Karl Freundsberger, Country Manager Austria bei Fortinet, beschreibt wie ein neues Sicherheitskonzept die Erkennung, Analyse und Reaktion von Cyberangriffen im Unternehmen automatisiert und damit vereinfacht, und worauf es bei der Auswahl der richtigen XDR-Lösung ankommt. [...]
Cyberangriffe werden immer raffinierter und vielfältiger. Für Security- und IT-Teams in Unternehmen bedeutet das Kopfzerbrechen und einen Heidenaufwand. Insbesondere dann, wenn ein buntes Sammelsurium unterschiedlicher, isoliert arbeitender Sicherheitswerkzeuge von unterschiedlichen Anbietern verwendet wird. Die Folge: Täglich müssen Tausende von Warnungen ausgewertet werden. Und das meist manuell.
Daher ist es wenig überraschend, dass bereits 2017 in einer Umfrage von Forrester nahezu die Hälfte der Sicherheitsverantwortlichen die „Komplexität ihrer Umgebung als eine der größten Herausforderungen im Bereich Security“ bezeichneten.
XDR rückt in den Fokus
Ein neues Sicherheitskonzept, das die Beachtung von Cybersecurity-Experten auf sich zieht, ist Extended Detection and Response, kurz XDR. Gartner definiert XDR als „eine Security-Incident-Detection-and-Response-Plattform, die automatisch Daten von mehreren Sicherheitslösungen sammelt und in Beziehung zueinander setzt“.
Damit steht XDR für ein neues Sicherheitsparadigma, bei dem einzelne Sicherheitskontrollen Daten als Teil einer koordinierten Security-Plattform sehen, austauschen und korrelieren. Bedrohungen werden so effektiver erkannt. Zudem kann anschließend eine koordinierte Reaktion erfolgen, die die gesamte Angriffsfläche abdeckt.
XDR ist nicht gleich XDR
Die Idee, verschiedene Technologien als ein einziges, integriertes System zusammenarbeiten zu lassen, bietet große Vorteile für die Erkennung von und die Reaktion auf Bedrohungen. Deshalb wächst das Angebot an auf dem Markt verfügbaren XDR-Lösungen.
Aber nicht jede XDR-Lösung meistert jede Herausforderung gleichermaßen gut. Damit XDR effektiv ist, muss eine breite Abdeckung der Angriffsoberfläche gewährleistet werden, eine tiefgehende Integration erfolgen und der Fokus auf alle drei Schritte – Erkennung, Analyse und Reaktion – gelenkt werden.
1. Erweiterte Erkennung: Die einfachste Aufgabe der drei Schritte: Daten sammeln, und zwar gesamtheitlich und systemübergreifend. Die XDR-Lösung muss also in der Lage sein, Daten aus dem gesamten Unternehmen zu „saugen“ und diese in der Folge in eine kleinere Menge an detaillierten Informationen über potenzielle Vorfälle zu komprimieren. Je mehr Angriffsvektoren mit verfügbarer Bedrohungstelemetrie, desto wahrscheinlicher ist es, dass eine aktive Bedrohung entdeckt wird.
2. Erweiterte Analyse: Sobald ein potenzieller Vorfall erkannt wird, muss eine Untersuchung stattfinden. Handelt es sich um eine echte Bedrohung oder um einen Fehlalarm? Ist dies ein Hinweis auf eine größere Bedrohung? Wenn ja, wie groß ist ihr Ausmaß?
Der Hintergrund dieser Fragen: Heutzutage werden viele Cyberangriffe mehrstufig aufgebaut. Dabei verschwinden Komponenten wieder, sobald sie ihre Funktion erfüllt haben. Nur weil bestimmte Indikatoren, die einen Alarm auslösten, nicht mehr sichtbar sind, bedeutet das nicht, dass das Unternehmen aus dem Schneider ist.
Die meisten XDR-Lösungen lagern diesen wertvollen Korrelationsschritt an das Security-Team aus. Und wieder heißt es: manuell untersuchen. Doch angesichts der Menge an generierten Alarmen verfügen viele Security-Abteilungen schlicht und ergreifend nicht über die Ressourcen, um jedem potenziellen Vorfall nachzugehen. Eine detaillierte Untersuchung erfordert Zeit. Zeit, die vielen Unternehmen nicht zur Verfügung steht.
Künstliche Intelligenz (KI) hilft hier und automatisiert. XDR-Systeme mit KI sollten in der Lage sein, den Kontext eines potenziellen Vorfalls zu ermitteln, eine gründliche Untersuchung durchzuführen, die Art und den Umfang des Vorfalls zu identifizieren und idealerweise genügend Details liefern, um die Reaktion zu beschleunigen. Und das alles in Sekunden.
3. Erweiterte Reaktion: Um einen Vorfall zu entschärfen, muss die Überprüfung und Validierung eine effektive Reaktion auslösen. Deshalb muss die XDR-Lösung erstens in der Lage sein, so viele Ressourcen wie möglich zu mobilisieren, um eine effektive und koordinierte Reaktion auf Grundlage des gesamten Angriffsausmaßes zu ermöglichen. Zweitens muss die Reaktion vordefiniert und wiederholbar sein – nicht nur, um sie effizienter zu gestalten, sondern auch, um in jeden Schritt eines laufenden Angriffs einzugreifen. Und drittens muss sie in der Lage sein, die Lücken im bestehenden Security Framework zu schließen, die der Bedrohung den Zugang zum Netzwerk ermöglicht haben.
Worauf kommt es also bei der Auswahl der richtigen XDR-Lösung an?
Die erste Frage, die es für Unternehmen zu klären gilt, ist, ob die Lösung die Sicherheitslage des eigenen Unternehmens wirklich verbessern wird. Für eine gute Kaufentscheidung muss ein Verständnis vorliegen, was eine XDR-Lösung abdeckt und was nicht, sowie was sie kann und was nicht.
Als nächstes stellt sich die Frage, wie stark sie den Overhead reduzieren wird. Diese Frage lässt sich beantworten, indem die Funktionen und Anforderungen, wie beispielsweise die Untersuchung von Alarmen, mit den vorhandenen Technologien und Ressourcen abgeglichen werden.
Letztlich gilt es zu hinterfragen, ob die die Lösung zukünftige Netzwerkinnovationen unterstützen wird. Dafür müssen Unternehmen ermitteln, ob die von ihnen ausgewählte XDR-Lösung sie auch dann noch unterstützen kann, wenn sie beispielsweise neue Cloud-Plattformen hinzufügen, ihre SD-WAN-Infrastruktur erweitern oder zusätzliche Edgegeräte einsetzen.
Die Beantwortung dieser und vergleichbarer Fragen ist der effektivste Weg, um zu gewährleisten, dass die gewählte XDR-Lösung dabei hilft, auf dem zunehmend komplexen und zugleich risikoreichen digitalen Markt von heute sicher zu bestehen.
*Karl Freundsberger ist Country Manager Austria bei Fortinet.
Be the first to comment