XDR: Eine neue Waffe im Kampf gegen Cybergefahren

Cyberangreifer finden immer wieder Schlupflöcher, die es ihnen erlauben, die vorhandenen Schutzmechanismen auszuhebeln und ein Unternehmen mit bösartiger Software zu infizieren. Um solche Schlupflöcher proaktiv zu finden sowie bereits infizierte Systeme rasch zu entdecken, sind Detektionsmechanismen ein wichtiger Teil heutiger Sicherheitsstrategien. Dabei nutzen Unternehmen etwa Network Detection & Response (NDR), Endpoint Detection & Response (EDR) oder auch klassische Intrusion Detection Systems (IDS). Alle diese Komponenten erstellen und sammeln fortlaufend Daten für ihren Anwendungsbereich. Dazu kommen Logdaten von Präventionsmechanismen, wie Antivirus-Software oder Firewalls, sowie von Host- und Anwendungsprogrammen.

Die Herausforderung besteht darin, in dieser Masse an unterschiedlichen Informationen Cyberbedrohungen schnell und zuverlässig zu entdecken. Vielen Firmen fällt es schwer, eine ganzheitliche Bedrohungserkennung zu schaffen. Security-Incident- und Event-Management (SIEM)-Lösungen sind zwar stark im Sammeln dieser Daten, die datenquellenübergreifende Auswertung ist mit dieser Technologie aber schwierig, da die Abfragesprachen oft sehr kompliziert sind, die Systeme für Korrelationen schlecht skalieren und es an automatisierten Szenarien zur Bedrohungserkennung fehlt. Als Konsequenz müssen sich Security-Teams bedrohungsrelevante Ereignisse in Tausenden von SIEM-Ereignissen zusammensuchen und manuell ein Gesamtbild für die Analyse erstellen. Dies hat einen hohen Preis: Laut einer Studie der Enterprise Strategy Group werden mehr als die Hälfte der kritischen Security Alerts gar nicht als solche wahrgenommen.

Konsolidierung von Monitoring und Cyberabwehr

Abhilfe verspricht eine neue Cybersecurity-Technik, die auf künstliche Intelligenz (KI) und Analysealgorithmen setzt: «Extended Detection and Response» (XDR). XDR abstrahiert, korreliert und konsolidiert die Informationen aus den verschiedenen Datenquellen und erstellt so ein aufschlussreiches Gesamtbild der Bedrohungslage einer IT-Infrastruktur. Mit Machine Learning zur generellen Erkennung von Anomalien und spezialisierten Algorithmen zur Detektion typischer Angriffsmuster wird die Infrastruktur ganzheitlich überwacht. XDR ermöglicht so eine automatisierte, schnellere Erkennung von Gefahren, da Angriffe oft über mehrere Kanäle geschehen und somit in einem Gesamtbild deutlicher auftauchen. Weiter können durch die kombinierte Überprüfung verschiedener Informationsquellen Fehl­alarme schneller ausgemerzt und die relevanten Bedrohungen priorisiert werden. Auch bei der Untersuchung und Verteidigung kann XDR ihre Stärken ausspielen, da sie den Security-Teams mehr Kontext zur Bedrohung liefert, deren Ausmass über Quellen oder Systeme hinweg zusammenfasst sowie Vorschläge zur Eliminierung macht.

XDR schaltet sich zwischen die einzelnen Komponenten und das Security-Team. (Bild: Exeon Analytics)

Mit diesen Eigenschaften ist XDR einer der aktuellen Trends in der Cybersecurity. Indem XDR die bestehenden Daten einzelner Systeme konsolidiert und automatisiert auf Anomalien und Bedrohungsmuster hin analysiert, können Bedrohungen erkannt werden, die bis anhin im Grundrauschen der regulären IT-Aktivitäten untergingen. Zudem können Security-Teams dank XDR effizient Detection-Szenarien implementieren und entsprechende Alarme auch schneller untersuchen, da diese direkt mit aggregierten Kontextinformationen geliefert werden. So stärkt XDR die Cyberabwehr genau dort, wo sie bislang ihre grössten Schwachstellen hatte.