Der Fokus von XDR liegt auf der Vervielfachung der Produktivität jedes Mitglieds im Sicherheitsteams durch Automatisierung. Das ultimative Ziel ist es, die durchschnittliche Zeit für die Erkennung und Reaktion auf Bedrohungen zu verkürzen, ohne den Aufwand an anderer Stelle im Team zu erhöhen. [...]
Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention.
Dieser Ansatz beinhaltet den Einsatz mehrerer Technologien wie Endpoint Detection and Response (EDR), User and Entity Behavioral Analytics (UEBA) sowie Network Traffic Analysis (NTA), um die Transparenz in der gesamten Umgebung zu erhöhen. Darüber hinaus verwenden Sicherheitsteams in der Regel Warn- und Protokoll-Aggregationstechnologien wie SIEM-Tools (Security Information Event Management), um Richtlinien festzulegen, Ereignisse zu korrelieren und Probleme zu priorisieren. Schließlich ist es notwendig, die mit den Daten erzeugten Warnmeldungen irgendwie zu verknüpfen, um Bedrohungen schneller zu untersuchen und unschädlich zu machen.
Flut an Warnungen kann manuell nicht mehr bewältigt werden
Die mehrschichtige Prävention geht nach Meinung von Palo Alto Networks jedoch zu Lasten von Zeit und Expertise. Viele Sicherheitsteams sind nicht in der Lage, die oftmals sehr große Anzahl von Warnungen zu verarbeiten. Herkömmliche Sicherheitsinfrastrukturen sind gekennzeichnet durch eine Überflutung mit Ereignismeldungen. Das durchschnittliche SOC (Security Operations Center) kann 174.000 Warnungen pro Woche erhalten. Mit einem personell begrenzten Team kann die Rechnung nicht aufgehen.
Sicherheitsteams können auf mehr als 40 eng fokussierte Tools angewiesen sein, um Angriffe zu untersuchen und zu entschärfen. Daten aus Netzwerk, Endpunkten und Cloud werden manuell erfasst. Untersuchungen werden zunehmend komplex und unüberschaubar. Die Identifizierung und Isolierung von Sicherheitsbedrohungen zieht sich dadurch in die Länge. So dauert es 197 Tage, um einen Sicherheitsvorfall innerhalb eines Netzwerks zu erkennen, und 69 Tage, um darauf zu reagieren. Kein Wunder, dass Vorfälle dieser Art immer wieder in die Schlagzeilen kommen.
Fachkräftemangel erfordert alternativen Ansatz
Durch die Überlastung entsteht ein Laufradeffekt, der dazu führt, dass die Sicherheitsteams fast ihre gesamte Arbeitszeit damit verbringen, Daten zusammenzufügen und auf Warnmeldungen zu reagieren, anstatt proaktiv zu sein und Angriffe von vornherein zu verhindern. Selbst wenn Unternehmen ihre Sicherheitsteams aufstocken wollen, scheitert dies daran, dass das gesamte IT-Umfeld und insbesondere die IT-Sicherheit von chronischem Fachkräftemangel betroffen ist. Bis 2023 soll einer Studie zufolge die Zahl der unbesetzten Stellen auf weltweit 1,8 Millionen steigen.
Daher ist nach Meinung von Palo Alto Networks nun ein besserer Ansatz gefragt, damit kleine, schlagkräftige Teams effizienter und effektiver werden. Es geht darum, die Komplexität und Grenzen von Silo-Tools wie EDR, UEBA und NTA zu umgehen. Gesucht ist eine ganzheitliche, integrierte Lösung, die die bisherigen Silos aufbricht und in der Lage ist, das Sicherheitsteam in allen Phasen zu unterstützen: bei der Erkennung von Anomalien, Alarmverfolgung, Untersuchung von Vorfällen und Bedrohungssuche. Eine solche Lösung sorgt für Sichtbarkeit, ist integrierbar mit anderen Tools, nutzt Analytik in großem Stil und vereinfacht investigative Aufgaben. Dadurch reduziert sich die Zeit für die Erkennung und Reaktion auf Bedrohungen. Sicherheitsteams können durchatmen – und proaktiv statt reaktiv arbeiten.
XDR statt EDR – mehr Produktivität durch Automatisierung
Diesen neuen Ansatz gibt es bereits: Gegenüber EDR bedeutet XDR eine deutliche Abkehr von der herkömmlichen Vorgehensweise der Erkennung und Reaktion. Das „X“ steht für jede Datenquelle, sei es Netzwerk, Endpunkt oder Cloud. XDR kombiniert Daten aus diesen verschiedenen Quellen mit allgemeinen Bedrohungsinformationen. Dadurch werden unterschiedliche Aspekte zusammengeführt, um ein weitaus umfassenderes Bild eines Angriffs zu liefern. Dank der integrierten Analysefunktionen kann der Angriff schneller erkannt und besser abgewehrt werden. Zudem ist das System in der Lage, bösartigen Traffic zurückzuverfolgen und einen Angriff zu rekonstruieren. Der Fokus von XDR liegt auf der Vervielfachung der Produktivität jedes Mitglieds im Sicherheitsteams durch Automatisierung. Das ultimative Ziel ist es, die durchschnittliche Zeit für die Erkennung und Reaktion auf Bedrohungen zu verkürzen, ohne den Aufwand an anderer Stelle im Team zu erhöhen.
Weitere Details über diesen neuen Ansatz liefert ein Whitepaper von Palo Alto Networks, in dem aufgezeigt wird, wie XDR Unternehmen helfen kann, ihre Sicherheitsabläufe neu zu definieren.
Be the first to comment