XDR richtig verstanden

XDR (Extended Detection and Response) ist die neueste Entwicklung im Bereich Threat Detection und Response. Sie löst zunehmend Endpoint Detection and Response (EDR) ab, weil immer raffiniertere Hackerattacken schnelle Reaktionen erfordern und die Absicherung der Endpoints alleine nicht ausreicht.

XDR ist für Sicherheitsexperten ein neues Thema. In diesem Artikel wollen wir einen Überblick geben, was XDR eigentlich ist und wie es die Unternehmenssicherheit verbessern kann. Zusammenfassend kann XDR – kurz für Extended Detection and Response (oder manchmal auch X-Product Detection and Response) – wie folgt definiert werden:

Ein Ansatz, der Informationen aus mehreren Sicherheitsprodukten zusammenführt, um die Erkennung, Untersuchung und Reaktion auf Bedrohungen auf eine Weise zu automatisieren und zu beschleunigen, wie es isolierte Einzellösungen nicht können.

Bildunterschrift: Sophos XDR in der Übersicht (Bildquelle: Sophos)

Wir haben vor kurzem unser Early-Access-Programms für Sophos XDR https://news.sophos.com/en-us/2021/02/24/try-out-powerful-new-xdr-and-edr-features-now-in-early-access-for-intercept-x/  eingeführt und wollen nun einen genaueren Blick darauf zu werfen, wie das Konzept entstanden ist, was genau XDR ist und tut und was wir bei Sophos tun, um XDR für unsere Kunden bereitzustellen.

Die Rolle von Threat Detection und Response in der Sicherheit

Es gibt ein klassisches Sprichwort in der Informationstechnologie: Prävention ist ideal, aber Erkennung ist ein Muss. Die meisten Administratoren sind mit diesem Spruch vertraut, aber oft wird der Gedanke doch vernachlässigt. Irgendwann wird einem Chief Information Security Officer (CISO), Sicherheitsdirektor oder IT-Leiter klar, dass präventive Kontrollen wie Endpunktschutz und Next-Gen-Firewall zwar wichtig sind, aber nicht ausreichen. Die Frage lautet dann nicht mehr „Was können wir blockieren?“, sondern „Was übersehen wir?“.

Bedrohungserkennung und -reaktion ist eine Methodik, die es den Sicherheitsverantwortlichen ermöglicht, Angriffe zu erkennen und zu neutralisieren, bevor sie Störungen verursachen oder zu einer Sicherheitsverletzung führen. Mit anderen Worten: Was übersehen wir, und was können wir dagegen tun?

Wie jede Technologielösung muss auch diese Methodik durch Tools und Mitarbeiter unterstützt werden, die wissen, wie man sie einsetzt.

Endpunkt-Erkennung und -Reaktion

In den letzten fünf Jahren hat sich die Endpunkt-Erkennung und -Reaktion (EDR) zu einem bevorzugten Tool für Sicherheitsteams entwickelt.

Im Gegensatz zu einem Security Information and Event Management (SIEM) System, das Ereignisprotokolle von verschiedenen Produkten sammelt und zu korrelieren versucht, handelt es sich bei EDR um ein speziell entwickeltes Tool. Sein Endpunkt-Agent sammelt genau die Arten von Daten, die für die Erkennung und Untersuchung von Bedrohungen am hilfreichsten sind. Die Konsole versteht die Daten, reichert sie an, verknüpft Aktivitäten miteinander, ermöglicht Reaktionsmaßnahmen (die vom Agenten ausgeführt werden) und vereinfacht Untersuchungen.

So leistungsfähig EDR-Tools auch sein mögen, sie sind auf die Erkennung und Reaktion auf Endpunkten beschränkt. Das ist nicht unbedingt schlecht. Wenn Sie sich für einen Ort entscheiden müssten, auf den Sie Ihre Erkennungs- und Reaktionsbemühungen konzentrieren, wären Endpunkte eine gute Wahl. Sie sind eine ergiebige Datenquelle, sie sind der wichtigste Interaktionspunkt für Ihre Benutzer und sie sind ein effektiver Kontrollpunkt, um Bedrohungen zu stoppen. Wenn Sie sich nur auf Endpunkte konzentrieren, werden auch die Daten und die Benutzeroberfläche eingeschränkt, so dass Sie ein schlankeres Tool erhalten.

Dennoch gibt es Dinge, die EDR-Tools nicht können, wenn Sie isoliert mit Endgeräten arbeiten. Schließlich ist Ihre IT-Umgebung ein zusammenhängendes Netz aus Netzwerken, Kommunikationstools, mobilen Geräten, Cloud-Anwendungen und vielem mehr. Um Ihre IT-Infrastruktur umfassender zu schützen, wäre ein integriertes Erkennungs- und Reaktionssystem hilfreich. Hier kommt XDR ins Spiel.

Erweiterte Erkennung und Reaktion

XDR greift die Idee von EDR auf und erweitert sie. Anstatt sich nur auf den Endpunkt zu konzentrieren, werden Daten von anderen Sicherheitstools wie Firewalls, E-Mail-Gateways, öffentlichen Cloud-Tools und mobilen Bedrohungsmanagementprodukten einbezogen.

Da es sich bei XDR um eine noch junge Technologie handelt, variiert die genaue Technologie von Anbieter zu Anbieter, aber einige typische Komponenten sind:

– Sensoren, die Telemetriedaten von verschiedenen Aspekten der IT-Infrastruktur liefern. Dabei kann es sich um vorhandene Produkte handeln, wie z. B. Endpunktschutz oder eine Firewall, oder um zusätzliche Komponenten, wie z. B. eine virtuelle Appliance, die Sie in Ihrem Rechenzentrum einsetzen.

– Durchsetzungspunkte, die es Ihnen ermöglichen, Maßnahmen zu ergreifen, z. B. einen gefährdeten Endpunkt unter Quarantäne zu stellen, den Netzwerkverkehr zu blockieren oder Malware zu entfernen. Häufig fungieren die Sensoren auch als Durchsetzungspunkte.

– Eine Analyse- und Verwaltungsplattform, die in der Regel cloudbasiert ist. Im Idealfall wird die Plattform durch Automatisierung und Datenanreicherung unterstützt, um die Erkennung, Untersuchung und Reaktion zu optimieren.

– Anwendungsschnittstellen (APIs), die die Integration in bestehende Systeme und Arbeitsabläufe ermöglichen.

Während all diese Komponenten auch manuell zusammengefügt werden können, ist eine richtige XDR-Lösung so konzipiert, dass sie als System zusammenarbeitet. Die Komponenten kennen sich gegenseitig und arbeiten zusammen, um die Arbeitsabläufe zur Erkennung von und Reaktion auf Bedrohungen zu optimieren.

Letztendlich werden diese Arbeitsabläufe von Menschen gesteuert. Die besten XDR-Systeme verbessern die Effektivität jedes IT- oder Sicherheitsexperten, indem sie Einsteigern intuitive Tools und dem erfahrenen Sicherheitsanalysten granulare Kontrolle bieten.

Unternehmen, die über die notwendigen Ressourcen verfügen – zu denen oft auch die Rund-um-die-Uhr-Besetzung durch hochqualifizierte Analysten gehört -, können sich dafür entscheiden, die gesamte operative Arbeit selbst zu erledigen. Andere wiederum beauftragen einen Managed Detection and Response (MDR)-Service durch einen qualifizierten Managed Service Security Provider (MSSP), um ihre Sicherheitsmaßnahmen zu ergänzen oder vollständig auszulagern.

In jedem Fall dient eine XDR-Plattform als grundlegendes Tool der nächsten Generation für die unternehmensweite Erkennung von und Reaktion auf Bedrohungen.

Sophos und XDR

XDR ist ein neuer Begriff für eine aufstrebende Produktkategorie, aber Sophos denkt schon seit langem über dieses Konzept nach. Dies spiegelt sich in den Produkten wider, die wir auf den Markt gebracht haben, sowie in der Vordenkerrolle, die wir in den letzten Jahren bewiesen haben.

Da wäre zunächst Sophos Central https://www.sophos.com/en-us/products/sophos-central.aspx , unsere einheitliche Cloud-native Management- und Reporting-Plattform für alle unsere Produkte der nächsten Generation. Wir waren einer der ersten Sicherheitsanbieter, der die Bedeutung der Zusammenführung von Sicherheitsmanagement in der Cloud erkannt hat, und bis heute bieten wir das breiteste Portfolio an Sicherheitsprodukten in einem einzigen Fenster.

Und dann ist da noch Synchronized Security https://www.sophos.com/en-us/lp/synchronized-security.aspx , das wir 2015 eingeführt haben. Sophos hat den Bedarf an einem vernetzten System vorausgesehen und eine Zwei-Wege-Kommunikation zwischen Produkten wie unserem Endpoint-Schutz und unserer Next-Gen-Firewall ermöglicht. Die zusätzliche Transparenz und die automatisierte Reaktion, die durch Synchronized Security ermöglicht werden, sind Schritte in Richtung der produktübergreifenden Analysen und koordinierten Reaktionen, die für eine XDR-Lösung erforderlich sind.

EDR ist natürlich auch ein Sprungbrett zu XDR. Sophos bietet eine leistungsstarke EDR-Lösung https://www.sophos.com/en-us/products/endpoint-antivirus/edr.aspx , die auf dem weltbesten Endpoint-Schutz Intercept X https://www.sophos.com/en-us/products/endpoint-antivirus.aspx , aufbaut. Kernelemente unseres EDR, wie flexible SQL-basierte Abfragen und auditierbare Live Response-Konsolen, sind die Grundlage für die Bereitstellung von XDR.

Für Kunden, die Hilfe bei den Sicherheitsabläufen gebrauchen können, bietet Sophos Managed Threat Response (MTR) https://www.sophos.com/en-us/products/managed-threat-response.aspx  XDR als Managed Service an. MTR bietet eine maschinenbeschleunigte menschliche Reaktion, die unseren EDR und andere Sophos Central-Produkte wie XG Firewall https://www.sophos.com/en-us/products/next-gen-firewall.aspx und Cloud Optix https://www.sophos.com/en-us/products/cloud-optix.aspx nutzt.

All dies dient der Verwirklichung unserer Vision eines vollständig vernetzten XDR-Systems. Dieses umfasst alle oben genannten Elemente, geht aber mit einem zentralen Datenspeicher, produktübergreifender Suche, adaptiver Analyse, programmierbaren Sensoren, koordinierter Reaktion und APIs für Erweiterbarkeit noch weiter.

Unser kürzlich angekündigtes Early-Access-Programm für Sophos XDR ist ein kleiner Vorgeschmack auf unsere erste Ausgestaltung dieser Entwicklung. Probieren Sie es aus, um zu sehen, wie wir unsere Kunden, unseren MTR-Service und unsere Managed Service Provider (MSP) Partner in die Lage versetzen, effektivere, zugänglichere und umfassendere Bedrohungserkennung und -abwehr zu bieten.

XDR und Sie

Wenn Ihr Unternehmen bereit ist, über die grundlegende IT-Sicherheitshygiene hinauszugehen, dann kann die Implementierung eines XDR-gestützten Erkennungs- und Reaktionsverfahrens – intern, verwaltet oder hybrid – ein logischer nächster Schritt sein, um Sie vor versteckten Bedrohungen zu schützen.

Wenn Sie bereits über ein System zur Erkennung und Reaktion auf Bedrohungen verfügen, sollten Sie eine XDR-Lösung in Betracht ziehen, um Anbieter zu konsolidieren, Ihre Effizienz zu verbessern und die Sicherheit Ihres Unternehmens zu erhöhen.

Wenn Sie mehr darüber erfahren möchten, wie Sophos Sie bei der umfassenden Erkennung und Abwehr von Bedrohungen unterstützen kann, melden Sie sich bitte für das Sophos XDR Early Access Program  https://community.sophos.com/intercept-x-endpoint/b/blog/posts/xdr-edr-data-lake-early-access-program-now-publicly-available  an oder kontaktieren Sie Ihren Sophos Partner.

 

Themenseiten: Software, Sophos

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu XDR richtig verstanden

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *