{"id":20000,"date":"2021-11-22T11:46:00","date_gmt":"2021-11-22T10:46:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=20000"},"modified":"2021-11-16T12:19:10","modified_gmt":"2021-11-16T11:19:10","slug":"nur-nicht-die-kontrolle-verlieren-warum-xdr-die-noetigen-einblicke-fuer-bestmoegliche-sicherheit-im-netzwerk-liefert","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=20000","title":{"rendered":"Nur nicht die Kontrolle verlieren: Warum XDR die n\u00f6tigen Einblicke f\u00fcr bestm\u00f6gliche Sicherheit im Netzwerk liefert"},"content":{"rendered":"\n

Autor\/Redakteur: Frank K\u00f6lmel, Vice President Central Europe bei Cybereason<\/a>\/gg<\/p>\n\n\n\n

Im Idealfall w\u00e4chst das eigene Unternehmen. Und mit ihm die IT und digitale Prozesse. Was meistens nicht im gleichen Ma\u00df mitw\u00e4chst: Die Cybersecurity! Das bringt die vorhandenen Security-Mitarbeiter schnell an ihre Grenzen. Eine M\u00f6glichkeit dieses Problem anzugehen ist Automatisierung und die Nutzung intelligenter Werkzeuge. Aber auch diese konnten in der Vergangenheit nicht alle Herausforderungen l\u00f6sen und all ihre Versprechen halten. Extended Detection and Repsonse (XDR) ist jetzt gekommen, um die ungehaltenen Versprechen der anderen Tools einzuhalten.<\/p>\n\n\n\n

\"\"<\/a>
Screenshot: Cybereason<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Sichtbarkeit ist der Schl\u00fcssel zum Erfolg<\/strong><\/p>\n\n\n\n

Wer sein Netzwerk unter Kontrolle behalten m\u00f6chte, muss wissen, was in diesem vor sich geht. Nur Unternehmen, die dieses Wissen haben, k\u00f6nnen automatisierte Antworten auf alle m\u00f6glichen Arten von Gefahren implementieren. Bereits 2019 ver\u00f6ffentlichte Business Wire<\/a> die Ergebnisse einer Umfrage, bei der 65 Prozent der Befragten angaben, dass die mangelnde Transparenz der Cybersecurity im Unternehmen das gr\u00f6\u00dfte Hindernis f\u00fcr den Erfolg ihres Security Operations Center (SOC) darstellt. Ungef\u00e4hr der gleiche Anteil (69 Prozent) benannte mangelnde Transparenz als Hauptgrund f\u00fcr die Ineffektivit\u00e4t ihres SOC. Viele Security-Experten wollen dieses Problem mit einer SIEM-Plattform (Security Information and Event Management) l\u00f6sen, die der zentrale Dreh- und Angelpunkt f\u00fcr mehr Sichtbarkeit im Netzwerk sein soll. Dabei setzen SIEM-L\u00f6sungen vor allem auf Log-Analysen zur besseren \u00dcberwachung und Optimierung von Reaktionen auf Zwischenf\u00e4lle.<\/p>\n\n\n\n

SIEM \u2013 Eine gute Idee\u2026<\/strong><\/p>\n\n\n\n

Log-Analyse bedeutet in diesem Fall, dass die SIEM Plattform Protokolldaten sammelt und zusammentr\u00e4gt, die im gesamten IT- und Security-Stack anfallen. So k\u00f6nnen (potenzielle) Vorf\u00e4lle erkannt und eingeordnet werden. Am Ende steht also ein SIEM Bericht \u00fcber m\u00f6gliche sicherheitsrelevante Vorf\u00e4lle im Netzwerk. Dieser Bericht wird mit vorher festgelegten Regeln und Indikatoren verglichen. Sollte einer der potenziellen Security-Breaches in diese Regeln und Kategorien fallen, spricht die SIEM Plattform eine Warnung aus, so dass die Security-Profis m\u00f6glichst schnell darauf reagieren k\u00f6nnen. Die Idee dahinter ist nat\u00fcrlich gut, da das Netzwerk so ein St\u00fcckchen transparenter wird. Aber auch modernste SIEM-L\u00f6sungen kommen mit der Zeit an ihre Grenzen, da immer mehr Ger\u00e4te und Prozesse Teil des digitalen \u00d6kosystems im Unternehmen werden. Jeder neue Endpunkt steigert dabei nicht nur die Menge an Protokoll-Daten, sondern bietet auch einen zus\u00e4tzlichen Angriffspunkt f\u00fcr Cyber-Kriminelle.<\/p>\n\n\n\n

\u2026aber alles nur hei\u00dfe Luft?<\/strong><\/p>\n\n\n\n

Das Herausforderung f\u00fcr die meisten Sicherheitsteams besteht darin, dass selbst mit einer SIEM Plattform die Informationsflut nicht mehr gut \u00fcberpr\u00fcft werden und in Korrelation gesetzt werden kann. Doch genau hier f\u00e4ngt die wirkliche Einsicht in das Netzwerk erst wirklich an. Erst wenn die Daten in einem Kontext und nebeneinander betrachtet werden, k\u00f6nnen ansonsten unauff\u00e4llig wirkende Aktivit\u00e4ten richtig eingeordnet werden. Ein immer weiterwachsender Berg an gesammelten Daten bietet allein n\u00e4mlich noch lange keinen detaillierten Einblick in das Netzwerk.<\/p>\n\n\n\n\n\n\n\n

Ohne diese Einblicke l\u00e4sst sich aber nicht angemessen auf Gefahren reagieren. Auch hier verspricht SIEM schnellere Aufkl\u00e4rungs- und Reaktionszeiten. Mithilfe von Automatisierung sollen Log-Daten in Echtzeit klassifiziert werden. Die Security-Experten sollen so in der Lage sein Sicherheitsproblemen und -zwischenf\u00e4llen schneller und souver\u00e4ner begegnen zu k\u00f6nnen. Das Problem dabei: Die Digitalisierung schreitet in einem enormen Tempo voran. Und vor allem dann, wenn es um Cloud- und Remote-Umgebungen geht, kommen SIEMs oft nicht hinterher. Hier sind sie beispielsweise oft nicht in der Lage, unterschiedliche Ereignisse in hybriden Cloud-Umgebungen zu korrelieren. Und selbst wenn das in der Theorie klappt, k\u00f6nnen sie teilweise nicht mit den wachsenden IT-Anforderungen von Unternehmen mithalten. Hier ist vor allem die kosteneffiziente Speicherung der enormen Datenmenge eine Herausforderung. Diese ist bei SIEMs aber n\u00f6tig, um die Analyse von Ereignisdaten in Echtzeit durchf\u00fchren zu k\u00f6nnen. Um die hohen Kosten f\u00fcr die SIEM-Datenspeicherung zu kompensieren, wird oft ein gro\u00dfer Teil der Ereignisdaten herausgefiltert, wodurch die Effektivit\u00e4t der L\u00f6sung stark gemindert wird. In der Praxis zeigt sich diese Problematik eindr\u00fccklich: In seinem SIEM-Bericht 2021 stellt Core Security<\/a> fest, dass 65 Prozent der Befragten eine SIEM-Plattform verwenden. Etwas mehr als die H\u00e4lfte (57 Prozent) dieser Personen gab an, dass sie ein hohes Ma\u00df an Vertrauen in ihre Sicherheitsvorkehrungen haben. Das ist nicht viel mehr als die Vertrauensrate derjenigen, die kein SIEM nutzen (49 Prozent).<\/p>\n\n\n\n

\"\"<\/a>
Screenshot: Cybereason<\/figcaption><\/figure>\n\n\n\n

H\u00e4lt, was SIEM verspricht: XDR<\/strong><\/p>\n\n\n\n

An diesem Punkt kommt XDR ins Spiel: XDR ist eine Weiterentwicklung von EDR (Endpoint Detection and Response) und nutzt die Analyse von Ereignis-Telemetrie in Systemen, die \u00fcber Endpunkte wie Laptops und mobile Ger\u00e4te hinausgehen und auch Cloud-basierte Ressourcen, Benutzeridentit\u00e4ten, Netzwerk-Tools und andere Teile der IT-Infrastruktur einschlie\u00dfen. Kurz und knapp: XDR ist daf\u00fcr gemacht worden, die Ereignisse an allen Stellen im Netzwerk datensparend zu erfassen und zu in Verbindung miteinander zu bringen. Der wohl wichtigste Unterschied zu SIEM-L\u00f6sungen ist, dass vorab keine Regeln und Indikatoren zur \u00dcberpr\u00fcfung eingegeben werden m\u00fcssen. Mit der Hilfe von Behavioral Analytics und k\u00fcnstlicher Intelligenz erkennt XDR n\u00e4mlich auch sicherheitsrelevante Zwischenf\u00e4lle, an die das Security-Team noch gar nicht gedacht hat und sch\u00fctzt so auch vor neuen, unbekannten Angriffsvarianten. So k\u00f6nnen Security-Experten anfangen zu verstehen, was wirklich in ihrem Netzwerk vor sich geht, anstatt sich durch eine Vielzahl an Fehlalarmen zu k\u00e4mpfen oder zu suchen, welche auff\u00e4lligen Verhaltensweisen eventuell von der SIEM Plattform \u00fcbersehen worden sind.<\/p>\n\n\n\n

In Verbindung mit der Verhaltensanalyse durch Machine Learning bietet XDR dem Security-Personal eine Reihe von Vorteilen:<\/p>\n\n\n\n

  1. Die M\u00f6glichkeit, Bedrohungen schneller zu identifizieren.<\/li>
  2. Ein umf\u00e4ngliches Verst\u00e4ndnis \u00fcber das gesamte Ausma\u00df der Ereignisse.<\/li>
  3. Die Erkenntnis, wie Ereignisse miteinander in Verbindung stehen.<\/li>
  4. Die Werkzeuge, um Gegenma\u00dfnahmen in Echtzeit konsistent im gesamten Netzwerk durchzuf\u00fchren.<\/li><\/ol>\n\n\n\n

    Wer mit seiner SIEM-L\u00f6sung also nicht zufrieden ist oder wem die Absicherung seines Netzwerks \u00fcber den Kopf zu wachsen droht, sollte einen Blick zu XDR-L\u00f6sungen wagen. Denn diese l\u00f6sen oft die Versprechen ein, die SIEM gegeben hat aber teilweise nicht einhalten konnte. Mit XDR behalten die Security-Experten nicht nur in komplexen Netzwerken den \u00dcberblick und k\u00f6nnen alle Ereignisse einfach monitoren. Mit Behavioral Analytics und k\u00fcnstlicher Intelligenz ausgestattet, unterst\u00fctzt es auch massiv dabei, Angriffe proaktiv abzuwehren.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Im Idealfall w\u00e4chst das eigene Unternehmen. Und mit ihm die IT und digitale Prozesse. Was meistens nicht im gleichen Ma\u00df mitw\u00e4chst: Die Cybersecurity! Das bringt die vorhandenen Security-Mitarbeiter schnell an ihre Grenzen. Eine M\u00f6glichkeit dieses Problem anzugehen ist Automatisierung und die Nutzung intelligenter Werkzeuge. Aber auch diese konnten in der Vergangenheit nicht alle Herausforderungen l\u00f6sen und all ihre Versprechen halten. Extended Detection and Repsonse (XDR) ist jetzt gekommen, um die ungehaltenen Versprechen der anderen Tools einzuhalten.<\/p>\n","protected":false},"author":1,"featured_media":20002,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,39],"tags":[15373,6785,36,1426,11701],"class_list":["post-20000","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-management","tag-cybereason","tag-edr","tag-sicherheit","tag-siem","tag-xdr"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=20000"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20000\/revisions"}],"predecessor-version":[{"id":20004,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20000\/revisions\/20004"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/20002"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=20000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=20000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=20000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}