XDR ist nicht gleich XDR

Autor/Redakteur: Reiner Dresbach, Vice President Central bei Cybereason/gg

Die Prognosen für den globalen Markt der Extended Detection and Response (XDR) sind hervorragend. Wie World Wide Technology berichtet, wird dieser zwischen 2021 und 2028 durchschnittlich um 20 Prozent pro Jahr wachsen und bis dahin einen Wert von 2,06 Milliarden US-Dollar erreicht haben.

Bild: Cybereason

In dieser prognostizierten Wachstumsphase werden Sicherheitsanbieter ihre bereits verfügbaren XDR-Angebote zweifelsohne verfeinern, während neue Anbieter mit ihren Produkten dazustoßen werden. Zwar belebt Konkurrenz das Geschäft, doch ein Überfluss an Angeboten kann für die Nutzer von XDR auch Nachteile mit sich bringen.

Bereits heute bietet der Markt eine Vielzahl an XDR-Lösungen, was Unternehmen auf der Suche nach dem richtigen Produkt oft verunsichert. Denn: Nicht alle XDR-Plattformen sind gleich und bieten denselben Mehrwert. Welche Produkte befinden sich also aktuell auf dem Markt und wie unterscheiden diese sich voneinander?

Datenfilterung: das absolute Minimum

Die Endpoint-Detection-and-Response-Angebote (EDR) vieler Sicherheitsanbieter sind nicht in der Lage alle verfügbaren Telemetriedaten zu verarbeiten. Aus diesem Grund greifen die Lösungen auf eine Technik zurück, die als “Datenfilterung” bekannt ist. Dieser Prozess eliminiert viele Daten noch während der Telemetrie, obwohl diese für die Detection entscheidend sein können. Das liegt daran, dass die Angebote gezwungen sind, alle Daten zunächst zur Analyse an die Cloud zu schicken. 

Deshalb ist es zweifelhaft, ob die Plattformen dieser Anbieter die Sicherheit von Organisationen wirklich gewährleisten können. Wenn sie aktuell nicht in der Lage sind, alle verfügbaren Telemetrie-Endpunkte für die Erkennung via EDR zu erfassen, dann stellt sich die Frage: Wie können sie jemals zusätzliche Telemetriedaten von Quellen abseits der Endpunkte effektiv erkennen?

Fest steht: Eine effektive XDR-Lösung muss in der Lage sein den Befall der Telemetriedaten von Endgeräten sowie von Cloud-Workloads/Containern, Benutzeridentitäten und einer Reihe von Geschäftsanwendungssuiten zu bewältigen. Leider erfüllen die meisten Plattformen diese Anforderungen nicht.

Native XDR versus Open XDR

Neben der Datenfilterung ist es auch wichtig native XDR von open XDR zu unterscheiden. Erstere bietet XDR-Funktionen durch die Integration von Lösungen, die zum Portfolio desselben Anbieters gehören. Der klare Vorteil: Sicherheitsteams verbringen weniger Zeit mit der Konfiguration der XDR-Plattform und umgehen so die komplizierten Prozesse, die beim Einsatz verschiedener Lösungen entstehen.

Allerdings laufen Unternehmen mit dieser Option Gefahr, sich mit native XDR an einen einzigen Anbieter zu binden, der die Sicherheitsanforderungen gegebenenfalls nicht vollständig erfüllt. Außerdem besteht die Möglichkeit, dass Unternehmen durch den Kauf eines nativen XDR-Produkts ihre bestehenden Technologien ersetzen müssen, was sich wiederum negativ auf den ROI auswirkt. 

Screenshot: Cybereason

Im Gegensatz dazu bietet ein open XDR mehr Spielraum. Hier können Unternehmen ihre XDR-Plattformen mit den für sie geeigneten Lösungen integrieren. Zwar erfordern verschiedene Tools separate Kaufprozesse und die Integration fällt möglicherweise weniger eng aus als bei native XDR-Plattformen, allerdings erfüllen sie alle Sicherheitsanforderungen. Zudem bleiben bestehende Technologie, sofern diese noch funktionieren, erhalten und die getätigten Investitionen lohnen sich weiterhin.