Email Security

    Die Vorteile von Cybersecurity Analytics Powered by XDR

    Analysesoftware für die Cybersicherheit hilft Unternehmen bei der proaktiven Bewertung von Bedrohungen, und die von XDR-Lösungen unterstützten Analysen bieten zusätzliche Vorteile.

    by Jules Martin

    Wichtige Punkte

    • Cybersecurity-Analysen ermöglichen es Unternehmen, Daten zu nutzen, um proaktiv gegen Bedrohungen vorzugehen.
    • Herkömmliche SIEM- und SOAR-Analysetools reichen möglicherweise nicht aus, um die Risiken in der dynamischen Bedrohungslandschaft von heute zu bewältigen.
    • Cybersecurity-Analysen auf der Grundlage von Extended Detection and Response (XDR) erhöhen den Umfang und die Reichweite von Analysen und automatisierten Reaktionen.

    Unternehmen sehen sich heute nicht nur mit einer ständig wachsenden Zahl immer raffinierterer Cyberangriffe konfrontiert, die von Botnetzen und dem Abfangen von Zugangsdaten bis hin zu Malware und natürlich Spam reichen. Außerdem müssen sie sich mit einem wachsenden Radius für Datenschutzverletzungen und andere Vorfälle auseinandersetzen, da IT- und Sicherheitsteams immer mehr Anwendungen, Geräte und Daten verwalten, die alle miteinander verbunden sind, um den Mitarbeitern ein effizienteres Arbeiten zu ermöglichen. 

    In dieser Bedrohungslage können es sich Unternehmen nicht leisten, einen reaktiven Ansatz für das Cybersecurity-Risikomanagement zu wählen. Der Stress, auf einen Vorfall nach dem anderen zu reagieren, trägt zum Burnout der Mitarbeiter im Bereich Cybersicherheit bei und macht es fast unmöglich, Angreifern einen Schritt voraus zu sein.

    Hier kommt die Cybersicherheitsanalytik ins Spiel. Der Mimecast-Partner Splunk definiert Cybersecurity Analytics als "einen proaktiven Ansatz für die Cybersicherheit, der Datenerfassungs-, -aggregations- und -analysefunktionen nutzt, um wichtige Sicherheitsfunktionen auszuführen, die Cyberbedrohungen erkennen, analysieren und entschärfen." Analyselösungen fassen Daten aus vielen Quellen zusammen - Ereignisprotokolle, Firewalls, Bedrohungsdaten, Virenscanner, Benutzer- und Geräteverhalten usw. - so dass Unternehmen mit einer einzigen Datenquelle arbeiten können.[1]

    Die Anwendung robuster Analysemethoden auf diese Daten hilft Unternehmen bei der Priorisierung von Warnungen, bei der Identifizierung von abnormalem Benutzer- oder Geräteverhalten und bei der Untersuchung, wie Systeme bei früheren Vorfällen kompromittiert wurden, um sicherzustellen, dass sich die Geschichte nicht wiederholt. Plattformen wie die Mimecast X1 Platform mit einer speziell entwickelten Datenanalyseschicht tragen dazu bei, dass Sicherheitsteams verwertbare Erkenntnisse erhalten und die Bedrohungen, denen sie ausgesetzt sind, besser verstehen.

    XDR vs. SIEM vs. SOAR 

    Bevor wir uns mit der Funktionsweise der Cybersicherheitsanalyse befassen, lohnt es sich, die aktuelle Landschaft der Tools zur Analyse und Reaktion auf Sicherheitsbedrohungen zu verstehen. Auf dem Markt gibt es drei Haupttypen von Software, die Cybersicherheitsanalysen enthalten:

    • Security Information and Event Management: SIEM-Software protokolliert Daten über Sicherheitsvorfälle. Unternehmen können mehrere SIEM-Tools verwenden, um einen besseren Überblick über ihre gesamte Bedrohungslandschaft zu erhalten. 
    • Security Orchestration and Response: SOAR-Software automatisiert die Behebung von und die Reaktion auf Sicherheitsvorfälle; dazu gehört auch die Einstufung komplexerer Bedrohungen zur Überprüfung durch Sicherheitsexperten.
    • Erweiterte Erkennung und Reaktion: Die Software XDR konzentriert sich auf die Erkennung, Untersuchung und Reaktion von Bedrohungen, indem sie Daten aus verschiedenen Sicherheitsüberwachungssystemen abruft und analysiert und automatisch in Echtzeit auf Bedrohungen reagiert.

    XDR ist das neueste - und wohl auch das umfassendste - dieser Werkzeuge. Es schließt die Lücke zwischen SIEM und SOAR, ohne dass eine komplexe und kostspielige kundenspezifische Integration oder Sicherheitsanalyse-Add-ons erforderlich sind. Forrester geht sogar so weit zu behaupten, dass sich XDR "auf Kollisionskurs" mit SIEM und SOAR befindet - und der Ansatz von XDR für Cybersecurity-Analysen ist ein wesentlicher Grund dafür.[2]

    Herkömmliche Tools schränken die Effektivität von Cybersicherheitsanalysen ein

    XDR gewinnt an Aufmerksamkeit, weil die Unternehmen feststellen, dass herkömmliche Werkzeuge nicht ausreichen. Von den Unternehmen, die in einem aktuellen Bericht von 451 Research befragt wurden, gaben weniger als 40 % an, dass ihre SIEM-Lösung Daten von mindestens 75 % der Systeme sammelt, die ein Protokoll der Sicherheitsaktivitäten erstellen. Darüber hinaus gaben fast 30 % der Befragten an, dass ihnen die Ressourcen fehlen, um mehr als der Hälfte der eingegangenen Warnmeldungen nachzugehen. Kritisch anzumerken ist, dass mehr als die Hälfte (56 %) der Unternehmen, die SIEM einsetzen, mehrere Sicherheitsmitarbeiter benötigen, um die Warnmeldungen zu verwalten und zu überwachen, da die SIEM-Tools nicht für die Reaktion auf Zwischenfälle konzipiert sind.[3] 

    Theoretisch sind SOAR-Produkte so konzipiert, dass sie automatisch auf die von einem SIEM-System erzeugten Daten und Erkenntnisse reagieren. In der Praxis hat sich die Integration der beiden Arten von Lösungen jedoch als schwierig erwiesen. Dies schränkt den Einblick eines Unternehmens in sein Cybersecurity-Risiko und seine Fähigkeit zur Automatisierung der Reaktion auf Bedrohungen ein, was wiederum den Wert und die Effektivität von Cybersecurity-Analysen einschränkt.

    6 Vorteile von Cybersecurity Analytics Powered by XDR

    XDR behebt diese Unzulänglichkeiten durch die Integration von Datenaggregation, Automatisierung, Analyse und Intelligenz in einer einzigen Lösung. Cybersecurity-Analysen auf der Grundlage von XDR bieten sechs wesentliche Vorteile: 

    • Verbesserte Reaktionsmöglichkeiten auf Bedrohungen: Wie 451 Research es ausdrückt, ist XDR ein "Kraftmultiplikator" für Sicherheitsteams. Durch die Automatisierung der Ereignisauswertung kann auf mehr Ereignisse in kürzerer Zeit reagiert werden, so dass die Analysten mehr Zeit für proaktive Aufgaben wie die Entwicklung von Cybersicherheitsrichtlinien aufwenden können.
    • Scannen in Echtzeit: Da XDR-Lösungen Daten von Sicherheitsüberwachungs-Tools aus dem gesamten Unternehmen sammeln, sind sie in der Lage, Bedrohungen der Cybersicherheit kontinuierlich zu analysieren. Dies hilft den Sicherheitsteams, Bedrohungen in Echtzeit zu bewerten, effektiv zu reagieren und betroffene Systeme zu isolieren, um eine weitere Ausbreitung des Angriffs zu verhindern. Die Breite und Tiefe der Daten gibt den Sicherheitsteams auch Einblick in das gesamte Ausmaß eines Vorfalls - Informationen, die zur Verbesserung der Reaktion auf Vorfälle in der Zukunft genutzt werden können.
    • Analyse von Verhaltensdaten: Die Möglichkeit, abnormales Verhalten von Benutzern oder Geräten zu erkennen, ist ein weiterer Vorteil der Zusammenführung von Daten aus dem gesamten Unternehmen. Die Analyse von Verhaltensdaten hilft bei der Erkennung von Insider-Bedrohungen: Ein Benutzer, der Hunderte von Dateien auf einmal herunterlädt, ein Konto, das versucht, auf Anwendungen zuzugreifen, für die es keine Berechtigungsnachweise hat, ein Gerät, das zu einem weniger sicheren Netzwerk umgeleitet wird, usw.
    • Zero Trust-Unterstützung: Beim Zero Trust-Sicherheitsmodell muss die Identität jedes Benutzers oder Geräts überprüft und authentifiziert werden, bevor der Zugriff auf eine Anwendung oder ein Netzwerk gewährt wird. XDR kann Unternehmen beim Aufbau einer Zero-Trust-Architektur helfen, da es die Überwachung und Analyse von Cybersicherheitsdaten sowohl innerhalb als auch außerhalb der Unternehmensfirewall ermöglicht. Die Kombination aus Einblick in die Sicherheitsaktivitäten und automatischen Reaktionen auf verdächtige Aktivitäten gibt Unternehmen die Werkzeuge an die Hand, die sie zur Unterstützung von Zero Trust benötigen. 
    • Toolset-Integration: XDR-Lösungen integrieren per Definition Daten und Funktionen von Cybersicherheits-Toolsets, die zuvor isoliert waren. Offene XDR-Systeme gehen noch einen Schritt weiter und nutzen offene Anwendungsprogrammierschnittstellen (APIs), um die besten Systeme der Branche zu integrieren. Organisationen wie das Open Cybersecurity Schema Framework (OCSF)[4] und die XDR Alliance (in der Mimecast Mitglied ist),[5] fördern Standards für den Austausch von XDR-Daten und definieren Arbeitsabläufe und bewährte Verfahren zur Verbesserung der Integration von Toolsets. 
    • Threat Hunting: Die proaktive Suche nach Bedrohungen, die normalerweise SIEM- oder Intrusion Detection-Lösungen entgehen (z. B. laterale Bewegungen innerhalb der Unternehmensfirewall), hilft Unternehmen, Angriffe zu verhindern und ihre Cybersicherheit zu verbessern. Unternehmen, die nur über begrenzte Sicherheitsressourcen verfügen, räumen der Bedrohungsjagd aufgrund des damit verbundenen Zeit- und Ressourcenaufwands jedoch häufig keine Priorität ein. Führende XDR-Lösungen nutzen ihren Strom an Cybersecurity-Analysen und Erkenntnissen, um die Bedrohungssuche zu automatisieren.

    Die Quintessenz

    Die leistungsstarken Analysen zur Cybersicherheit, die XDR ermöglicht, können Unternehmen in die Lage versetzen, Sicherheitsbedrohungen proaktiv zu überwachen und automatisch darauf zu reagieren, so dass sie Angreifern immer einen Schritt voraus sind und gleichzeitig ihre Sicherheitsvorkehrungen stärken. Die effektivsten Cybersecurity-Analysestrategien nehmen Daten auf und fragen sie ab, die alle Schwachstellen darstellen. Erfahren Sie, wie die Mimecast X1 Platform Daten aus E-Mails und anderen Formen der Unternehmenskommunikation - die Quelle der meisten Datenschutzverletzungen in Unternehmen - aufnimmt, um Sicherheitsteams einen besseren Überblick über die Bedrohungen zu geben, denen sie ausgesetzt sind, und wie sie ihnen begegnen können.


     

    [1] "Was ist Cybersicherheitsanalyse?" Splunk

    [2] "Adapt Or Die: XDR Is on a Collision Course with SIEM and SOAR," Forrester

    [3] "The Rise of Extended Detection and Response," 451 Research

    [4] "Willkommen bei OCSF," Open Cybersecurity Schema Framework 

    [5] "Die XDR-Allianz," XDR-Allianz

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang