Wie XDR das Spiel der Cybersicherheit verändert
Extended Detection and Response (XDR) ist der aufsteigende Stern der Cybersicherheit. Aber ist der Hype gerechtfertigt? Wie wählt man die richtige Lösung aus, wenn eine Vielzahl von Anbietern zur Verfügung steht?
Der plötzliche Anstieg von XDR (Extended Detection and Response) ist geradezu dramatisch.
Der Begriff selbst wurde erst 2018 geprägt, und im Mai 2022 setzten ihn bereits rund 12 % der von der CyberRisk Alliance befragten Unternehmen ein. Innerhalb der nächsten zwei Jahre dürfte die XDR-Einführung auf 77 % ansteigen. Warum erweist sich XDR als ein solcher Erfolg? Und warum gibt es so viele Diskussionen darüber, was der neueste Star der Cybersicherheit eigentlich tut?
Die richtigen Grundlagen für XDR
Extended Detection and Response ist eine Sicherheitslösung, die Bedrohungen in Umgebungen wie Endgeräten, Servern, E-Mail und der Cloud erkennt und darauf reagiert. Es sammelt Daten, analysiert sie und setzt sie in einen Kontext, um aktuelle und künftige Bedrohungen zu erkennen, denen es dann Prioritäten zuweist und auf die es reagiert.
Ein Teil der Attraktivität von XDR besteht darin, dass es sich um eine einheitliche Plattform handelt, die alle Daten aus Ihrer IT-Umgebung sammelt und als Ganzes analysiert, so dass Sie sich bei der Überwachung und Verwaltung von Bedrohungen auf eine einzige Ressource verlassen können. Wie schneidet es also im Vergleich zu anderen herkömmlichen Cybersicherheitslösungen ab?
Wie ich in der Get Cyber Resilient-Show sagte: "Antivirus ist die Vergangenheit, bei der es wirklich um Schutz geht". EDR [Endpoint Detection and Response] ist die Gegenwart, bei der es um Erkennung, Reaktion und Ausfallsicherheit geht. Und dann ist XDR die Zukunft, es ist die organisatorische Belastbarkeit.
XDR hat ein enormes Potenzial für Unternehmen
Um ehrlich zu sein, behauptet jede neue Lösung auf dem Markt, sie könne die Welt verändern. Aber wenn wir das Marketing zurückschrauben und einen Blick unter die Haube von XDR werfen, wird klar, warum es sich in der Branche durchgesetzt hat:
- XDR erkennt Probleme in Ihrer gesamten Umgebung - genau wie Hacker es tun
- Durch die gemeinsame Betrachtung von Oberflächen, Netzwerken, Identität und der Cloud sieht XDR das gesamte Bild
- Es arbeitet kontinuierlich und nutzt Bedrohungsdaten, Algorithmen des maschinellen Lernens und Verhaltensanalysen, um Muster - und schwerwiegende Angriffe wie Ransomware - frühzeitig zu erkennen.
- Da es sich um ein einziges System handelt, das Daten aus verschiedenen Quellen standardisiert, reduziert es das Hintergrundrauschen, das Sicherheitsteams überfordern kann: ständige Warnmeldungen, mehrere Tools von verschiedenen Anbietern und Bedrohungen, die schwer zu vergleichen oder zu priorisieren sind.
- Automatisierte Erkennung, Datenanreicherung, Bedrohungsberichte und automatische Reaktionen entlasten die Mitarbeiter und geben ihnen die Werkzeuge an die Hand, um Bedrohungen schneller und präziser zu untersuchen und darauf zu reagieren.
Sie hat somit eine größere Reichweite als EDR oder Netzwerkverkehrsanalyse (NTA). Im Gegensatz zum Security Information & Event Management (SIEM) leitet XDR den Kontext aus allen Datenquellen ab und korreliert auf der Grundlage von Risiken und realen Bedrohungen (und sollte Sie mit viel weniger Warnungen konfrontieren). XDR ist kostengünstiger und erfordert weniger interne Ressourcen als herkömmliche SIEM- und SOAR-Modelle (Security Orchestration, Automation, and Response).
Aber XDRs können in vielen Formen auftreten, also Vorsicht für den Käufer
In Anbetracht dieser Qualitäten könnte XDR wie ein leichter Sieg erscheinen. Doch obwohl sich die Anbieter beeilen, "XDR" anzubieten, bieten sie nicht alle dasselbe an. Es ist sogar umstritten, wofür der Name steht. In der ursprünglichen Definition stand "X" für "alles" und umfasste jede Funktion oder Schwachstelle, die von Angreifern ausgenutzt werden könnte. Heute haben sich die meisten Experten auf "erweitert" geeinigt, was bedeutet, dass XDR in mehreren Umgebungen funktioniert. Das bedeutet jedoch nicht, dass sich jeder Anbieter an diese Definition hält.
Eine wichtige Unterscheidung, die Käufer kennen sollten, ist die zwischen nativem XDR, das Daten aus den eigenen Tools des Anbieters verwendet, und offenem (oder hybridem) XDR, das Daten aus den Tools mehrerer Anbieter zusammenführt. Open XDR bietet den Benutzern die Möglichkeit, ihre vorhandenen Sicherheitstools einzubinden und Daten aus einer breiten Palette von Quellen zu sammeln.
Einige offene XDR haben jedoch Schwierigkeiten, Daten aus verschiedenen Quellen zu standardisieren, und andere erfassen nicht die Daten aller Plattformen, was den Sinn von XDR von vornherein zunichte macht. Im Gegensatz dazu kann es sein, dass die Benutzer bei nativem XDR ihre derzeitigen Werkzeuge ausmustern müssen, aber sie erhalten oft umfassendere Daten, weil die Werkzeuge besser integriert und die Daten konsistenter sind.
Unternehmen sollten die Angebote der Anbieter sorgfältig prüfen
Diese Ungewissheit darüber, was XDR genau tut, wird durch Unternehmen verstärkt, die ihre Produkte als XDR bezeichnen, obwohl sie einem SIEM weitaus ähnlicher sind. Andere bieten möglicherweise keine vollständigen Endpunktfunktionen, keine umfassende automatische Reaktion oder kein Compliance-Management.
All dies bedeutet nicht, dass die Unternehmen, die sich mit der Einführung von XDR beeilen, einen Fehler begehen. Es lohnt sich jedoch, mit Vorsicht vorzugehen und den eigenen Bedarf zu ermitteln, bevor man sich nach einer XDR-Lösung umsieht. Hier sind einige Dinge, die ein potenzieller Käufer beachten sollte:
- Die Vorteile von nativem gegenüber offenem XDR für Ihr Unternehmen
- Wie der Dienst mit Ihren bestehenden Systemen zusammenarbeiten wird
- Qualität und Konsistenz der erstellten Daten
- Der Grad und die Wirksamkeit der Automatisierung
- Welche Schulungen für Sicherheitspersonal, Entwickler und Ihre Mitarbeiter erforderlich sind
- Ob ein verwaltetes XDR kosteneffizient wäre
XDR kann bei klugem Einsatz viel bewirken
XDR ist noch eine relativ neue Cyberlösung. Die Technologie ist noch nicht ausgereift, und nicht alle sind sich darüber einig, was sie eigentlich ist. Daher müssen die Unternehmen das Marketing durchschauen, ihren Bedarf ermitteln und eine Lösung finden, die für sie geeignet ist. In diesem Sinne müssen Sie Ihre aktuelle Sicherheitslage beurteilen, die Lücken bewerten und entscheiden, ob XDR der beste Weg ist, diese zu schließen. Wenn Sie das richtig machen, haben Sie eine Plattform, die eine schnelle Erkennung von und Reaktion auf Bedrohungen in Ihrer gesamten Infrastruktur ermöglicht - und das klingt nach einer Zukunft, für die es sich zu kämpfen lohnt.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!