Bedrohungen besser erkennen und schneller reagieren
Cyberangriffe nehmen zu und werden immer komplexer. Unternehmen benötigen deshalb eine Lösung, die Transparenz über das Bedrohungsgeschehen in der gesamten IT-Umgebung schafft – von den Endpunkten über Server und Netzwerke bis in die Cloud. Genau das ermöglicht Extended Detection & Response (XDR).
Unternehmen weltweit betrachten Cyberbedrohungen inzwischen als das grösste Risiko für ihr Geschäft, wie das Allianz Risk Barometer vom Januar 2022 ergab. Die aktuelle geopolitische Lage lässt zudem eine weitere Verschärfung dieser Situation erwarten. Gleichzeitig wird es für Unternehmen immer schwieriger, sich zu schützen. Denn durch die zunehmende Digitalisierung wächst die Angriffsfläche. Sicherheitsverantwortliche haben es mit einer immer komplexeren IT-Umgebung zu tun, die sich von On-Premises-Systemen über Internet-of-Things-Geräte bis hin zu verschiedenen Cloud-Services erstreckt. Durch die Coronapandemie wurde sie noch um zahlreiche Homeoffice-Arbeitsplätze erweitert. Mit den Sicherheitsanforderungen der IT-Umgebung wächst auch die Security-Infrastruktur und wird immer aufwändiger zu managen. Gleichzeitig leiden IT-Teams unter dem anhaltenden Fachkräftemangel.
Moderne Angriffe erfordern neue Security-Ansätze
Wenn wenige Security-Mitarbeitende immer grössere Herausforderungen meistern müssen, können sie nicht mehr für ausreichende Sicherheit sorgen. Wie eine ESG-Studie zeigt, sagen 85 Prozent der Unternehmen, dass es immer schwieriger werde, Bedrohungen zu erkennen und schnell zu reagieren. Genau das aber ist wichtig, um die Geschäftskontinuität zu sichern. Dazu kommt, dass herkömmliche Sicherheitsstrategien oftmals zu spät und zu kurz greifen, weil sie den heute gängigen Angriffsmustern nicht gerecht werden. Attacken verlaufen häufig in Wellen und erstrecken sich über viele verschiedene Ebenen.
Gefragt ist ein neuer Ansatz, der es ermöglicht, auch komplexe Vorfälle schnell aufzudecken. Hier kommt XDR ins Spiel: Extended Detection & Response. Die neue Technologie schafft Transparenz über das Bedrohungsgeschehen in der gesamten IT-Umgebung und unterstützt Security-Mitarbeitende mit künstlicher Intelligenz (KI) und Automatisierung. Laut Gartner ist XDR einer der Top Security und Risk Management Trends.
Silos aufbrechen und IT-Mitarbeitende entlasten
Um mehrschichtige Angriffe zu erkennen, ist es nötig, alle Vektoren in der IT-Umgebung zu überwachen, Indizien zu sammeln und zu einem Gesamtbild zusammenzusetzen. Denn häufig versucht moderne Malware, Sicherheitssysteme auszutricksen und unbemerkt zu bleiben. Sie kann zudem viele verschiedene Aktionen ausführen. Der berüchtigte Trojaner Emotet hat zum Beispiel weitere Malware nachgeladen, etwa um Daten zu stehlen oder zu verschlüsseln. Mit Wurm- und Bot-Funktionalität verbreitete er sich automatisiert im Netzwerk und nahm über Command-and-Control-Server Befehle der Angreifer entgegen.
XDR schafft umfassende Transparenz in der gesamten IT-Umgebung über alle Vektoren hinweg: von E-Mail über die Endpunkte, Server und Netzwerke bis hin zu Cloud-Workloads. Informationen aller angeschlossenen Security-Systeme fliessen in einem zentralen Data Lake zusammen. Dort werden sie mithilfe von KI unter Nutzung von Machine Learning und globaler Threat Intelligence ausgewertet. XDR filtert automatisiert relevante Informationen heraus und korreliert sie. Aus tausenden Alerts werden dadurch wenige, verwertbare Warnungen. So lässt sich die Zahl der Security-Events um bis zu 90 Prozent reduzieren. Security-Mitarbeitende können sich dann auf die wirklich wichtigen Warnmeldungen konzentrieren. Sie sehen in einer zentralen Konsole auf einen Blick, was passiert ist und ob sie eingreifen müssen. Das spart wertvolle Zeit und ermöglicht es Unternehmen, erheblich schneller und zielgerichteter auf einen Vorfall zu reagieren.
----------
XDR macht aus Tausenden Meldungen eine überschaubare Zahl
Extended Detection & Response (XDR) erfasst und korreliert alle sicherheitsrelevanten Informationen in Unternehmen. Warum XDR auch für Firmen interessant ist, die bereits auf ein SIEM und SOAR setzen, sagt Michael Unterschweiger, Regional Director Schweiz & Österreich bei Trend Micro. Interview: Coen Kaat
Immer mehr Tools versprechen, beim Management der Security zu helfen. Erst gab es SIEM, dann SOAR und jetzt auch noch XDR. Wo liegen die Unterschiede?
Michael Unterschweiger: In der Tat setzen viele Unternehmen bereits ein Security Information and Event Management (SIEM) ein, um Informationen verschiedener Sicherheitssysteme zu sammeln, zu untersuchen und Bedrohungen aufzuspüren. Diese Systeme werden häufig von Security-Analysten genutzt, um die sicherheitsrelevanten Systeme zu überwachen, Alerts auszuwerten und Auffälligkeiten zu untersuchen. Entdecken die Experten einen Cybervorfall, ergreifen sie passende Gegenmassnahmen. Zunehmend kommen in diesem Kontext auch SOAR-Lösungen (Security Orchestration, Automation and Response) zum Einsatz. Ähnlich wie ein SIEM sammelt SOAR Sicherheitsinformationen aus verschiedenen Quellen und wertet sie aus. Die Technologie geht jedoch noch einen Schritt weiter und kann sogar automatisiert Massnahmen anstossen, ohne dass menschliches Eingreifen nötig ist.
Wozu braucht man dann noch XDR?
In der Praxis berichten die meisten Anwender, dass ihnen ihr SIEM zwar dabei hilft, Bedrohungen zu untersuchen, häufig haben die Systeme aber Probleme damit, Ereignisse effektiv zu korrelieren. Ein Grossteil der Arbeit bleibt also an den Security-Analysten hängen – und die sind in Zeiten des Fachkräftemangels leider oft Mangelware. Laut einer Studie von ESG sind 57 Prozent der Unternehmen der Ansicht, dass ihr SIEM zu viele Meldungen ausgibt und sie zu viel Personal benötigen, um es effektiv zu nutzen. Ein weiteres komplexes Problem ist die Datenerfassung und Integration. Zudem hat fast die Hälfte der Unternehmen mit redundanten Daten im System zu kämpfen. Da ein SIEM üblicherweise nach Events pro Sekunde lizenziert wird, treiben überflüssige Daten die Kosten in die Höhe. XDR kann viele dieser Herausforderungen lösen. Denn ähnlich wie ein SIEM sammelt auch XDR die Bedrohungsinformationen der angeschlossenen Systeme. Die Auswertung der Daten erfolgt jedoch mithilfe von künstlicher Intelligenz auf Basis globaler Bedrohungsdaten. Dadurch funktioniert die Korrelation der Alerts viel treffsicherer. Aus tausenden Meldungen entsteht am Ende eine überschaubare Zahl verwertbarer Warnungen. So reduziert sich die Zahl der Security-Alerts um bis zu 90 Prozent.
Kann XDR denn ein SIEM ersetzen?
XDR will die bestehenden Sicherheitssysteme nicht ersetzen, sondern um wertvolle Automatisierungsfunktionen erweitern und ihre Effizienz steigern. So kann eine XDR-Lösung mit einem SIEM zusammenarbeiten, indem es als zentrale Logquelle dient. Ins SIEM fliessen dann bereits korrelierte Daten ein. Das bringt viele Vorteile: Zum einen erhöht sich die Analysegeschwindigkeit und damit die Reaktionsgeschwindigkeit auf Angriffe. Eine Datenkorrelation, für die ein SIEM mehrere Minuten braucht, erfolgt mit XDR in wenigen Sekunden. Ausserdem reduziert sich die Zahl der Events pro Sekunde, die Unternehmen im SIEM lizenzieren müssen, und der Speicherbedarf sinkt. Beides spart Kosten. Darüber hinaus ist in XDR bereits globale Threat Intelligence enthalten. Auch das ist ein Vorteil: Security-Analysten benötigen diese Informationen, um Alerts zu bewerten und Zusammenhänge herzustellen. Viele Unternehmen kaufen solche Informationen daher bei externen Anbietern ein. Das sind Folgekosten, die bei einem SIEM zusätzlich anfallen, mit XDR aber vermieden werden.
Wo Barrierefreiheit erlebt und gemeinsam gefördert werden soll
Update: Amazon bestreitet Datenleck
So entfalten Unternehmen das ganze Potenzial von KI mit IBM watsonx
Schweizer CISOs fühlen sich in der Führungsetage nicht verstanden
Personalisierte Medizin mit bestmöglichem Datenschutz
Youtuber basteln Destillanzug genau wie in Dune ... naja, fast
Wie USV-Anlagen KI-Systeme in Unternehmen unterstützen können
Dominik Strub-Tiedt wird Partner bei Sieber & Partners
EU-Kommission eröffnet Verfahren gegen Meta
