{"id":22220,"date":"2022-11-10T11:05:10","date_gmt":"2022-11-10T10:05:10","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22220"},"modified":"2022-11-03T11:15:50","modified_gmt":"2022-11-03T10:15:50","slug":"xdr-ist-nicht-gleich-xdr","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22220","title":{"rendered":"XDR ist nicht gleich XDR"},"content":{"rendered":"\n

Autor\/Redakteur: Reiner Dresbach, Vice President Central bei Cybereason<\/a>\/gg<\/p>\n\n\n\n

Die Prognosen f\u00fcr den globalen Markt der Extended Detection and Response (XDR) sind hervorragend. Wie World Wide Technology<\/a> berichtet, wird dieser zwischen 2021 und 2028 durchschnittlich um 20 Prozent pro Jahr wachsen und bis dahin einen Wert von 2,06 Milliarden US-Dollar erreicht haben.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Cybereason<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

In dieser prognostizierten Wachstumsphase werden Sicherheitsanbieter ihre bereits verf\u00fcgbaren XDR-Angebote zweifelsohne verfeinern, w\u00e4hrend neue Anbieter mit ihren Produkten dazusto\u00dfen werden. Zwar belebt Konkurrenz das Gesch\u00e4ft, doch ein \u00dcberfluss an Angeboten kann f\u00fcr die Nutzer von XDR auch Nachteile mit sich bringen.<\/p>\n\n\n\n

Bereits heute bietet der Markt eine Vielzahl an XDR-L\u00f6sungen, was Unternehmen auf der Suche nach dem richtigen Produkt oft verunsichert. Denn: Nicht alle XDR-Plattformen sind gleich und bieten denselben Mehrwert. Welche Produkte befinden sich also aktuell auf dem Markt und wie unterscheiden diese sich voneinander?<\/p>\n\n\n\n

Datenfilterung: das absolute Minimum<\/strong><\/p>\n\n\n\n

Die Endpoint-Detection-and-Response-Angebote (EDR) vieler Sicherheitsanbieter sind nicht in der Lage alle verf\u00fcgbaren Telemetriedaten zu verarbeiten. Aus diesem Grund greifen die L\u00f6sungen auf eine Technik zur\u00fcck, die als „Datenfilterung“ bekannt ist. Dieser Prozess eliminiert viele Daten noch w\u00e4hrend der Telemetrie, obwohl diese f\u00fcr die Detection entscheidend sein k\u00f6nnen. Das liegt daran, dass die Angebote gezwungen sind, alle Daten zun\u00e4chst zur Analyse an die Cloud zu schicken. <\/p>\n\n\n\n

Deshalb ist es zweifelhaft, ob die Plattformen dieser Anbieter die Sicherheit von Organisationen wirklich gew\u00e4hrleisten k\u00f6nnen. Wenn sie aktuell nicht in der Lage sind, alle verf\u00fcgbaren Telemetrie-Endpunkte f\u00fcr die Erkennung via EDR zu erfassen, dann stellt sich die Frage: Wie k\u00f6nnen sie jemals zus\u00e4tzliche Telemetriedaten von Quellen abseits der Endpunkte effektiv erkennen?<\/p>\n\n\n\n

Fest steht: Eine effektive XDR-L\u00f6sung muss in der Lage sein den Befall der Telemetriedaten von Endger\u00e4ten sowie von Cloud-Workloads\/Containern, Benutzeridentit\u00e4ten und einer Reihe von Gesch\u00e4ftsanwendungssuiten zu bew\u00e4ltigen. Leider erf\u00fcllen die meisten Plattformen diese Anforderungen nicht.<\/p>\n\n\n\n

Native XDR versus Open XDR<\/strong><\/p>\n\n\n\n

Neben der Datenfilterung ist es auch wichtig native XDR von open XDR zu unterscheiden. Erstere bietet XDR-Funktionen durch die Integration von L\u00f6sungen, die zum Portfolio desselben Anbieters geh\u00f6ren. Der klare Vorteil: Sicherheitsteams verbringen weniger Zeit mit der Konfiguration der XDR-Plattform und umgehen so die komplizierten Prozesse, die beim Einsatz verschiedener L\u00f6sungen entstehen.<\/p>\n\n\n\n

Allerdings laufen Unternehmen mit dieser Option Gefahr, sich mit native XDR an einen einzigen Anbieter zu binden, der die Sicherheitsanforderungen gegebenenfalls nicht vollst\u00e4ndig erf\u00fcllt. Au\u00dferdem besteht die M\u00f6glichkeit, dass Unternehmen durch den Kauf eines nativen XDR-Produkts ihre bestehenden Technologien ersetzen m\u00fcssen, was sich wiederum negativ auf den ROI auswirkt. <\/p>\n\n\n\n

\"\"<\/a>
Screenshot: Cybereason<\/figcaption><\/figure>\n\n\n\n

Im Gegensatz dazu bietet ein open XDR mehr Spielraum. Hier k\u00f6nnen Unternehmen ihre XDR-Plattformen mit den f\u00fcr sie geeigneten L\u00f6sungen integrieren. Zwar erfordern verschiedene Tools separate Kaufprozesse und die Integration f\u00e4llt m\u00f6glicherweise weniger eng aus als bei native XDR-Plattformen, allerdings erf\u00fcllen sie alle Sicherheitsanforderungen. Zudem bleiben bestehende Technologie, sofern diese noch funktionieren, erhalten und die get\u00e4tigten Investitionen lohnen sich weiterhin.<\/p>\n\n\n\n\n\n\n\n

Traditionelles XDR versus Fortgeschrittenes XDR<\/strong><\/p>\n\n\n\n

Einen Schritt weiter gehen traditionelle und erweiterte XDR-Angebote. Der Unterschied hier liegt in der Art und Weise, wie eine XDR-Plattform Daten sammelt und welche Sicherheitsvorf\u00e4lle dadurch aufgekl\u00e4rt werden k\u00f6nnen.<\/p>\n\n\n\n

Die Vorgehensweise einer traditionellen XDR-L\u00f6sung ist so einfach wie bew\u00e4hrt.  Durch die Integration in Bedrohungsdaten werden Indicators of Compromise (IOCs) von bereits bekannten Angreifern sofort erkannt. Danach unterst\u00fctzt die XDR-Plattform Sicherheitsteams bei der Reaktion auf den Vorfall. Um jedoch konkret festzustellen, ob ein aktiver Angriff vorliegt, m\u00fcssen Analysten alle relevanten Warnungen zun\u00e4chst manuell sortieren und mit einem konkreten Sicherheitsereignis korrelieren. W\u00e4hrenddessen haben Angreifer die M\u00f6glichkeit, weiter in die Systeme der Unternehmen einzudringen.<\/p>\n\n\n\n

Advanced XDR  entwickelt den Prozess weiter und automatisiert die zeitaufwendigen Triage- und Korrelationsaufgaben. Zudem integriert sich die Plattform mit der Bedrohungsdatenbank und nutzt k\u00fcnstliche Intelligenz (KI) und maschinelles Lernen (ML), um kontextbezogene Korrelationen aus den Telemetriedaten verschiedener Quellen und Unternehmensanlagen zu erstellen.<\/p>\n\n\n\n

\"\"<\/a>
Screenshot: Cybereason<\/figcaption><\/figure>\n\n\n\n

Advanced XDR bietet somit nicht nur Transparenz \u00fcber die gesamte Kill Chain hinweg, sondern erm\u00f6glicht auch eine automatisierte, vorausschauende Reaktion, die die F\u00e4higkeiten von Tier-1- und Tier-2-Analysten auf das Niveau von Tier-3-Kenntnissen anhebt und damit sowohl die Effizienz als auch die Effektivit\u00e4t erh\u00f6ht.<\/p>\n\n\n\n

Die K\u00f6nigsdisziplin: KI-gesteuerte XDR<\/strong><\/p>\n\n\n\n

Gl\u00fccklicherweise m\u00fcssen sich Unternehmen nicht mit unzureichenden XDR-L\u00f6sungen zufriedengeben. Eine KI-gesteuerte XDR-L\u00f6sung liefert nicht nur den kompletten Angriffsverlauf in Echtzeit, sondern erweitert die kontinuierliche Erkennung und \u00dcberwachung von Bedrohungen sowie die automatische Reaktion \u00fcber die Endpunkte hinaus und sch\u00fctzt somit auch Anwendungen, Identit\u00e4ts- und Zugriffstools, containerisierte Cloud-Workloads und mehr.<\/p>\n\n\n\n

Au\u00dferdem absorbiert KI-gesteuertes XDR Bedrohungsdatenstr\u00f6me, damit Unternehmen bekannte Angriffe abwehren k\u00f6nnen, und setzt KI und maschinelles Lernen (ML) ein, um Telemetriedaten aus diesen verschiedenen Ressourcen automatisch zu korrelieren und somit die komplette Angriffsgeschichte in Echtzeit zu liefern. Diese Funktion befreit Sicherheitsanalysten von der l\u00e4stigen Pflicht , jede generierte Warnung zu sortieren, sodass sie sich schneller um tats\u00e4chliche Bedrohungen k\u00fcmmern k\u00f6nnen.<\/p>\n\n\n\n

F\u00fcr einen detaillierten Einblick in die Vorgehensweise der Angreifer nutzt KI-gesteuertes XDR Verhaltensanalysen und Verhaltensindikatoren (Indicators of Behavior). Dieser operativ ausgerichtete Ansatz erkennt Angriffe fr\u00fcher – insbesondere die sehr gezielten, die durch den Einsatz von bisher unbekannten Tools und Taktiken herk\u00f6mmliche Endpoint Security Software umgehen.<\/p>\n\n\n\n

Das Aufsp\u00fcren von nur einer Angriffskomponente erm\u00f6glicht es den Verteidigern, den gesamten Vorgang vom Ursprung bis hin zu allen betroffenen Nutzern, Ger\u00e4ten und Anwendungen zu analysieren. Hierf\u00fcr ist KI-gesteuertes XDR unerl\u00e4sslich: Daten werden automatisch mit einer Rate von Millionen Ereignissen pro Sekunde korreliert und nicht wie zuvor, von Analysten \u00fcber mehrere Stunden oder sogar Tage hinweg manuell abgefragt und validiert. Diese Transparenz erm\u00f6glicht es Sicherheitsteams auf ein Ereignis zu reagieren, bevor es zu einem gr\u00f6\u00dferen Problem wird, und Ma\u00dfnahmen zu ergreifen, die die H\u00fcrden f\u00fcr Angreifer in Zukunft erh\u00f6hen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Prognosen f\u00fcr den globalen Markt der Extended Detection and Response (XDR) sind hervorragend. Wie World Wide Technology berichtet, wird dieser zwischen 2021 und 2028 durchschnittlich um 20 Prozent pro Jahr wachsen und bis dahin einen Wert von 2,06 Milliarden US-Dollar erreicht haben.<\/p>\n","protected":false},"author":81,"featured_media":22222,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[15373,6785,8220,10986,11701],"class_list":["post-22220","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-cybereason","tag-edr","tag-ki","tag-ml","tag-xdr"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22220"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22220\/revisions"}],"predecessor-version":[{"id":22226,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22220\/revisions\/22226"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22222"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}