreliert zwar potenziell gefährliche Ereignisse – Security-Mitarbeiter erhalten einen Überblick über die aktuelle Sicherheitslage. Allerdings verschafft es den Analysten im Security Operation Center (SOC) ein Menge Arbeit. Die Flut an Meldungen müssen die Experten auf die wichtigen Alerts reduzieren, die einer Detailprüfung unterzogen werden müssen. Zusätzlich sind diese darauf zu checken, ob sie mit anderen Ereignissen zusammenhängen. Fehler sind unter diesen Umständen vorprogrammiert. Hinzu kommt, dass dieser Arbeitsumfang für kleine und mittelständische Unternehmen aufgrund der begrenzten Ressourcen kaum leistbar ist. Fachkräftemangel, fehlende finanzielle Mittel und eine zunehmende Komplexität der Bedrohungslandschaft führen dazu, dass KMU aber auch größere Unternehmen Schwierigkeiten damit haben, sich einen umfassenden Überblick über die Sicherheitslage zu verschaffen.
XDR bringt nahtlose Sichtbarkeit
Um Cyberangriffe schnell zu erkennen und Schaden zu minimieren, brauchen Unternehmen eine Lösung, die über klassisches EDR hinausgeht. Bei diesem Cross-Layer-Detection-Ansatz werden Informationen verschiedener Sicherheitssysteme aus der gesamten IT-Infrastruktur in einem zentralen Data Lake gesammelt und von künstlicher Intelligenz und globaler Threat Intelligence analysiert. Die Technologie filtert relevante Meldungen automatisiert heraus und korreliert sie, sodass Angriffszusammenhänge sichtbar werden. Statt Tausender Alerts erhalten Mitarbeiter am Ende eine überschaubare Anzahl an verwertbaren Warnungen. XDR deckt alle Vektoren in der IT-Umgebung ab: Von den Endpunkten über E-Mails, Server bis hin zu Cloud-basierten Workloads und Netzwerken. Mitarbeiter behalten das gesamte Bedrohungsgeschehen von einer zentralen Konsole aus im Blick. Das hilft auch dabei, Systeme besser zu schützen, auf denen sich keine Security-Software installieren lässt – zum Beispiel im IoT-Kontext. Wie unverzichtbar XDR heute bereits ist, illustriert, dass Gartner die Technologie derzeit zu den wichtigsten Security- und Risk-Management-Trends zählt.
Sicherheitsgewinn und Spareffekte
XDR bringt nicht nur Sichtbarkeit und Transparenz, sondern reduziert allgemein die Zahl der Security-Alerts um über 90 Prozent. Es lenkt den Fokus auf die Warnungen, die wirklich wichtig sind, verkürzt Analysezeiten, verringert die Fehlerquote und erhöht die Reaktionsfähigkeit sowie die Effizienz eines SOC erheblich. Auch der SOC-Betrieb wird effizienter, weil die Automatismen die Analysten erheblich entlasten und Bedrohungen über alle Vektoren hinweg viel besser sichtbar machen. In welcher Dimension letztgenanntes geschieht, rechnet eine Studie von ESG Research vor: Ein Unternehmen benötigt durchschnittlich acht Vollzeit-Security-Mitarbeiter, um eine XDR-Lösung zu ersetzen.
Da die XDR-Lösung zudem gängige Use Cases für Endpunkt- und E-Mail-Security mitliefert, reduziert sich auch der Planungsaufwand von SIEM- und SOC-Projekten. Ein zusätzlicher Spareffekt ergibt sich, wenn XDR als zentrale Logquelle vor das SIEM geschaltet wird, um bereits korrelierte Daten einfließen zu lassen. Das reduziert die Events pro Sekunde, die im SIEM lizensiert werden müssen. Zudem verringert sich der Speicherplatzbedarf.
- Was Extended Detection & Response (XDR) unentbehrlich macht
- Weshalb XDR von Trend Micro so überzeugend performt
Lesen Sie mehr zum Thema
