Extended Detection & Response bezeichnet laut Sicherheitsexperten die Weiterentwicklung von Endpoint Detection & Response (EDR), ein von Gartner 2013 geprägter Begriff. Diese logische Weiterentwicklung von klassischen Anti-Viren (AV) und Endpoint-Protection Lösungen ist dank der viel effektiveren Datenkorrelation über Endpunkte, Netzwerk-Geräte und Cloud Ressourcen sowie umfangreicher Datensammlungen von Malware möglich geworden. XDR nutzt neu diverse Technologien zur Gefahrenerkennung und -behebung über das gesamte IT-Oekosystem hinweg, und ermöglicht gezielte Reaktionen auf Sicherheits-Bedrohungen gegen IT Assets auf allen Ebenen.
Von AV zu XDR
Anti-Virus Schutz für Clients uns Server ist seit 1980 erhältlich, und stellt mittels Antiviren-Datenbank diverse Signaturen zur Verfügung. Diese Signaturen können Hashes einer Malware-Datei und/oder Regeln enthalten, die eine Reihe von Merkmalen enthalten, denen die Datei entsprechen muss. Zu diesen Merkmalen gehören in der Regel von Menschen lesbare Zeichenfolgen oder Byte-Sequenzen, die in der ausführbaren Malware-Datei gefunden werden, der Dateityp, die Dateigrösse und andere Arten von Datei-Metadaten.
Der XDR Ansatz bietet den Unternehmen wirksamen Schutz vor neuen Advanced Persistent Threats (APT) durch Verwendung von Endpoint Protection Plattformen (EPP) wie von Gartner ausgeführt. Zusätzlich werden diverse Technologien zur Gefahrenerkennung und Behebung genutzt, die über das gesamte IT-System hinweg auch applikatorische Inhalte integrieren. Der Begriff XDR beschreibt somit Lösungen, die Erkennung und Reaktion auf Bedrohungen von Endpunkten, Netzwerk, der Cloud sowie auf vielen weiteren Ebenen vereinen.
Komponenten, Funktionen und Anbieter
Je nach Hersteller umfassen die XDR Suiten eine Vielzahl von integrierten Komponenten wie:
EDR Endpoint Detection & Response
NDR Network Detection & Response
Azure AD Schutz
Cloud Workload Schutz
Cloud-zu-Cloud Integration via Oekosystem
Applikation Integration
Anbindung von strukturierte Logsourcen
Etc.
Mit Hilfe dedizierter Tenants und diversen Dashboards ist der Systemadministrator in der Lage, den Status seiner IT Assets zu verfolgen. Eine XDR Lösung integriert den Managed Detection & Response (MDR) Service, um Enterprise Kunden einen professionellen und transparenten Security Service anzubieten.
Managed Detection & Response (MDR)
Mit Managed Detection & Response lagern Unternehmen ihre IT-Sicherheit bezüglich Erkennung und Reaktion auf Bedrohungen an Dienstleister aus.
Ziel ist die Personalisierung, Bereitstellung von Kontextinformationen mit umfassender Transparenz der relevanten Informationen zugunsten der Kundenkontakte zu erreichen. Relevanz bedeutet, dass klar ist, was und wovor Schutz benötigt wird, und vor allem dass die laufend neuen Bedrohungen effektiv und zeitnah mitberücksichtigt werden.
MDR implementiert den Prozess vom National Institute of Standards and Technology (NIST) inklusive Interventionen am Endpunkt oder Handlungsempfehlungen zuhanden der zuständigen Stelle, bis hin zur Wiederherstellung des stabilen Betriebszustandes. Darin eingeschlossen sollte auch der Notfallplan jeder Unternehmung mit Einbezug der Geschäftsleitung sein.
Vulnerability Management
Vulnerability Management ist die zyklische Praxis der Identifizierung, Klassifizierung, Priorisierung, Behebung und Minderung von Software-Schwachstellen. Das Schwachstellenmanagement ist ein integraler Bestandteil der Computer- und Netzwerksicherheit und darf nicht auf die reine Schwachstellenbewertung reduziert werden.
Einen wichtigen Mehrwert erzielt der CISO, sobald er die sich laufend ändernde Risiko-Uebersicht der IT-Assets den Fachstellen und dem Management visualisieren und rapportieren kann.
Security Information and Event Management (SIEM)
Security Information and Event Management (SIEM) ist seit 2005 definiert und kombiniert die zwei Konzepte „Security Information Management“ und „Security Event Management“ für die Echtzeitanalyse von Sicherheitsalarmen aus den Quellen Anwendungen und Netzwerkkomponenten.
SIEM kann zentral installiert oder als Cloudservice genutzt werden und umfasst die Fähigkeit von Produkten, die Daten von Netzwerk- und Sicherheitskomponenten zu sammeln, analysieren und präsentieren. Zudem beherrscht SIEM den Umgang mit Schwachstellen, Logdateien von Betriebssystemen, Datenbanken und Anwendungen mit dem Ziel, vor externe Gefahren in Echtzeit zu alarmieren.
Security Orchestration Automation and Responses (SOAR)
Security Orchestration Automation and Responses (SOAR) beinhaltet Software und Verfahren, die eine Incident Response Platform (IRP) sowie Threat Intelligence Platform (TIP) bereitstellen.
Durch die zentral verfügbaren Informationen kann ein System automatisiert auf eine spezifische Sicherheitsbedrohung reagieren und den Prozess intelligent visualisieren und durchlaufen. Das Eingreifen eines Mitarbeiters ist somit nur noch teilweise erforderlich, weil Verfahren mit künstlicher Intelligenz (KI) und Machine Learning zum Einsatz gelangen.
Vorteile von XDR für Unternehmen
Zu den Vorteilen eines XDR Oekosystems gehören u.a.:
MDR Service dank Integration von SIEM und SOAR Funktionen
Integration diverser Security-Produkte via Oekosystem
Applikatorische Sicherheit mit «cloud-zu-cloud» Verbindungen, z.B. Azure AD etc.
Keine Notwendigkeit für eigene, aufwändige Datalake Lösungen
Maximaler Schutz vor «zero day» Angriffen
Integrierte Betriebsmodule Module mit AI und Human Intelligence
Erhältlich als MSSP Service im eigenen Kunden-Tenant
Inseya bietet XDR-Systeme basierend auf folgenden Produkten: SentinelOne, Attivo, Ivanti und Zimperium. Sind Sie an einer XDR Lösung interessiert? Wir helfen Ihnen gerne weiter!
Haben Sie Fragen zu XDR?
Haben Sie Fragen zu Cybersicherheit? Schreiben Sie uns an!
