XDR – eine wirksame Strategie

Kommentar von Richard Werner, Business Consultant

 

 

 

 

 

Kürzlich hat das Marktforschungsunternehmen ESG im eigenen Blog das Sicherheitskonzept XDR unter die Lupe genommen. Der Autor Dave Gruber unterstreicht dabei die Notwendigkeit und Vorteile dieses neuen Ansatzes. Grubers Argumente für den neuen Ansatz sind bestechend, und verdienen einen „Like“. Doch gibt es noch ein paar zusätzliche Aspekte, die er nicht betrachtet hat, die es aber verdienen, ergänzt zu werden. Trend Micro war unter den ersten Sicherheitsanbietern, die sich dieses Konzept zu eigen gemacht haben und somit bereits Erfahrungen sammeln konnte.

Bislang versuchten Sicherheitsteams, mit Tools wie SIEM (Security Information and Event Management) oder auch SOAR (Security Orchestration, Automation and Response) möglichst schnelle Reaktionen auf Angriffe zu ermöglichen. Doch gibt es gute Gründe, warum dies nicht zufriedenstellend funktioniert, so der ESG-Autor. SIEMs sind zu umfangreich, der Stack zu kompliziert, die Alert-Aggregation zu „laut“, Daten seien häufig zu unterschiedlich und die Response erfordert Aktionen über mehrere Sicherheitskontrollen und damit Sicherheitsteams hinweg, erläutert der Experte.

XDR, so Gruber weiter, baut auf dem Erfolg des Endpoint Detection und Response (EDR)-Modells auf und erweitert es, sodass Telemetrie von zusätzlichen Sicherheitskontrollen wie Netzwerk, Cloud, E-Mail und mehr ebenfalls aggregiert und korreliert wird. Die Erwartung an XDR: Aufgrund der breiteren Übersicht über die Aktivitäten über die Sicherheitskontrollen hinweg soll mehr Automatisierung und damit eine bessere Abdeckung, tiefere Einsichten und schließlich schnelle, automatisierte Reaktionen auf die heutigen ausgeklügelten Angriffe möglich sein.

XDR ist mehr als nur „Detection & Response“

Doch darüber hinaus sollte XDR nicht lediglich als Weiterentwicklung von EDR betrachtet werden. XDR ist eine Strategie und kein Produkt.

Unternehmen setzen immer wieder neue Technologie ein, sei es im Bereich der Cloud, mobiler Clients und anderer, oder sie binden auch bestehende Strukturen an (z.B. Produktionsanlagen). Dadurch werden die Unternehmensumgebungen komplexer und vorhandene Sicherheitslösungen lassen sich nicht generell dafür einsetzen und über das Neue stülpen. Als Folge ist die IT-Security-Abteilung ständig damit beschäftigt, nach neuen Lösungen Ausschau zu halten und kann nur sehr punktuell auf Probleme reagieren. Das bedeutet, dass Sicherheit in vielen Unternehmen einfach aus einer Sammlung verschiedener Tools besteht, die nicht mehr gemangt werden können. Angreifer nutzen das aus und haben oft auch ein Näschen für ungelöste Probleme.

Hier kann XDR Abhilfe schaffen. Doch alle auf dem Markt erhältlichen Lösungen funktionieren am besten mit den eigenen Tools. Deswegen ist es wichtig festzustellen, dass XDR eine Strategie und kein Produkt ist. Auf der einen Seite unterstützt das Konzept dabei, die Lücken zu identifizieren (Root Cause Analyse) auf der anderen decken die Lösungen natürlich Angriffe auf und helfen bei der rechtzeitigen Bekämpfung. Das Konzept gibt Unternehmen die Möglichkeit, die eigentliche Security zu streamlinen. Und letztendlich ist die schönste Detection und Response-Taktik ohne vernünftiges Schutzkonzept auch ziemlich schnell überfordert. Das darf man nicht trennen.

Das „X“ steht für beherrschbare Vielfalt

Das X steht für „Cross“, sprich übergreifendes Detection & Response — und ja, es ist die Weiterentwicklung von EDR. Aber es ist auch die konsequente Betrachtung des eigentlichen Problems – die nicht mehr beherrschbare Vielfalt verschiedener Produkte von unterschiedlichen Herstellern. Immer mehr Anbieter gehen deshalb dazu über, Kunden ein möglichst umfassendes Angebot an eigenen Lösungen zur Verfügung zu stellen, damit nicht nur der Verwaltungsaufwand verschlankt werden kann, sondern auch Ausbildung, Herstellermanagement, Lizenzen etc. und natürlich auch Eskalationsmanagement und -Reaktion. Das bedeutet, XDR ist eine Strategie, um alle Probleme, auch die, die wir heute noch nicht kennen, zu bekämpfen.

Trend Micro hat zu den ersten Unternehmen gehört, die 2019 den Namen „XDR“ benutzt haben. Den Ansatz, verschiedene Security-Systeme miteinander zu verbinden, um daraus nicht nur besseren Schutz sondern auch schnellere Entdeckungen und Reaktion auf erfolgreiche Angriffe zu ermöglichen, gibt es bei Trend Micro jedoch schon seit 2013. Wir nannten dies früher „Connected Threat Defense“. Trend Micro hat deshalb als einer der wenigen Security-Hersteller sein Angebot konsequent ausgebaut und nicht reduziert.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.