Neuer Ansatz der Bedrohungsabwehr
XDR statt Alarmflut
Die Fähigkeit eines Unternehmens, Cyberangriffe zu bekämpfen, hängt von zwei Faktoren ab: wirksamen Werkzeugen und fähigen Sicherheitsanalytikern. Aktuelle Erkennungs- und Präventionstechnik generiert jedoch Hunderte oder Tausende von Warnmeldungen pro Tag. Dies ist weit mehr, als die meist knapp besetzten Sicherheitsteams bewältigen können.
Die Flut an Warnungen kommt aus vielen verschiedenen Quellen, sodass die Analysten mühsam erst eine Art Puzzle zusammensetzen müssen, um Bedrohungen zu erkennen. Unter dem Begriff EDR (Endpoint Detection and Response) sind Lösungen kategorisiert, die das Verhalten auf Endpunkt-Systemebene erfassen. Verschiedene Datenanalysetechniken kommen zum Einsatz, um verdächtiges Systemverhalten zu erkennen, Kontextinformationen bereitzustellen und bösartige Aktivitäten zu blockieren. Darüber hinaus liefern EDR-Lösungen Empfehlungen für Abhilfemaßnahmen, um betroffene Systeme wiederherzustellen.
Eine weitere Technik im Bereich der Erkennung und Reaktion ist SIEM (Security-Information- and Event-Management). Diese unterstützt die Erkennung von Bedrohungen, die Einhaltung von Vorschriften und das Management von Sicherheitsvorfällen. Hierzu erfasst und analysiert eine SIEM-Lösung Sicherheitsereignisse sowie eine Vielzahl anderer Ereignis- und Kontextdatenquellen. Dies erfolgt sowohl nahezu in Echtzeit als auch mit historischen Daten.
NTA (Network Traffic Analysis) wiederum steht für eine Kombination aus maschinellem Lernen (ML), fortgeschrittener Analytik und regelbasierter Erkennung, um verdächtige Aktivitäten in Unternehmensnetzwerken zu erkennen. NTA-Tools analysieren kontinuierlich Rohdatenverkehr- und/oder Flow-Aufzeichnungen (zum Beispiel NetFlow), um Modelle zu erstellen, die das reguläre Netzwerkverhalten widerspiegeln. Daraus lassen sich anomale, verdächtige Aktivitäten im Netzwerk ableiten.
UEBA (User and Entity Behavior Analytics) schließlich widmet sich der Analyse des Verhaltens von Benutzern und anderen Größen (Entitäten) im Unternehmensnetz. Lösungen dieser Art führen Profiling und Anomalieerkennung auf der Grundlage einer Reihe von Analyseansätzen durch. Hierbei kommt eine Kombination aus grundlegenden Analysemethoden (zum Beispiel Regeln, die Signaturen, Mustervergleiche und einfache Statistiken nutzen) und fortgeschrittener Analytik (zum Beispiel überwachtes und unbeaufsichtigtes maschinelles Lernen) zum Einsatz.
Für die Erkennung und Reaktion auf Bedrohungen im Netzwerk liefert der Markt verschiedene Ansätze und Lösungen. Diese werden oft kombiniert und generieren dann Tausende von Warnungen. Für Sicherheitsteams ist dieses „Rauschen“ jedoch kontraproduktiv. Bei der fortgeschrittenen Erkennung geht es daher nicht um mehr, sondern um bessere – und dies bedeutet besser umsetzbare – Warnmeldungen. Hierzu ist nicht nur die Integration aller verwendeten Erkennungstechiken, sondern auch eine ausgefeilte Analytik erforderlich. Diese analysiert die Endpunkt-, Netzwerk- und Cloud-Daten, um schädliche Aktivitäten in der Umgebung zu finden und zu validieren.
Neue Produktkategorie XDR
Lösungen der neuen Produktkategorie XDR sollen es ermöglichen, sich von der bisherigen Komplexität zu verabschieden. Detection (Erkennung) und Response (Reaktion) sind immer noch das übergeordnete Ziel. Das „X“ steht hierbei für die Unterstützung jeder Datenquelle, da es weder effizient noch effektiv ist, einzelne Komponenten der Infrastruktur isoliert zu betrachten. Die Erkennung, Untersuchung und Reaktion auf Bedrohungen erfolgt somit über alle Bedrohungsvektoren in der Infrastruktur (also Netzwerk, Endpunkte und Cloud) und nicht nur einen Teil davon. Durch mehr Integration sollen XDR-Tools Sichtbarkeit und Einblick für ML-Modelle wie auch für Benutzer verbessern.
Eine der wichtigsten Anforderungen an eine XDR-Lösung besteht darin, gut versteckte Bedrohungen mit Netzwerk-, Endpunkt- und Cloud-übergreifender Analytik schneller zu finden. Das Problem liegt auf der Hand: Eine Bedrohung, die nicht erkannt wird, lässt sich nicht untersuchen und nicht aufhalten. Die Angreifer nutzen bereits selbst das Potenzial der Cloud und des maschinellen Lernens, um vielfältige Kampagnen durchzuführen, sich einzunisten und kritische Daten zu exfiltrieren.
Betroffene Unternehmen können Angreifer kaum bekämpfen, wenn sie in ihrer eigenen Umgebung nicht mindestens so flink agieren wie der Gegner. Eine XDR-Lösung muss daher über Sichtbarkeits- und Erkennungsfunktionen in der gesamten Umgebung verfügen. Die Herausforderung besteht darin, die Telemetrie von sämtlichen Endpunkten, Netzwerken und Cloud-Umgebungen zu integrieren. Darüber hinaus muss eine entsprechende Lösung in der Lage sein, diese Datenquellen zu korrelieren. Ziel ist zu verstehen, wie verschiedene Ereignisse miteinander verknüpft sind und wann ein bestimmtes Verhalten kontextabhängig verdächtig ist – und wann eben nicht.
Angreifer können geduldig sein. Sie wissen, dass sie schwieriger zu entdecken sind, wenn sie sich langsam bewegen. Sie warten die Protokollarchivierungsdauer der Erkennungstechnik einfach ab. XDR sammelt, korreliert und analysiert alle Daten in einem einzigen Repository mit einer Aufbewahrungszeit von 30 Tagen oder mehr.
- XDR statt Alarmflut
- Unbekannte Bedrohungen
Lesen Sie mehr zum Thema
