Neue Wege der (Zusammen)Arbeit erfordern neue Sicherheitsmaßnahmen: Eine aktuelle Lösung ist Extended Detection and Response (XDR). Unternehmen entdecken Attacken oft zu spät oder gar nicht, weil moderne Bedrohungen weit über den Endpunkt hinausgehen. Lesen Sie jetzt, wie XDR Ihr Unternehmen schützen kann und warum EDR und SIEM allein nicht mehr ausreichen.

Dreier IT-Team ist vor einem großen Monitor und schaut sich das Sicherheitskonzept XDR für ihre IT Landschaft an.
XDR © metamorworks / Adobe Stock

Was bedeutet XDR?

Extended Detection and Response (XDR) bedeutet erweiterte Erkennung und Reaktion. Dahinter steckt ein junges Sicherheitskonzept zum Erkennen und Abwehren von Cyberbedrohungen über die gesamte IT-Landschaft eines Unternehmens hinweg. XDR betrachtet die Sicherheit der IT-Umgebung ganzheitlich: Es integriert alle Systeme inklusive Komponenten und Kontrollinstrumenten in einer transparenten Plattform.

Wie funktioniert XDR?

Im Idealfall konsolidiert XDR verschiedene Sicherheitstools, die je nach Unternehmen Server, Netzwerke inklusive Router und Switches, Anwendungen wie Threat Intelligence und E-Mail, aber auch Cloud-Services und Benutzeridentitäten schützen. Die Software sammelt, korreliert und analysiert Daten automatisch auf mehreren Sicherheitsebenen. Datenbasiert ergreift XDR dann die richtigen Abwehrmaßnahmen oder liefert Anleitungen zur schnellen manuellen Durchführung. Der Status quo ist auf einem zentralen Dashboard einsehbar.

Was ist das Ziel von XDR?

Das Konzept zielt darauf ab, versteckte Bedrohungen systemübergreifend besser zu erkennen, zu analysieren und dadurch schneller bekämpfen zu können. Sofort einsatzbereite Integrationen und vorkonfigurierte Erkennungsmechanismen für unterschiedliche Tools und Plattformen verbessern die Produktivität, Erkennung und Forensik. So können Sicherheitsanalyst*Innen schneller reagieren und das Unternehmen besser vor Datenschutzverletzungen, Datenverlust und Ausfällen schützen – bei weniger Komplexität und geringeren Kosten.

Was ist der Unterschied zu EDR?

Endpoint Detection and Response, kurz EDR, ist die Vorstufe von XDR und galt bis etwa 2018 als Standard. Wie der Name verrät, beschränkt sich EDR auf die Endpunkte einer IT-Infrastruktur. In Kombination mit Machine Learning und künstlicher Intelligenz gab EDR Analyseteams mehr Einblick in die Endpunkte und ermöglichte forensische Echtzeit-Untersuchungen. Aufgrund der sich verändernden IT-Infrastrukturen und den immer intelligenteren Bedrohungen reichte EDR aber irgendwann nicht mehr aus.

Was EDR zum Beispiel nicht leisten kann:

  • Endpunkte wie unberechtigte externe Endgeräte sehen und verwalten
  • neue Cloud-Modelle wie Container und serverlose Umgebungen schützen
  • alle Empfänger infizierter E-Mails identifizieren
  • seitliche Ausbreitung von Angriffen vollständig überblicken
  • Daten über mehrere Sicherheitssilos hinweg korrelieren

In Zeiten von verteilten Systemen braucht es Kontextdaten zu Netzwerken, Threat Intelligence und andere Sicherheitstools, um Bedrohungen besser erkennen und schneller reagieren zu können. Aus dieser Lücke heraus ist XDR entstanden.

Die wichtigsten Vorteile von XDR

Nicht alle XDR-Lösungen sind gleich. Welche Vorteile die Software bietet, hängt auch von den integrierten Sicherheitstools ab. Die wichtigsten Funktionen und Vorteile von XDR sehen Sie in der folgenden Übersicht.

  • volle End-to-End-Unternehmenstransparenz über alle Netzwerke hinweg
  • Unterstützung weltweit verteilter Endpunkte, Infrastrukturen, Workloads und Betriebssysteme
  • zentrale und benutzerfreundliche Bedienung
  • hohe Zeitersparnis durch automatisierte Erkennung und Reaktion
  • autonomer Endpunktschutz durch einen einzigen Agenten
  • grafische Visualisierung, die wichtige angriffsbezogene Informationen liefert
  • einfache Integration in Security Information and Event Management (SIEM) und Security Orchestration Automation and Response (SOAR)
  • Verbesserung wichtiger Kennzahlen für einen höheren ROI

Tipp: Eine Lösung, die viele Vorteile mit einer einfachen Bedienbarkeit vereint, ist die Edge-to-Edge-Sicherheitsplattform Singularity von SentinelOne.

Die größten Herausforderungen für das SOC – und wie XDR helfen kann

Remote Work, zunehmend verteilte Systeme und neue Technologien stellen das Security Operations Center (SOC) vor knifflige Herausforderungen. Die gute Nachricht: Mit XDR lassen sich die größten Herausforderungen zuverlässig lösen.

Herausforderung: Sichtbarkeit zwischen Sicherheitslösungen

Für die verschiedenen Komponenten der IT-Umgebung sind oft spezielle Security-Tools im Einsatz. Je nach Art und Granularität der gesammelten Daten und der Qualität der Korrelation sind der Datenaustausch und die Transparenz begrenzt.

Lösung: Mithilfe intelligenter Analysen und Informationen zu Bedrohungen erzeugt XDR einen vollständigen Data Lake aller Aktivitäten in den jeweiligen Sicherheitslösungen. So können SOC-Teams statt einzelner Incidents das gesamte Verhalten über mehrere Assets einsehen.

Herausforderung: Sicherheitsteams sind mit Warnungen überlastet

Verschiedene Lösungen erzeugen verschiedene Warnmeldungen, die in der Regel nicht einheitlich strukturiert sind. Je nach Unternehmensgröße entstehen in einem SIEM-System schnell Tausende von Ereignissen pro Sekunde. Diese Datenmasse richtig zu korrelieren und zu priorisieren, ist für das SOC nahezu unmöglich.

Lösung: Mit KI-gestützter Automatisierung kann XDR fragwürdige Aktivitäten zu einem Ereignis verknüpfen und lediglich die Warnungen anzeigen, für die Maßnahmen notwendig sind.

Herausforderung: Probleme bei Untersuchungen

Untersuchungen gehen mit vielen Protokollen und Warnungen einher. Mangels klarer Indikatoren verläuft die Ursachenfindung oft zäh und kann viel Zeit und Geld kosten, während das Angriffsrisiko kontinuierlich wächst.

Lösung: Dank automatischer Untersuchungen, Datenkorrelation und -visualisierung stellt XDR wichtigen Kontext bereit und liefert Informationen zu den möglichen Konsequenzen eines Angriffs. So lassen sich der genaue Zeitplan und Angriffspfad von E-Mail über Endpunkte bis hin zu Cloud-Services einsehen.

Herausforderung: Erkennung und Reaktion ist zu langsam

Viele Bedrohungen bleiben – sofern sie überhaupt erkannt werden – lange Zeit unentdeckt. Das verlängert die Reaktionszeit und erhöht das Risiko einer Cyberattacke und damit einhergehender Schäden.

Lösung: XDR kann die Erkennungs- und Reaktionszeiten drastisch verkürzen. Das verbessert wiederum kritische Kennzahlen wie die Mean-Time-to-Investigate (MTTI), Mean-Time-to-Detection (MTTD) und Mean-Time-to-Reaction (MTTR), die direkt den Wert von Lösungen, Investitionen und Geschäftsrisiken beeinflussen.

XDR vs. SIEM: Was brauchen Unternehmen wirklich?

Wenn es um netzwerkübergreifende Sicherheit geht, werden XDR und SIEM häufig gegenübergestellt. Die Antwort auf die Frage, was Unternehmen wirklich brauchen, lautet ganz klar: beides. XDR ist kein Ersatz, sondern eine wertvolle Ergänzung zum richtigen SIEM.

Was SIEM leisten kann: SIEM wird in der Regel genutzt, um Protokolle und Warnungen aus mehreren Lösungen zu erfassen. Es sammelt, aggregiert, analysiert und speichert große Datenmengen aus verschiedenen Quellen, um zentrale Transparenz zu schaffen.

Was SIEM nicht leisten kann: Gleichzeitig produzieren SIEM-Tools aber auch einen Wust an Protokoll- und Ereignisdaten sowie individuellen Warnungen, die auf Kritikalität geprüft werden müssen. Kritische Meldungen werden im SOC schnell übersehen oder vielleicht sogar automatisch ignoriert. Zudem erfordern SIEM-Tools eine aufwändige Implementierung und Konfiguration. Als passive Analysetools sind sie nicht in der Lage, den Kontext zu erkennen oder automatisiert Maßnahmen zu ergreifen.

An dieser Stelle kommt XDR ins Spiel: Es ergänzt die Funktionen von SIEM um die Erkennung und Reaktion auf Cyberangriffe mittels Verhaltensanalyse, Threat Intelligence & Co. Als Logquelle für SIEM und SOAR kann XDR Daten schneller analysieren und besser korrelieren. Durch die Kombination von ML, KI und der richtigen Konfiguration sendet XDR um bis zu 90 % weniger, aber dafür kontextreiche Warnungen an die SIEM-Lösung. Ihr Team kann dadurch Warnungen und Protokolle aus dem SIEM schneller beurteilen und lizensieren, der manuelle Aufwand sinkt. So kann XDR die Effizienz von SIEM- und SOAR-Plattformen steigern und Kosten senken. Bis zu acht Vollzeit-Security-Arbeitskräfte lassen sich durch eine XDR-Lösung ersetzen, wie eine ESG-Studie von 2021 ergab.

Für welche Unternehmen ist XDR sinnvoll?

XDR ist branchenübergreifend für alle Unternehmen sinnvoll, die ihre Erkennungsrate erhöhen und ihre Untersuchungs-, Erkennungs- und Reaktionszeiten in Bezug auf Bedrohungen verkürzen wollen. Gerade für jene Unternehmen, die bereits EDR, SIEM oder SOAR einsetzen, ist der Weg zu XDR nicht mehr weit und der nächste logische Schritt. Wenn Ihr Unternehmen zu denjenigen gehört, in deren SOC täglich Tausende oder gar Millionen Ereignisse und Protokolle einlaufen, kann XDR Ihr Analyseteam spürbar entlasten und messbare Vorteile bieten.

Fazit

Als Nachfolger von herkömmlicher EDR und Ergänzung zu SIEM und SOAR ist XDR ein wertvolles Asset in der Unternehmens-IT. In zunehmend verteilten und komplexen Systemen entlastet es Security-Teams und sorgt für messbare Geschäftsvorteile.