Mit XDR konsolidieren, statt noch mehr Sicherheitslösungen

Kommentar von Richard Werner, Business Consultant

Laut einer Trend Micro-Umfrage haben Unternehmen im Durchschnitt 29 IT-Security Lösungen im Einsatz. Dennoch (oder vielleicht sogar deswegen) lehrt die Erfahrung, dass praktisch alle auch offene Sicherheitslücken haben. Die entstehen etwa durch die direkte Verbindung aus dem Produktionsnetz zum Druckerserver, existieren im vor drei Jahren offiziell ausrangierten, aber immer noch aktiven Laptop oder in der Applikation, die ein Mitarbeiter einst unbedingt brauchte. All dies findet man  in deutschen Firmen, die zugehörige Dokumentation hingegen nicht. Natürlich gibt es auch die „üblichen“ Softwareschwachstellen und nicht nur in den Beispielen. Patchen aber ist eine zeitraubende Angelegenheit, wobei IT-Security Teams chronisch überlastet sind und die Anzahl der Cyberangriffe steigt. In seinem jüngsten Bericht zur IT-Lage der Nation warnt BSI Chef Arne Schönbohm, die Situation „im Bereich der Informationssicherheit– zumindest in Teilbereichen – steht auf Alarmstufe Rot“. Immer neue Technik hilft nicht gegen diese Lage – im Gegenteil, Konsolidierung und darüber hinaus vielleicht Outsourcing von Detection und Response ist gefragt.

Wie reagiert die IT-Security-Branche

Die IT-Security-Branche hat schon mehrere „Weltuntergangsszenarien“ erlebt und reflexartig auf eine neue Bedrohung immer mit neuer Technologie reagiert. So auch bei Ransomware: Hier soll „künstliche Intelligenz“ (KI) helfen. Die ist plötzlich in allem drin, auch wenn sie das eigentlich schon seit 15 Jahren ist. Während die Technik gegen die erste Welle der Ransomware-Attacken noch half, tut sie sich bei geänderter Vorgehensweise der Täter schwer. Denn die Rahmenbedingungen haben sich geändert, und die Technologie steht nicht mehr im Mittelpunkt. Begünstigt durch äußere Faktoren wie unkontrollierbare Währung (Kryptowährung) sowie strafrechtliche Freiheiten in verschiedenen Ländern konnte sich eine Untergrundwirtschaft mit eigenen Spezialisten und Dienstleistern entwickeln, die auch in der Lage sind moderne Technik zu kontern – all das kann die IT-Security nicht beeinflussen. Also kehren wir zu alten Mustern zurück: mehr Technik, sprich Endpoint Detection & Response kurz EDR. Natürlich lässt sich auch die mit dem Schlagwort KI verkaufen.

Das Problem

Doch mehr Technik in einer Welt, in der IT-(Security)-Abteilungen ohnehin schon am Rande des Burnouts stehen und in einer IT-Landschaft, die immer diverser wird? In der Homeoffice, Cloud, Container und beliebig viele weitere Themen umgesetzt, gesichert und überblickt werden wollen? Also 29 Security-Produkte und vielleicht noch weitere? Für viele Unternehmen eine riesige Hürde. Zu allem Überfluss gibt es vor allem in der IT-Security einen eklatanten Mangel an Experten. Mehr Technik wird damit eher zum Problem als zur Lösung. Und überhaupt… wer sagt denn, dass die Technik, die wir heute gegen die aktuelle Ransomware einsetzen, auch den Angriff von morgen noch erkennen kann?

Umdenken ist gefragt

Hier ist Umdenken gefragt! Die IT Security-Branche kann ihre Kunden mit der Technik nicht mehr allein lassen. Wir müssen unsere Anwender mit den nötigen Updates und dem Fachwissen versorgen. Logischerweise wird dadurch IT-Security immer öfter zum Service-Geschäft.

Mehr und mehr Unternehmen suchen sich Managed Service-Angebote und wollen ein partnerschaftliches Verhältnis zu Security-Spezialisten, seien es Hersteller oder Fachhandelspartner. Es geht darum, ein auf die Bedürfnisse des Unternehmens angepasstes Serviceangebot zu finden. Aber welche Art von Technik gebraucht wird, wer sie betreibt, wer in Notfallsituationen beisteht, ob und inwieweit ein Security Operation Center (SOC) betrieben werden soll, das sind alles Fragen, die individuell geklärt werden müssen und an denen sich das initiale Security-Angebot ausrichtet, und wenn die IT in Unternehmen wächst, muss und auch das Security-Angebot genauso mitwachsen. Je offener miteinander umgegangen wird, desto einfacher und schneller können auch neue Anforderungen in einen bestehenden Service integriert werden.

Keine Umstellung ist leicht

Diese Umstellung ist nicht nur für die IT-Security-Anbieter schwierig, sondern genauso für ihre Kunden. Security wird in Unternehmen oft als Kostenstelle gesehen, die man am liebsten gar nicht wahrnehmen möchte. Entsprechend wurde oft nur taktisch und nicht selten auch nach „Compliance“ eingekauft. Umdenken heißt, weg zu gehen von einer fallbasierenden Analyse hin zu einem strategischen Grundkonzept. Ein Security-Partner hilft bei der Erstellung, Ausführung und mit einem durchgängigen Monitoring der benötigten Security-Infrastruktur. Er klärt auch, wie mit Änderungen und Notfallsituationen umzugehen ist.

Parallel bedeutet es aber in der Regel auch einige der 29 eingesetzten Lösungen zu ersetzen! Denn die Kosten eines solchen Services richten sich natürlich danach, wie viele einzelne Produkte überwacht werden müssen, und hier sorgen konsolidierte Lösungsansätze, die miteinander sprechen, für eine deutliche Verschlankung der Preise. Angebote dieser Art kennt man unter dem Namen „XDR“.

Die Wandlung von „XDR“

Ursprünglich war mit dem Begriff primär die Technologie gemeint, mit der erfolgreiche Angriffe möglichst schnell erkannt (Detection) wurden, um  dann darauf reagieren (Respond) zu können. Sie richtet sich damit auf die Notfallsituation eines Angriffs, der die primären Verteidigungswerkzeuge überwunden hat. Das Ganze muss möglichst umfänglich auf die gesamte Infrastruktur bezogen sein, also erweitertes („eXtended“) oder übergreifendes („Cross“) Detection & Response — XDR. Adressaten dieser Technik waren zunächst SOCs. Von Anfang an war die Übersichtlichkeit und Arbeitserleichterung durch XDR Kernbestandteil der Diskussionen da auch gut finanzierte SOC Abteilungen bei Großkonzernen an der Belastungsgrenze agieren. Aber sobald es darum geht, XDR vernünftig einzusetzen, stellt sich die Frage, ob ein XDR-Anbieter auch durch Manpower unterstützt. Heutige XDR Lösungen werden deshalb nicht nur an den rein technischen Fertigkeiten gemessen, sondern auch an ihren Möglichkeiten, durch Serviceangebote Kunden zu unterstützen.

Unter diesen Aspekten hat das IT-Security Analystenhaus Forrester eine Marktbetrachtung verschiedener XDR Anbieter unternommen. Dazu erklären die Marktforscher, was wichtig ist: „Ausgereifte Anbieter bieten native, Telemetrie-übergreifende Erkennung und Untersuchung mit begrenzten Reaktionsmöglichkeiten und ohne Orchestrierungsfunktionen. Diese Anbieter kombinieren die besten Elemente ihrer Portfolios, einschließlich branchenführender Produkte, um die Reaktion auf Vorfälle zu vereinfachen und gezielte, hochwirksame Erkennungen zu erstellen.“ Die Marktforscher haben übrigens Trend Micro die Höchstpunktezahl für ein „aktuelles Angebot“ gegeben.

Die zugehörige Studie können Sie hier lesen.

Fazit:

„Die Lage ist angespannt“. Bei auf Unternehmen gezielten Ransomware Angriffen haben wir im ersten Halbjahr 2021 gegenüber dem Halbjahr 2020 einen Anstieg von 60% gesehen. Es spricht nichts dafür, dass sich dieser Trend umkehrt. Unternehmen, die eine solche Attacke erleiden mussten, kämpfen mit der Komplexität der eigenen IT und IT-Sicherheitsinfrastruktur. XDR ist ein Ansatz, der die Vielzahl unterschiedlicher Quellen konsolidiert, um im Ernstfall schneller zu werden, beinhaltet aber auch ein Verfahren, um die Kosten für die IT Security zu verringern. Neben reiner Technologie bieten XDR-Anbieter auch Serviceleistungen entweder direkt oder im Verbund mit Fachhandelspartnern, um Kunden individuelle Ansätze zu ermöglichen.

Wir als XDR Anbieter würden lieber VOR einem Vorfall mit Ihnen über diese Themen sprechen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.