XDR - Eine neue Waffe im Kampf gegen Cyber-Bedrohungen

Unternehmen sammeln heute riesige Mengen an sicherheitsrelevanten Daten für die Cyber-Überwachung. Das Problem besteht jedoch darin, diese Daten effizient zu analysieren - insbesondere über verschiedene Datenquellen hinweg. Extended Detection and Response (XDR) zeigt mit Hilfe von KI neue Möglichkeiten auf.

Cyber-Angreifer finden immer wieder Schlupflöcher, die es ihnen ermöglichen, bestehende Schutzmechanismen zu umgehen und ein Unternehmen mit Schadsoftware zu infizieren. Um solche Schlupflöcher proaktiv zu finden und bereits infizierte Systeme schnell zu erkennen, sind Erkennungsmechanismen ein wichtiger Bestandteil heutiger Sicherheitsstrategien. Unternehmen nutzen Methoden wie Network Detection & Response (NDR), Endpoint Detection & Response (EDR) oder klassische Intrusion Detection Systeme (IDS). Alle diese Komponenten erzeugen und sammeln kontinuierlich Daten für ihren Anwendungsbereich. Hinzu kommen Protokolldaten von Präventionsmechanismen wie Antivirensoftware oder Firewalls sowie von Host- und Anwendungsprogrammen.

Die Herausforderung besteht darin, Cyber-Bedrohungen in diesem Heuhaufen unterschiedlicher Informationen schnell und zuverlässig zu erkennen. Für viele Unternehmen ist es schwierig, ein ganzheitliches System zur Erkennung von Bedrohungen aufzubauen. Security Incident and Event Management (SIEM)-Lösungen eignen sich gut zum Sammeln dieser Daten, aber die datenübergreifende Analyse ist mit dieser Technologie schwierig, da die Abfragesprachen oft kompliziert sind, die Korrelationssysteme schlecht skalieren und es an automatisierten Bedrohungserkennungsszenarien mangelt. Infolgedessen müssen Sicherheitsteams bedrohungsbezogene Ereignisse aus Tausenden von SIEM-Ereignissen sammeln und manuell ein Gesamtbild für die Analyse erstellen. Dies hat einen hohen Preis: Laut einer Studie der Enterprise Strategy Group werden mehr als die Hälfte der kritischen Sicherheitswarnungen nicht einmal als solche wahrgenommen.

Konsolidierung von Überwachung und Cyberabwehr

Eine neue Cybersicherheitstechnologie, die auf künstlicher Intelligenz (KI) und Big-Data-Algorithmen beruht, verspricht Abhilfe: "Extended Detection and Response" (XDR). XDR abstrahiert, korreliert und konsolidiert die Informationen aus den verschiedenen Datenquellen und schafft so ein aussagekräftiges Gesamtbild über die Bedrohungslage einer IT-Infrastruktur. Mit maschinellem Lernen zur allgemeinen Anomalieerkennung und spezialisierten Algorithmen zur Erkennung typischer Angriffsmuster wird die Infrastruktur ganzheitlich überwacht. XDR ermöglicht so eine automatisierte, schnellere Erkennung von Bedrohungen, da Angriffe oft über mehrere Kanäle erfolgen und so in einem Gesamtbild deutlicher erscheinen. Zudem können durch die kombinierte Betrachtung verschiedener Informationsquellen Fehlalarme schneller eliminiert und die relevanten Bedrohungen priorisiert werden. Auch bei der Untersuchung und Abwehr kann XDR seine Stärken ausspielen, indem es den Sicherheitsteams mehr Kontext über die Bedrohung liefert, ihr Ausmaß über verschiedene Quellen oder Systeme hinweg zusammenfasst und Möglichkeiten zu ihrer Beseitigung vorschlägt.

xdr_blog_1.png

XDR wird zum Bindeglied zwischen der individuellen Tool-Landschaft und dem Sicherheitsteam.

Mit diesen Eigenschaften ist XDR einer der aktuellen Trends in der Cybersicherheit. Durch die Konsolidierung und automatische Analyse vorhandener Daten aus einzelnen Systemen auf Anomalien und Bedrohungsmuster spürt XDR Bedrohungen auf, die bisher im Hintergrundrauschen der regulären IT-Aktivitäten verborgen waren. Darüber hinaus ermöglicht XDR den Sicherheitsteams eine effiziente Umsetzung von Erkennungsszenarien und eine schnellere Untersuchung von Warnmeldungen, da diese direkt mit aggregierten Kontextinformationen geliefert werden. Damit stärkt XDR die Cyberabwehr genau dort, wo sie bisher ihre größten Schwächen hatte.

Ursprünglich veröffentlicht in Netzwoche am 16. November 2020.