Nur nicht die Kontrolle verlieren: Warum XDR die nötigen Einblicke für bestmögliche Sicherheit im Netzwerk liefert

Autor/Redakteur: Frank Kölmel, Vice President Central Europe bei Cybereason/gg

Im Idealfall wächst das eigene Unternehmen. Und mit ihm die IT und digitale Prozesse. Was meistens nicht im gleichen Maß mitwächst: Die Cybersecurity! Das bringt die vorhandenen Security-Mitarbeiter schnell an ihre Grenzen. Eine Möglichkeit dieses Problem anzugehen ist Automatisierung und die Nutzung intelligenter Werkzeuge. Aber auch diese konnten in der Vergangenheit nicht alle Herausforderungen lösen und all ihre Versprechen halten. Extended Detection and Repsonse (XDR) ist jetzt gekommen, um die ungehaltenen Versprechen der anderen Tools einzuhalten.

Screenshot: Cybereason

Sichtbarkeit ist der Schlüssel zum Erfolg

Wer sein Netzwerk unter Kontrolle behalten möchte, muss wissen, was in diesem vor sich geht. Nur Unternehmen, die dieses Wissen haben, können automatisierte Antworten auf alle möglichen Arten von Gefahren implementieren. Bereits 2019 veröffentlichte Business Wire die Ergebnisse einer Umfrage, bei der 65 Prozent der Befragten angaben, dass die mangelnde Transparenz der Cybersecurity im Unternehmen das größte Hindernis für den Erfolg ihres Security Operations Center (SOC) darstellt. Ungefähr der gleiche Anteil (69 Prozent) benannte mangelnde Transparenz als Hauptgrund für die Ineffektivität ihres SOC. Viele Security-Experten wollen dieses Problem mit einer SIEM-Plattform (Security Information and Event Management) lösen, die der zentrale Dreh- und Angelpunkt für mehr Sichtbarkeit im Netzwerk sein soll. Dabei setzen SIEM-Lösungen vor allem auf Log-Analysen zur besseren Überwachung und Optimierung von Reaktionen auf Zwischenfälle.

SIEM – Eine gute Idee…

Log-Analyse bedeutet in diesem Fall, dass die SIEM Plattform Protokolldaten sammelt und zusammenträgt, die im gesamten IT- und Security-Stack anfallen. So können (potenzielle) Vorfälle erkannt und eingeordnet werden. Am Ende steht also ein SIEM Bericht über mögliche sicherheitsrelevante Vorfälle im Netzwerk. Dieser Bericht wird mit vorher festgelegten Regeln und Indikatoren verglichen. Sollte einer der potenziellen Security-Breaches in diese Regeln und Kategorien fallen, spricht die SIEM Plattform eine Warnung aus, so dass die Security-Profis möglichst schnell darauf reagieren können. Die Idee dahinter ist natürlich gut, da das Netzwerk so ein Stückchen transparenter wird. Aber auch modernste SIEM-Lösungen kommen mit der Zeit an ihre Grenzen, da immer mehr Geräte und Prozesse Teil des digitalen Ökosystems im Unternehmen werden. Jeder neue Endpunkt steigert dabei nicht nur die Menge an Protokoll-Daten, sondern bietet auch einen zusätzlichen Angriffspunkt für Cyber-Kriminelle.

…aber alles nur heiße Luft?

Das Herausforderung für die meisten Sicherheitsteams besteht darin, dass selbst mit einer SIEM Plattform die Informationsflut nicht mehr gut überprüft werden und in Korrelation gesetzt werden kann. Doch genau hier fängt die wirkliche Einsicht in das Netzwerk erst wirklich an. Erst wenn die Daten in einem Kontext und nebeneinander betrachtet werden, können ansonsten unauffällig wirkende Aktivitäten richtig eingeordnet werden. Ein immer weiterwachsender Berg an gesammelten Daten bietet allein nämlich noch lange keinen detaillierten Einblick in das Netzwerk.