Extended Detection and Response (XDR): Definition

XDR (eXtended Detection and Response) ist ein Cybersicherheitstool für die Erkennung und Bekämpfung von Bedrohungen. Es erfasst Daten aus vielen bestehenden Sicherheitsebenen und ermöglicht einen kohärenten, ganzheitlichen Ansatz für SecOps-Systeme.

XDR korreliert Daten aus verschiedenen Quellen der jeweiligen IT-Umgebung – Endpoints, Netzwerk, E‑Mail-Sicherheit, Identitätsprüfung, Zugriffsverwaltung, Cloud und mehr – und erkennt und bekämpft Cyberangriffe in der gesamten Umgebung, die durch dieses Dataset repräsentiert wird.

Warum ist XDR wichtig?

XDR ist wichtig, weil die Internetkriminalität jährlich um 15 % zunimmt1 und die Folgen eines Angriffs für ein Unternehmen verheerend sein können. Diese Folgen reichen von der Zerstörung von Daten oder Infrastrukturen über den Diebstahl finanzieller Vermögenswerte, Produktivitätsverluste und den Diebstahl geistigen Eigentums bis hin zur Unterbrechung des normalen Geschäftsbetriebs – und weit darüber hinaus. Daher benötigen Sie zum Schutz Ihres Unternehmens Sicherheitstools.

Neue Schwachstellen und immer verdecktere Cyberangriffe bedeuten, dass Sie mehr Ressourcen für die Sicherheit Ihrer cloudbasierten Infrastruktur bereitstellen müssen. Angesichts des Mangels an erfahrenen Sicherheitsexpert:innen greifen Unternehmen auf die XDR-Technologie zurück, um die Erkennung und Bekämpfung von Angriffen zu automatisieren.

Sehen wir uns einmal an, welche Teile der Infrastruktur eines Unternehmens in Gefahr sind:

  • Netzwerk: Ihr Netzwerk – die Verbindungen zwischen den Computern und Geräten in Ihrem Unternehmen – kann Angriffen ausgesetzt sein, die darauf abzielen, unbefugten Zugang zu erhalten und die Daten, die durch Ihr Netzwerk laufen, zu stehlen, zu verändern oder zu verschlüsseln.
  • Endpoints: Die Geräte, die mit Ihrem Netzwerk verbunden sind, wie Laptops, Smartphones, Tablets oder Desktop-PCs Ihrer Kund:innen oder Mitarbeiter:innen, bieten Angreifenden Einstiegs- und Drehpunkte für den Zugriff auf wertvolle Daten.
  • Cloud: Dass die Cloud das Teilen von Daten so einfach macht, ist zugleich ihre größte Schwachstelle. Ein bevorzugtes Ziel von Angriffen sind Authentifizierungssysteme und öffentliche APIs.

Wie wichtige CISOs weltweit ihre Unternehmen vor aufkommenden Bedrohungen schützen

Andere Arten von Lösungen für die Erkennung und Bekämpfung

NDR (Network Detection and Response): NDR-Dienste beschränken sich auf das Monitoring des Netzwerkverkehrs. Sie analysieren den Netzwerkverkehr, um einen Vergleichswert dafür zu erstellen, was „normales“ Netzwerkverhalten ist. Wenn dann andere Verhaltensweisen beobachtet werden, werden diese gekennzeichnet und gemeldet, damit entsprechend reagiert werden kann.

EDR (Endpoint Detection and Response): Bei EDR kommt sowohl signatur- als auch verhaltensbasiertes Sicherheitsmonitoring von Endpoints zum Einsatz. Security-Expert:innen werden auf ungewöhnliches oder verdächtiges Verhalten auf einem bestimmten Gerät aufmerksam gemacht, um schneller reagieren zu können.

Managed Detection and Response (MDR): MDR ist ein ausgelagerter Dienst, der Unternehmen ein Grundmaß an SecOps-Funktionen bietet. Dabei kommen häufig diensteigene Versionen von EDR- oder XDR-Software zum Einsatz. MDR-Anbieter stellen Unternehmen Sicherheitspersonal zur Verfügung, das Bedrohungen für die Cybersicherheit überwacht, einordnet und untersucht.

Was ist der Unterschied zwischen XDR und EDR?

EDR ist auf Endpoints beschränkt und deckt damit Ihre Angriffsfläche nicht vollständig ab. Dass EDR keine darüber hinausgehende Transparenz bietet, ermöglicht die Nutzung alternativer Angriffsmethoden.

XDR deckt dagegen Ihre gesamte Infrastruktur ab und überwacht Endpoints, E‑Mails, Server, das Netzwerk und die Cloud, um Angriffe zu erkennen und zu bekämpfen.

Was ist der Unterschied zwischen XDR und NDR?

Der Hauptunterschied zwischen XDR und NDR besteht im Umfang der Abdeckung. Als in einem Silo isolierte Funktion beschränkt sich NDR, ebenso wie EDR, auf das Monitoring des Netzwerkverkehrs. Es bewertet und meldet Sicherheitsbedrohungen im Netzwerk und leitet Maßnahmen zur Bekämpfung ein.

XDR nutzt eine breitere Palette von Technologien, um mehr erkennen und bekämpfen zu können und ein vollständigeres Bild der Bedrohungsoberfläche zu bieten.

XDR vs. MDR

Bei MDR handelt es sich um einen ausgelagerten Dienst, bei dem den Sicherheitsteams spezialisierte Security Analysts zur Seite gestellt werden, die die Technologie bereitstellen und die das Monitoring sowie die Untersuchung und Bekämpfung von Bedrohungen übernehmen. MDR-Anbieter nutzen für die Bedrohungsüberwachung und ‑bekämpfung typischerweise eine Kombination aus Sicherheitstechnologien wie SIEM, EDR und NDR.

XDR ermöglicht es dem Sicherheitsteam, eigenständig Cybersicherheitsangriffe zu analysieren und zu bekämpfen. XDR kann entweder automatisch auf Angriffe reagieren oder die Mitglieder des Teams benachrichtigen, sodass es manuell Maßnahmen ergreifen kann.

Wie funktioniert XDR?

Dinge, die manuell schwierig zu bewerkstelligen wären, erledigt XDR automatisch. XDR sammelt Daten aus den verschiedenen Sicherheitsprodukten, um Ihnen ein ganzheitliches Bild der potenziellen Bedrohungen zu liefern. Es korreliert die Telemetriedaten dieser unterschiedlichen Tools und führt erweiterte Analysen durch, um anomale und verdächtige Aktivitäten zu erkennen. Wenn XDR ein verdächtiges Muster erkannt hat, reagiert die Technologie automatisch oder sie benachrichtigt das Sicherheitsteam, damit es aktiv werden kann. Welche Maßnahmen von XDR ergriffen werden, hängt von der jeweiligen Konfiguration ab. So kann die jeweilige IP-Adresse blockiert werden, die oder der betreffende Nutzer:in kann unter Quarantäne gestellt oder die gesamte Domäne kann blockiert werden.

XDR kann Sicherheitsteams auf sehr unterschiedliche Weise helfen:

  • Zentralisierte Analyse: Mit XDR können Sicherheitsteams Angriffe aufdecken und bekämpfen, gleich, wo sie stattfinden. Ermöglicht wird dies dadurch, dass XDR in der Lage ist, verschiedene Arten von Daten zu erfassen und zu analysieren.
  • Bekämpfung der Alarmmüdigkeit: XDR sortiert und priorisiert Alerts, was der Produktivität der Sicherheitsexpert:innen zugutekommt.
  • Höhere Effizienz: Mit XDR müssen Ihre Teams weniger Zeit auf das Erkennen von Angriffen oder das manuelle Korrelieren von Daten verwenden. Und da Ihre Sicherheitsteams weniger untersuchen müssen, haben sie mehr Zeit, Entwicklungsaufgaben zu erledigen.

Anwendungsfälle für XDR

XDR-Lösungen können für die verschiedensten Anwendungsfälle zum Einsatz kommen:

  • Alert-Einordnung: XDR-Software kann als erste Verteidigungslinie eines Unternehmens agieren, indem sie Angriffe und Bedrohungen erkennt und den Analyst:innen hilft, Alerts vorzusortieren und einzuordnen. Der Einsatz von XDR als eine Art Ersthelfer bei einem Angriff oder einem Sicherheitsereignis macht die Arbeit der Sicherheitsteams effizienter, kann der Alert doch gleich an die richtigen Expert:innen übergeben und proaktiv analysiert werden.
  • Security-Untersuchung: Die zentralisierten Erfassungs-, Analyse- und Reaktionsmöglichkeiten von XDR ermöglichen es den Untersuchenden, schneller zu reagieren.
  • Threat Hunting: XDR sorgt für zusätzliche Transparenz, die wiederum bessere Korrelationen ermöglicht und zur Verbesserung der umgebungsübergreifenden Analyse beiträgt und so die Arbeit von Threat Huntern erleichtert.

Welche Vorteile bietet XDR?

  • Mehr Transparenz: XDR-Lösungen ermöglichen bessere Einblicke in Endpoints, Netzwerke und Cloud-Umgebungen. Dank der Möglichkeit, sich alle Daten aus allen Quellen von einem zentralen Ort anzusehen, können Analyst:innen schnell Anomalien und verdächtige Aktivitäten im gesamten Unternehmen erkennen, was bei der Identifizierung potenzieller Angriffe hilfreich sein kann.
  • Zentralisierte Analyse: XDR-Lösungen können Daten aus verschiedenen Quellen, wie Logs, Endpoints und Netzwerkverkehr, sammeln und korrelieren, damit Ihre Teams einen umfassenderen Überblick über die Bedrohungslage erhalten. Die Daten werden in ihrem jeweiligen Kontext gezeigt, sodass Analyst:innen das Ausmaß eines Angriffs besser verstehen und ihre Gegenmaßnahmen priorisieren können.
  • Mehr Produktivität: XDR-Lösungen können Routineaufgaben wie die Erfassung, Analyse und Untersuchung von Daten automatisieren, was die Analystenteams für komplexere Aufgaben freisetzt. Dies kann dazu beitragen, die für die Erkennung und Bekämpfung von Angriffen benötigte Zeit zu verkürzen, was die Effizienz des Threat Huntings insgesamt verbessert.
  • Umfassender Kontext: XDR-Lösungen lassen sich in Threat-Intelligence-Feeds integrieren, sodass Analyst:innen zusätzliche Informationen über bekannte Bedrohungen und Angriffsindikatoren erhalten. Dies kann helfen, neue oder aufkommende Bedrohungen zu erkennen und proaktiv nach ihnen zu suchen.

Kriterien für die Auswahl der richtigen XDR-Plattform für Ihre Organisation

  1. Sie sollten sich für eine XDR-Lösung entscheiden, mit der Sie Analyse, Ursachensuche und Bekämpfungsplanung von einem zentralen Ort aus durchführen können. Das Ziel muss sein, Sicherheitssilos aufzubrechen und so für umfassende Einblicke in Ihre Umgebung zu sorgen.
  2. Suchen Sie nach einem XDR-Dienst, der einen flexiblen Rahmen und eine flexible Architektur bietet, sodass Sie neue Anwendungsfälle implementieren und entsprechend den Anforderungen Ihrer Organisation skalieren können.
  3. Der XDR-Dienst, für den Sie sich entscheiden, muss integriert sein, damit Ihr Unternehmen Workloads automatisieren und dadurch schneller reagieren kann.

Limitless XDR von Elastic

Mit Limitless XDR von Elastic können Sicherheitsteams ihre sich rasch entwickelnden Organisationen trotz begrenzter Ressourcen, unzusammenhängender Systeme und der Grenzen herkömmlicher Sicherheitstools gegen immer raffiniertere Angriffe verteidigen.

Aufbauend auf einer offenen Plattform, die für die Hybrid-Cloud entwickelt wurde – mit einem Agent, der sowohl Ransomware als auch komplexe Bedrohungen stoppt –, versetzt Elastic Security das SOC in die Lage, Risiken zu reduzieren. Die Lösung nutzt für die Analyse historische Daten Ihrer Angriffsfläche aus den zurückliegenden Jahren und beseitigt so Datensilos, automatisiert die Prävention und Erkennung und optimiert die Untersuchung und Bekämpfung.

Sicherheit ist der Schlüssel für das Wachstum Ihres Unternehmens. Wir von Elastic bieten Ihnen eine skalierbare, schnelle XDR-Technologie, die es Ihrem Team ermöglicht, sich auf das zu konzentrieren, wofür es eigentlich da ist.

Fußnoten

1 Morgan, Steve, Cybercrime to Cost the World $10.5 Trillion Annually by 2025, Cybercrime Magazine, 27. April 2021, https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021.