05.09.2022

XDR, die nächste Sprosse der IT-Security-Reifegrad-Leiter

XDR Extended Detection and Response.jpg

Eine riesige Anzahl von Tools zur Protokollierung, Erkennung und Response-Tools ist verfügbar, um Sicherheitsteams bei der Suche nach Bedrohungen zu unterstützen. Jedes dieser Tools hat Stärken und Schwächen und kann vor verschiedenen Angriffen schützen - wie bekannte dateibasierte Malware-Vorfälle oder Angriffe die darauf ausgerichtet sind, nur einen Teil der Infrastruktur auszuschalten.

Die meisten dieser Tools sind jedoch auf einen einzigen Zweck abgestimmt und keines ist darauf ausgelegt, anspruchsvolle Bedrohungen allein zu bewältigen.

Nachfolgend eine Übersicht zu den gebräuchlichsten Log-, Erkennungs- und Reaktions-Tools.

Endpoint Detection and Response (EDR)
Endpoint Detection and Response (EDR) ist eine Kategorie von Tools, die Bedrohungen auf Endgeräten erkennen und untersuchen. EDR-Tools bieten in der Regel Funktionen zur Erkennung, Analyse, Untersuchung und Reaktion.

Weitere Informationen zum Thema EDR finden Sie in unserem Beitrag zum Thema: "Was macht Endpoint Detection and Response (EDR) mehr als Anti-Virus (AV)?"

Endpoint Protection Platform (NGAV)
Eine Endpoint-Protection Platform (EPP) ist ein Software-Agent, der auf Endgeräten installiert wird, um dateibasierte Malware-Angriffe zu verhindern und bösartige Aktivitäten zu erkennen. EPP ist die Weiterentwicklung herkömmlicher hostbasierter Antiviren- und Anti-Malware-Lösungen und wird allgemein als die erste Verteidigungslinie auf einem Endgerät betrachtet.

Weitere Informationen hierzu finden Sie hier.

Security Information and Event Management (SIEM)
SIEM-Systeme bieten nahezu in Echtzeit die Sammlung, Korrelation und Analyse von Sicherheitsereignissen sowie die Benachrichtigung über Sicherheitswarnungen, die von verschiedenen Netzwerkgeräten und -anwendungen erzeugt werden.

Weitere Informationen dazu finden Sie in unseren Beiträgen zu den Themen: «Was genau machen Log Management & SIEM?» sowie «Weshalb braucht es einen SIEM-Service?»

Network Detection and Response und User and Entity Behavior Analytics (NDR und UEBA)
Tools zur Netzwerkerkennung und -reaktion (NDR) und zur Analyse des Benutzer- und Entitätsverhaltens und User and Entity Behavior Analytics (UEBA) sind eine neuere Klasse von Sicherheitsanalyse-Tools, die entstanden sind, um die Herausforderungen von SIEM bei der Erkennung unbekannter Angriffe zu adressieren.

Diese Tools verwenden maschinelles Lernen um aus den gesammelten Telemetriedaten eine Grundlinie (Baseline) der Aktivitäten zu entwickeln und suchen dann nach untypischen Aktionen, die auf bösartiges Verhalten hindeuten könnten. Diese Technologien ermöglichen es Unternehmen, bisher unbekannte Angriffe zu identifizieren, indem sie atypische Muster erkennen.

Mehr zu diesen Themen finden Sie in unseren Beiträgen «Was ist Network Detection and Response?» und «Was ist User Behaviour Analystics (UBA)?»

Erkennungs- und Präventionswerkzeuge erzeugen täglich Tausende von Warnmeldungen - weit mehr, als Sicherheitsteams in der Lage sind effektiv bearbeiten zu können. Diese Warnmeldungen stammen aus vielen unzusammenhängenden Quellen und überlassen es den Sicherheitsanalysten, die Meldungen zu korrelieren.

Was also gebraucht wird, ist eine Reihe von Technologien, welche die Gesamtzahl von Warnmeldungen reduziert und gleichzeitig weniger erfahrenen Analysten hilft, Bedrohungen effizient und sicher selbst zu bewerten.

Hier kommt das Thema XDR ins Spiel

Bei XDR handelt es sich um einen neuen Ansatz zur Bedrohungserkennung und –reaktion. XDR wurde geschaffen, um Angriffe effizienter zu stoppen, Techniken und Taktiken von Angreifern zu erkennen, die nicht verhindert werden können, und (SOC)-Teams zu helfen, besser auf Bedrohungen zu reagieren, die eine Untersuchung erfordern.

Das X in XDR steht für "extended" (erweitert), aber eigentlich steht es stellvertretend für alle Datenquellen einer IT-Umgebung, denn es ist weder effizient noch effektiv, einzelne Komponenten einer Umgebung isoliert zu betrachten.

XDR bietet einen proaktiven Ansatz zur Erkennung von und Reaktion auf Bedrohungen, über Ihre gesamte Umgebung und wendet gleichzeitig Analysen und Automatisierung an, um den immer ausgefeilteren Bedrohungen von heute Herr zu werden.

Das XDR-System sammelt und korreliert Daten über verschiedene Netzwerkpunkte wie Server, E-Mail, Cloud-Workloads und Endpunkte. Die Daten werden dann analysiert und korreliert, was ihnen Transparenz und Kontext verleiht und fortschrittliche Bedrohungen aufdeckt.

Anschließend werden die Bedrohungen priorisiert, analysiert und sortiert, um Sicherheitsbedrohungen und Datenverluste zu verhindern. Das XDR-System verhilft Unternehmen zu einem höheren Maß an Cyber-Security-Bewusstsein, so dass Cybersicherheitsteams Sicherheitsschwachstellen erkennen und beseitigen können.

Mit einer XDR-Lösung ergeben sich für die Analysten folgende Vorteile:

•    Verringerung des Alarm-Backlogs, bei Alarmierung durch Incident Management-Tools mittels intelligenter Alarmgruppierung und Untersuchungskontext-Hilfen
•    Verringerung der Wahrscheinlichkeit einen Angriff zu übersehen
•    Analyse von Warnmeldungen, um die Erkennung zu verbessern und sicherzustellen, dass die Produktivität und der Schutz nicht beeinträchtigt werden.
•    Anwendung neuer verhaltensbasierter Trigger zur Verbesserung der Triagezeiten und optional die Umwandlung von Erkennungsregeln in Präventionsregeln

Fazit

Für eine optimale IT-Sicherheit, ist es unerlässlich, dass Daten aus allen Quellen und von allen IT-Security-Komponenten zusammengefasst und korreliert werden können, sodass fortschrittliche Angriffe (Advanced Persistent Threats «APT») frühzeitig erkannt und als solche eingestuft werden können.

 


Gerne stellen wir Ihnen unsere XDR-Lösungen- und Services in einem unverbindlichen Gespräch vor.

 

Die letzten Beiträge:

bw digitronik in Liquidation / wichtige Informationen für Kunden / important information for customers
Incident Response Retainer vs. Incident Support Service
Inside bw digitronik - Heute: Toby

bw digitronik ag | Uster West 30 | CH-8610 Uster
Telefon +41 44 905 48 48 | Fax +41 44 905 48 88 | Mail

Unsere verlässlichen Partner:

bw-digitronik – IT-Security Lösungen für die Schweiz

Anmelden

Datenschutz

powered by webpresso