Was ist Extended Detection and Response (XDR)?

Vor dem Hintergrund einer sich ständig weiterentwickelnden Bedrohungslandschaft bietet XDR Sicherheitsteams Unterstützung bei der Untersuchung von Bedrohungen und hilft Reaktionszeiten drastisch zu reduzieren. Aber wie bei jedem neuen Ansatz bleibt auch hier oft unklar, was XDR eigentlich ist, worin es sich von herkömmlichen Sicherheitslösungen unterscheidet und wie viel mehr an Sicherheit seine Nutzer davon erwarten können. In diesem Beitrag möchten wir etwas Klarheit bringen.

XDR – Bedeutung und Definition

Extended Detection and Response, kurz XDR, ist eine mehrstufige Sicherheitstechnologie zum Schutz von IT-Infrastrukturen. Dieser Schutz wird durch mehreren Sicherheitsebenen erreicht, zu denen Endpoints, Apps. E-Mails, Clouds und Netzwerke gehören, in denen Daten erfasst und in Bezug gesetzt werden, um die gesamte Unternehmensumgebung transparent zu machen. Dadurch S können Sicherheitsteams Cyberbedrohungen schnell und effektiv erkennen, untersuchen und darauf reagieren.

XDR gilt als eine Art Weiterführung von Endpoint Detection and Response (EDR). Während EDR vor allem Endpoints in den Blick nimmt, konzentriert sich XDR breiter gefasst auf eine Reihe von Sicherheitskontrollpunkten, um Bedrohungen schneller zu erkennen, und setzt dabei auf tiefer gehende Analysen und Automatisierung.

Die moderne Cyberbedrohungslandschaft

Die Cybersicherheitslandschaft entwickelt sich rasant und weitet sich stetig aus. In den letzten zehn Jahren wurde eine Vielzahl von Tools zur Erkennung und Abwehr von Bedrohungen auf den Markt gebracht, bei denen es in erster Linie immer darum ging, den neuesten Cyberbedrohungen immer einen Schritt voraus zu sein. Mit dem zunehmenden Trend zum Homeoffice und der Verlagerung von Geschäftsfunktionen in die Cloud wurden Erkennung und Abwehr weiter erschwert – nicht zuletzt, weil Sicherheitsverletzungen mit katastrophalen Folgen an jeder Ecke lauern.

In diesem riskanten digitalen Umfeld braucht es einen durchgängigen und ganzheitlichen Ansatz zur Bekämpfung von Cyberbedrohungen. Um Cyberkriminellen noch ein Schnippchen schlagen zu können, brauchen Sicherheitsteams die Unterstützung eng verzahnter und stark automatisierter Prozesse.

Und die moderne Bedrohungslandschaft weist noch weitere Besonderheiten auf:

• Schadakteure nehmen sich heutzutage viel Zeit, um vorab zu ermitteln, wen man wie ins Visier nehmen kann und wann der optimale Zeitpunkt für den Angriff ist. Aufgrund dieser gründlichen Vorausplanung werden die Angriffe immer raffinierter und schwerer zu erkennen.
• Darüber hinaus arbeiten die Angreifer nicht mehr isoliert, sondern schließen sich zu schlagkräftigen Teams mit unterschiedlicher Fähigkeiten zusammen. So arbeitet beispielsweise ein Team, das sich auf den Erstzugang spezialisiert hat, mit einem Team zusammen, das auf die horizontale Infiltrierung spezialisiert ist. Den Zugang verkaufen sie eventuell an ein weiteres Team, das sich auf Ransomware spezialisiert hat und Daten zum Zweck der Erpressung entwendet. Dieses Maß an Kooperation schafft zusätzliche Komplexität.
• Cyberangriffe durchlaufen heute zahlreiche Netzwerkbereiche. Den Anfang macht vielleicht die Workstation eines Mitarbeiters, die über eine Phishing-Mail oder eine offene IP-Adresse unterwandert wird. Aber sobald sich die Schädlinge einen Überblick über das Netzwerk verschafft haben, ziehen sie weiter in Richtung Rechenzentren, Cloud-Infrastrukturen und OT-Netzwerke (Operational Technology). Der digitale Wandel in vielen Unternehmen und die zunehmende Bedeutung des Homeoffice haben die Angriffsfläche der meisten Unternehmen vergrößert.
• Und die Angreifer sind immer geschickter darin, ihre Aktivitäten zu verschleiern. Nicht selten nutzen sie seriöse Tools, um ihre Spuren zu verwischen.
• Die Methoden der Erpresser werden ebenfalls immer ausgeklügelter. Sie machen neben Datendiebstahl, DDoS und Ransomware in extremen Fällen auch vor der Kontaktaufnahme zu den Kunden Ihrer Opfer nicht halt, damit diese Druck ausüben, den Lösegeldforderungen nachzugeben.
• In einigen Unternehmen ist die Sicherheitsinfrastruktur im Netzwerk isoliert. Bei fehlender Integration von unabhängigen Sicherheitslösungen werden zu viele Warnmeldungen ohne Kontext ausgegeben. Aufgrund der Masse können sie von den Sicherheitsteams gar nicht mehr abgearbeitet werden, mit negativen Folgen für die Transparenz der gesamten Angriffsfläche.

Da Kriminelle immer hochentwickeltere Techniken einsetzen, um herkömmliche Sicherheitskontrollen zu umgehen, wird es den Unternehmen zunehmend unmöglich gemacht, anfällige digitale Daten sowohl innerhalb als auch außerhalb des traditionellen Netzwerkperimeters zu schützen. Aufgrund des wachsenden Drucks auf die Sicherheitsteams infolge des Trends zum Homeoffice, ist die Belastung der Ressourcen noch größer geworden. Unternehmen benötigen proaktive, einheitliche Sicherheitsmaßnahmen zum Schutz ihrer Technologieressourcen, einschließlich der vorhandenen Endpoints, Mobilgeräte, Netzwerk- und Cloud-Workloads, ohne dass Mitarbeiter und interne Ressourcen überfordert werden.

Auch vor diesem Hintergrund wenden sich die Verantwortlichen für Unternehmenssicherheit und Risikomanagement den Vorteilen und dem möglichen Produktivitätsgewinn durch XDR-Sicherheit zu.

Wie funktioniert XDR?

XDR sorgt durch bessere Erkennungs- und Abwehrfunktionen für mehr Effizienz in der Sicherheit, indem Transparenz und Kontrollfunktionen für Endpoints, Netzwerke und die Cloud an einer zentralen Stelle zusammengeführt werden.

Dabei werden Daten aus isolierten Sicherheitslösungen miteinander in Verbindung gebracht, wodurch Bedrohungen transparent werden und sich schneller identifizieren und abwehren lassen. Über eine zentrale XDR-Konsole werden fortschrittliche Untersuchungs- und Threat Hunting-Funktionen in mehreren Domänen gleichzeitig ausgeführt.

Grundsätzlich arbeitet XDR in drei Stufen:

1. Datenerfassung: Der erste Schritt ist die Erfassung und Aufbereitung großer Datenmengen aus Endpoints, Cloud-Workloads, E-Mails, dem Netzwerkverkehr, virtuellen Containern und mehr. Alle Daten werden anonymisiert und auf die Elemente reduziert, die zur Ermittlung potentieller Anomalien und Bedrohungen erforderlich sind.
2. Erkennung: Anschließend werden diese Daten mithilfe fortschrittlicher künstlicher Intelligenz (KI) und lernfähigen Systemen (ML) analysiert und in einen Kontext eingebunden, damit versteckte Bedrohungen automatisch detektiert werden können.
3. Antwort: Anschließend werden erkannte Bedrohungsdaten nach Schweregrad eingeteilt, damit Sicherheitsteams neue Ereignisse zeitnah analysieren und einordnen können, während Untersuchungs- und Abwehraktivitäten automatisiert werden. Die Antwort auf die Bedrohung sollte von einer zentralen Stelle ausgehen, die über alle relevanten Daten, den Kontext und die notwendigen Tools verfügt.

Mithilfe der XDR-Technologie können Analysten die Abfolge der Prozesse vor dem endgültigen Angriff nachvollziehen. Die Angriffskette wird mit Informationen zur betroffenen Anlage angereichert, z. B. mit möglichen Schwachstellen, dem oder den Eigentümern der Anlage, der Rolle im laufenden Betrieb und der beobachtbaren Reputation aus der Bedrohungsanalyse.

Angesichts der enormen Zahl von Warnmeldungen, die täglich auf die Sicherheitsteams einprasseln, ist die Automatisierung des Abwägungsprozesses und die Bereitstellung von Kontextdaten für die Analysten die beste Möglichkeit, den Prozess unter Kontrolle zu halten. Mit XDR können Sicherheitsteams ihre Zeit effizient nutzen, indem sie sich auf die Warnhinweise konzentrieren, die den größten Schaden anrichten können.

Weshalb Unternehmen XDR brauchen

Mit XDR lassen sich isoliert arbeitende Sicherheitstools zentral verwalten, während die Analyse, Untersuchung und Reaktion vereinheitlicht und effektiver gestaltet werden können. Für Unternehmen bringt das erhebliche Vorteile:

Konsolidierte Transparenz der Bedrohung: 

XDR-Sicherheit liefert anonymisierte Daten an einem Endpoint in Kombination mit Netzwerk- und Programmmitteilungen. Dazu gehören Informationen über Zugriffsberechtigungen, abgerufene Dateien und verwendete Programme. Dank absoluter Transparenz im System können Sie Angriffe schneller erkennen und abwehren.

Verbesserte Möglichkeit zur Prävention:

Threat Intelligence und adaptive lernfähige Systeme bieten eine zentralisierte Konfigurations- und Härtungsfunktion mit Empfehlungen zur Verhinderung möglicher Angriffe.

Effektive Abwehr:

Dank umfangreicher Datenerfassung und -analyse können Sicherheitsteams den Angriffspfad nachvollziehen und die einzelnen Aktionsschritte der Angreifer rekonstruieren, was die Chance erhöht, die Täter zu überführen. Die Daten liefern auch wertvolle Informationen, die Sie zur weiteren Stärkung Ihrer Abwehr nutzen können.

Mehr Kontrolle:

Mit Positiv- und Negativlisten für Datenverkehr und Prozesse wird sichergestellt, dass nur zulässige Aktionen ausgeführt werden und nur autorisierte Nutzer in Ihr System gelangen.

Gesteigerte Produktivität:

Dass alle Fäden an einer zentralen Stelle zusammenlaufen, führt zu weniger und zu präziseren Warnhinweisen, so dass weniger Fehlalarme gesichtet werden müssen. Da es sich bei XDR um eine einheitliche Plattform und nicht um eine Kombination mehrerer Einzellösungen handelt, ist die Lösung einfacher zu verwalten. Und es gibt weniger separate Schnittstellen, auf die die Sicherheitskräfte während einer Abwehraktion zugreifen müssen.

Host-Wiederherstellung nach erfolgtem Angriff: 

Auch nach einem erfolgten Angriff kann XDR Sicherheitsteams unterstützen, indem Schaddateien und Registrierungsschlüssel entfernt und Empfehlungen zur Wiederherstellung beschädigter Dateien und Registrierungsschlüssel ausgesprochen werden.

Mögliche Anwendungen von XDR

Die XDR-Technologie eignet sich für ein breites Spektrum an Aufgaben im Bereich der Netzwerksicherheit. Welche zur Anwendung kommen, hängt von den spezifischen Anforderungen des Unternehmens und dem Reifegrad des vorhandenen Sicherheitsteams ab. Beispiele für Anwendungsbereiche:

Einordnung:

XDR kann als Haupttool zur Datenerfassung, Systemüberwachung, die Erkennung von Ereignissen und die Alarmierung des Sicherheitsteams verwendet werden.

Untersuchung:

Man kann XDR-Lösungen auch als Informationsspeicher für Ereignisse nutzen. Unternehmen können diese Informationen in Kombination mit Bedrohungsdaten nutzen, um Ereignisse zu untersuchen, Abwehrmaßnahmen festzulegen und das Sicherheitspersonal zu schulen.

Threat Hunting:

Die von XDR-Lösungen erfassten Daten können als Grundlage für die Durchführung von Threat Hunting-Operationen verwendet werden. Und die beim Threat Hunting verwendeten und gesammelten Daten können wiederum zur Erstellung neuer Threat Intelligence-Daten verwendet werden, um Sicherheitsprotokolle und -systeme zu stärken.

Welche Vorteile bietet XDR?

Das System der Extended Detection and Response schafft einen Mehrwert, indem mehrere Sicherheitstools auf einer durchgängigen, einheitlichen Plattform zur Vorfallserkennung und -reaktion zusammengeführt werden. Wesentliche Vorteile von XDR:

• Reduzierung einer großen Anzahl von Warnmeldungen auf eine viel geringere Anzahl von Vorfällen, die für die manuelle Untersuchung nach Schweregrad eingeordnet werden
• Integrierte Optionen für die Vorfallsreaktion, die ausreichend Kontext bieten, damit Warnungen schnell behoben werden können
• Umfassender Schutz dank Abwehroptionen, die über die Kontrollpunkte der Infrastruktur hinausgehen, einschließlich Netzwerk, Cloud und Endpoints
• Automatisierung routinemäßiger Aufgaben zur Steigerung der Produktivität
• Effizienzsteigerung durch zentrale Verwaltung und einheitlichen Workflow unterschiedlicher Sicherheitskomponenten

Kurz gesagt, liegen die wichtigsten Vorteile in verbesserten Schutz-, Erkennungs- und Abwehrfunktionen, einer höheren Produktivität des operativen Sicherheitspersonals sowie in geringeren Gesamtbetriebskosten für die effektive Erkennung und Reaktion auf Sicherheitsbedrohungen.

Was eine XDR-Lösung bieten sollte

Zu den unverzichtbaren Merkmalen einer XDR-Lösung gehören:

Unabhängig:

Die Möglichkeit, mehrere Technologien zu integrieren, ohne sich an einen bestimmten Anbieter binden zu müssen.

Maschinengestützte Einordnung und Erkennung:

Gewährleistet eine zeitnahe Analyse großer Datensätze und reduziert die Zahl der Fehlalarme.

Vorgefertigte Datenmodelle:

Bedrohungsdaten sollten sich integrieren sowie Erkennung und Reaktion automatisieren lassen, ohne dass Softwareingenieure programmieren oder Regeln erstellen müssen.

Integrierbar:

Statt SIEM-Lösungen (Security Information and Event Management), SOAR-Technologien (Security Orchestration and Response) und Vorfallsmanagementtools zu ersetzen, sollte eine XDR-Lösung sich integrieren lassen, damit Unternehmen maximalen Nutzen aus ihren bisherigen Investitionen ziehen können.

Integration mit Sicherheitsvalidierung:

Wenn XDR und Sicherheitsüberprüfung zusammenwirken, können Sicherheitsteams besser evaluieren, wie gut ihr Sicherheitssystem arbeitet, wo Schwachstellen liegen und welche Maßnahmen zu ergreifen sind, um Leistungslücken zu schließen.

XDR im Vergleich zu anderen Erkennungs- und Reaktionstechnologien

Im Unterschied zu anderen Sicherheitstools ermöglicht XDR die zentrale Erfassung, Aufbereitung und Einordnung von Daten aus verschiedenen Quellen, was durchgängige Transparenz im System schafft und die Erkennung hochentwickelter Bedrohungen erleichtert.

Aufgrund dieser Vielfalt der Daten lassen sich mit dieser Technologie Warnmeldungen wirksamer überprüfen und die Zahl der Fehlalarme reduzieren, was die Zuverlässigkeit insgesamt erhöht. Damit spart XDR vor allem den Sicherheitsteams wertvolle Zeit und ermöglicht ein schnelleres, stärker automatisiertes Eingreifen.

XDR ist nicht dasselbe wie EDR. Mit EDR können sich Unternehmen auf die aktuellen Aktivitäten an sämtlichen Endpoints konzentrieren und diese Aktivitäten von fortschrittlichen lernfähigem Systeme einordnen lassen, um passende Maßnahmen zu definieren. Gleichzeitig nutzen sie die Automatisierung, um bei Bedarf umgehend reagieren zu können.

XDR-Systeme erweitern den Blickwinkel über die reinen Endpoint-Datenströme hinaus und nehmen auch Netzwerke, E-Mails, Cloud-Workloads, Programme, Geräte, Identitäten, Datenbestände, das Internet der Dinge und viele andere mehr in den Blick. Dadurch können sie mehr Bedrohungen, Schutzverletzungen und Angriffe erkennen und effektiver reagieren, da sich ihre Maßnahmen auf die gesamte Infrastruktur und nicht nur auf die Endpoints erstrecken. XDR liefert darüber hinaus ein umfassenderes Bild, was im System vor sich geht.

Es gibt Unternehmen, die versuchen, EDR und SIEM-Lösungen (Security Information and Event Management) miteinander zu kombinieren. Im Gegensatz zu SIEM-Lösungen, die nur oberflächliche Daten aus einer Vielzahl von Quellen sammeln, geht XDR tiefer und erfasst seine Daten gezielter. Dadurch kann XDR Ereignisse in einen größeren Zusammenhang stellen und die Notwendigkeit zur manuellen Feineinstellung oder Datenintegration entfällt. Die Warnmeldungen kommen aus der XDR-Lösung selbst, so dass der Integrations- und Wartungsaufwand, wie er für die Überwachung von Warnhinweisen in einem SIEM erforderlich ist, entfällt.

Je länger eine Bedrohung im Netzwerk eines Unternehmens verborgen bleibt, desto mehr Möglichkeiten hat ein Angreifer, Systeme zu beschädigen und wertvolle Daten zu stehlen. Daher kommt es entscheidend darauf an, so schnell wie möglich auf jede erkannte Bedrohung zu reagieren. Sicherheitsteams brauchen zuverlässige Hinweise über mögliche Bedrohungen im System und schnelle Reaktionsmöglichkeiten, wenn sie zuschlagen, um den möglichen Schaden zu begrenzen. Und genau für diese Herausforderung wurde XDR konzipiert.

FAQs zu XDR

Zu den häufig gestellten Fragen zu XDR-Sicherheit, XDR-Technologie und XDR-Cybersicherheit gehören:

Was ist XDR?

XDR steht für "Extended Detection and Response“ und bezeichnet eine Technologie zur Überwachung und Eindämmung von Cybersicherheitsbedrohungen. XDR sammelt Daten und stellt über verschiedene Sicherheitsebenen hinweg – an Endpoints, im Netzwerk und in der Cloud – automatisch Zusammenhänge zwischen Ereignissen her. Ziel ist es, Bedrohungen zeitnah zu erkennen sowie Gegenmaßnahmen schnell und präzise einzuleiten.

Wie funktioniert XDR?

XDR verfolgt einen proaktiven Ansatz der Bedrohungserkennung und -abwehr. Die Lösung sorgt für Datentransparenz und ist dank moderner Analysen und Automatisierung gut aufgestellt, um hochentwickelte Cybersicherheitsbedrohungen wirksam abzuwehren. XDR sammelt die Warnmeldungen von E-Mails, Endpoints, Servern, Cloud-Workloads und Netzwerken und ermittelt, hinter welchen von diesen ernstzunehmende Bedrohungen stehen. Diese Bedrohungen werden anschließend priorisiert, aufgespürt und beseitigt.

Was ist der Unterschied zwischen XDR und EDR?

Endpoint Detection and Response (EDR) konzentriert sich auf die kontinuierliche Überwachung und Erkennung von Bedrohungen sowie das automatisierte Einleiten von Abwehrmaßnahmen. Das geschieht allerdings nur auf Endpoint-Ebene. Im Gegensatz dazu geht XDR in der Betrachtung weit über die reinen Endpoints hinaus und bezieht auch Cloud-Workloads, Programme, Benutzeridentitäten und das gesamte Netzwerk mit ein.

Weitere Produkte:

• Kaspersky Managed Detection and Response
• Kaspersky Endpoint Detection and Response Expert und Kaspersky Anti Targeted Attack Platform

Weitere Artikel:

• Was versteht man unter Endpoint Security und wie funktioniert das?
• Einfluss des Zero-Trust-Prinzips auf die Cybersicherheit
• Wie es zu Datenschutzverletzungen kommt