Home » Fachbeiträge » Cybersecurity » Best Practices für XDR

Best Practices für XDR

Innovationen in der IT-Branche sind allgegenwärtig und versprechen oft viel. Extended Detection and Response (XDR) ist ein Tool, das in den letzten Jahren an Bekanntheit gewonnen hat und zum neuen Schlagwort in der Sicherheitsbranche geworden ist. Es wird häufig als Lösung für die Schwächen vorhandener Securitywerkzeuge gesehen.

5 Min. Lesezeit
XDR
Foto: ©AdobeStock/ArtemisDiana

Doch handelt es sich dabei nur um den nächsten kurzlebigen Hype oder tatsächlich um eine sinnvolle Technik? Wenn man sich an einige Best Practices hält, kann XDR Sicherheitsteams bei ihrer Arbeit in vielen Bereichen unterstützen und entlasten.

Sicherheitsteams haben heute mit einer Vielzahl von Bedrohungen im Cyberraum zu kämpfen, einschließlich Ransomware, Kryptojacking, Malware, Phishing und diversen anderen Arten von Angriffen. Auch neuartige Techniken wie Deep Fakes und KI-gestützte Attacken nehmen zu und werden in Zukunft zu einer ernst zu nehmenden Gefahr, die sich immer schwerer abwehren lässt. Um dieser Bedrohungslage Herr zu werden, setzen Unternehmen oft auf spezialisierte Lösungen für einzelne Angriffsvektoren, was jedoch nicht nur zu hohen Kosten, sondern auch zu einem Wildwuchs isolierter Tools führt und den Überblick erschwert. Zudem sind Sicherheitsdaten häufig in getrennten Silos gespeichert, und es fehlt der unverzichtbare Kontext. Eine sinnvolle Integration all dieser Tools und Elemente ist schwierig, teuer und oft schier unmöglich.

In den letzten Jahren hat sich auf dem Markt der XDR-Ansatz etabliert, der es sich zur Aufgabe macht, diese Probleme zu lösen. (Siehe auch Grundlagenartikel: XDR – Die nächste Generation der Cybersicherheit) Die Technik geht aus dem Endpoint-Detection-and-Response-(EDR)-Konzept hervor und erweitert die ursprünglich auf Endpunkte ausgelegte Funktionalität der Erkennung und Reaktion auch auf zusätzliche Elemente des Netzwerks wie Cloud-Workloads und -Anwendungen sowie IoT-Geräte.

Während XDR zwar in der Regel als weitgehend autonome Lösung angepriesen wird, so ist es dennoch kein Selbstläufer, der auf Knopfdruck vollumfängliche Sicherheit garantiert. Es gilt einige Dinge zu beachten, wenn es darum geht, den bestmöglichen Nutzen aus der Technologie zu ziehen. Folgende Best Practices sollen Aufschluss darüber geben, wie CISOs und Sicherheitsteams XDR einsetzen sollten, um ihre Arbeit zu erleichtern und eine effektive Security-Strategie umzusetzen.

1. Ein solides EDR-Fundament als Basis für XDR

XDR profitiert von einem starken EDR-Fundament. Es kann sich die Vorteile der Vorgängertechnologie – wie beispielsweise die detaillierte Telemetrie sowie Echtzeit-Erkennung und -Behebung von Bedrohungen – zunutze machen und über den Endpunkt hinaus einen besseren Überblick und mehr Kontext bei der Bedrohungsabwehr des gesamten Netzwerks schaffen. Warnungen, die sonst übersehen werden könnten, werden so frühzeitig erkannt und die Verantwortlichen können Maßnahmen ergreifen, bevor sich ein Problem ausweitet. Mit XDR lassen sich aggregierte Ereignisinformationen aus verschiedenen Tools und Services zu einem einzigen kontextualisierten Zwischenfall zusammenfassen, um einen aussagekräftigen Überblick über die IT des gesamten Unternehmens zu erhalten und autonome Prävention, Erkennung und Reaktion zu ermöglichen. Sicherheitsteams können auf diese Weise Cybervorfälle mit einheitlichen Maßnahmen angehen.

Sicherheitsverantwortliche sollten auf einen soliden Endpunktschutz als Basis für ein effektives XDR setzen. Mithilfe der zusätzlichen Fähigkeiten von XDR können dann automatisierte Vorgänge auf alle Ebenen des Netzwerks ausgeweitet werden und für ganzheitlichen Schutz sorgen, der den vielseitigen und ausgeklügelten Bedrohungen des Cyberraums Einhalt gebieten kann – über den Endpunkt hinaus auf allen potenziellen Angriffsflächen.

2. Integration diverser Tools in eine zusammenhängende XDR-Umgebung

Mithilfe von XDR können bereits getätigte Sicherheitsinvestitionen besser genutzt werden. Denn viele Unternehmen verfügen über isolierte Tools und Technologie in ihrem Security-Operations-Center (SOC), deren Nutzen normalerweise begrenzt ist, durch die Integration in ein XDR-Konzept jedoch optimiert werden kann. Diese einzelnen Sicherheitstools decken jeweils einen bestimmten Bereich ab, erfordern aber intensive Schulungen und belasten die SecOps-Teams zusätzlich. Außerdem kosten sie wertvolle Zeit.  Der ständige Wechsel von Tool zu Tool bedeutet, dass jedes Mal eine neue Lernkurve begonnen wird, die mit eigenen Belastungen verbunden ist. Mit XDR können vorhandene Tools gemeinsam genutzt und über standardmäßige Integrationen vernetzt werden.

Mithilfe von Appstore-ähnlichen XDR-Marketplaces ist es möglich, Integrationen für Drittanbietersysteme wie Security-Information-and-Event-Management-(SIEM)- oder „Security
Orchestration, Automation and Response“- (SOAR)-Lösungen in Einklang mit XDR zu nutzen. Auch Lösungen für E-Mail-Sicherheit, Identitätsverwaltung und Cloud-Services können so mit wenigen Klicks in das XDR-System integriert werden. Das vereinfacht das Absichern jedes einzelnen Systems und ermöglicht die Verwaltung von Warnungen über ein einziges Dashboard. Ein weiterer Vorteil ist, dass sich Integrationen auf diese Weise aktivieren und automatisieren lassen, ohne dafür komplexen Code schreiben zu müssen.

3. Optimieren der Effizienz von Sicherheitsteams

Bedrohungen nehmen ständig zu, was zu einem enormen Arbeitsaufwand für Sicherheitsanalysten führt. Der Mangel an qualifizierten Fachkräften verschärft die Situation zusätzlich. Aus diesem Grund ist es wichtig, über Tools wie XDR zu verfügen, die die Arbeit der Sicherheitsanalysten durch Automatisierung erleichtern können. KI-basierte Verhaltensmodule ermöglichen es, automatisch zusammenhängende Aktivitäten zu erkennen und als einheitliche Warnungen zu korrelieren. Das reduziert die Anzahl der Warnungen, Klicks und Benutzeroberflächen und verbessert dadurch die Effizienz des SOC.

Durch Integrationen von Threat-Intelligence-Informationen aus Tausenden von Quellen können Bedrohungen schneller untersucht und kategorisiert werden. Zudem bietet XDR umfangreiche Bibliotheken mit kuratierten Threat-Hunting-Abfragen, die kontinuierlich aktualisiert werden, um neue und aktuelle Methoden und Bedrohungen schnell aufzudecken. XDR ist in der Lage, jedes Ereignis in Echtzeit zu indexieren und zeigt damit einen unmittelbaren Überblick über das Geschehen und die betroffenen Bereiche. Dadurch müssen Ereignisse nicht mehr aufwendig nachträglich zusammengestellt werden, wenn es bereits zu spät ist.

4. Einführung messbarer Ergebnisse

Ein nicht zu vernachlässigender Aspekt einer XDR-Lösung ist, dass sie einen definierten Zweck verfolgt und diesen auch in Form von konkreten Leistungskennzahlen (KPIs) messen und nachweisen kann. Angesichts der zunehmenden Bedenken hinsichtlich Cyberbedrohungen fordern Vorstände vermehrt Belege dafür, dass ihr Unternehmen zuverlässig vor den neuesten Bedrohungen geschützt ist und Investitionen in die IT-Sicherheit angebracht sind. XDR bietet ein effektives Hilfsmittel zur Erkennung von Angriffstechniken und Taktiken. Die Technologie ist in der Lage, selbst gut getarntes Verhalten zu überwachen und dateilose Angriffe, laterale Bewegungen und aktive Rootkits zu entdecken.

Dank dieser Funktionen und Vorteile kann XDR die mittlere Erkennungsdauer (MTTD), die mittlere Untersuchungsdauer (MTTI) und die mittlere Reaktionsdauer (MTTR) verkürzen. Das gibt dem Vorstand die notwendige Sicherheit, dass das Unternehmen zuverlässig geschützt ist. Darüber hinaus steigert XDR die Effizienz und senkt die Kosten – vor allem im Vergleich zu kostspieligen und schlecht optimierten Silo-Lösungen.

Kein Wundermittel – aber mehr als ein Hype

Die Welt der Cybersicherheit ist ständig im Wandel, weshalb es wichtig ist, neuen Trends skeptisch gegenüberzustehen. Trotzdem ist XDR mehr als nur ein kurzlebiger Hype, sondern ein neuer, moderner Ansatz, der Unternehmen dabei hilft, den Anforderungen der heutigen Cybersicherheit gerecht zu werden. Angesichts von unterbesetzten Teams und einer Überlastung durch Warnungen und Daten ist ein modernisierter Ansatz dringend notwendig. XDR bietet Unternehmen jeder Größe messbare Ergebnisse und ist insofern ein wichtiger Bestandteil moderner SOCs. Dafür müssen die Verantwortlichen ihre XDR-Tools allerdings richtig implementieren und später auch aktiv nutzen.

Matthias Canisius

Matthias Canisius ist Regional Sales Director Central Europe bei SentinelOne.

Andere interessante Fachbeiträge

Datensammler

HbbTV und die Datensammelwut

HbbTV hat sich zu einer beliebten Möglichkeit entwickelt, traditionelles Fernsehen mit internetbasierten Inhalten zu kombinieren. Die Technologie wirft jedoch auch Bedenken hinsich...

Hand präsentiert Zertifizierungs-Symbol

Warum Zertifizierungen allein nicht ausreichen

Die Cyberangriffe der letzten Monate haben gezeigt, dass auch Schwachstellen in Prozessen und Anwendungen von Dienstleistern ein Risiko für die Sicherheit von Organisationen darste...

ISMS

Warum Unternehmen ein ISMS brauchen

Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) ist für viele Unternehmen heute unerlässlich, um die zahlreichen neuen Gesetze im Bereich der Cybersicher...