XDR soll IT-Security-Teams entlasten

Der Fokus von XDR liegt auf der Vervielfachung der Produktivität jedes Mitglieds im Sicherheitsteams durch Automatisierung. Das ultimative Ziel ist es, die durchschnittliche Zeit für die Erkennung und Reaktion auf Bedrohungen zu verkürzen, ohne den Aufwand an anderer Stelle im Team zu erhöhen. [...]

Sicherheitsteams verbringen fast ihre gesamte Arbeitszeit damit, Daten zusammenzufügen und auf Warnmeldungen zu reagieren, anstatt proaktiv zu sein und Angriffe von vornherein zu verhindern. (c) Fotolia/Leo Wolfert
Sicherheitsteams verbringen fast ihre gesamte Arbeitszeit damit, Daten zusammenzufügen und auf Warnmeldungen zu reagieren, anstatt proaktiv zu sein und Angriffe von vornherein zu verhindern. (c) Fotolia/Leo Wolfert

Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention.

Dieser Ansatz beinhaltet den Einsatz mehrerer Technologien wie Endpoint Detection and Response (EDR), User and Entity Behavioral Analytics (UEBA) sowie Network Traffic Analysis (NTA), um die Transparenz in der gesamten Umgebung zu erhöhen. Darüber hinaus verwenden Sicherheitsteams in der Regel Warn- und Protokoll-Aggregationstechnologien wie SIEM-Tools (Security Information Event Management), um Richtlinien festzulegen, Ereignisse zu korrelieren und Probleme zu priorisieren. Schließlich ist es notwendig, die mit den Daten erzeugten Warnmeldungen irgendwie zu verknüpfen, um Bedrohungen schneller zu untersuchen und unschädlich zu machen.

Flut an Warnungen kann manuell nicht mehr bewältigt werden

Die mehrschichtige Prävention geht nach Meinung von Palo Alto Networks jedoch zu Lasten von Zeit und Expertise. Viele Sicherheitsteams sind nicht in der Lage, die oftmals sehr große Anzahl von Warnungen zu verarbeiten. Herkömmliche Sicherheitsinfrastrukturen sind gekennzeichnet durch eine Überflutung mit Ereignismeldungen. Das durchschnittliche SOC (Security Operations Center) kann 174.000 Warnungen pro Woche erhalten. Mit einem personell begrenzten Team kann die Rechnung nicht aufgehen.

Sicherheitsteams können auf mehr als 40 eng fokussierte Tools angewiesen sein, um Angriffe zu untersuchen und zu entschärfen. Daten aus Netzwerk, Endpunkten und Cloud werden manuell erfasst. Untersuchungen werden zunehmend komplex und unüberschaubar. Die Identifizierung und Isolierung von Sicherheitsbedrohungen zieht sich dadurch in die Länge. So dauert es 197 Tage, um einen Sicherheitsvorfall innerhalb eines Netzwerks zu erkennen, und 69 Tage, um darauf zu reagieren. Kein Wunder, dass Vorfälle dieser Art immer wieder in die Schlagzeilen kommen.

Fachkräftemangel erfordert alternativen Ansatz

Durch die Überlastung entsteht ein Laufradeffekt, der dazu führt, dass die Sicherheitsteams fast ihre gesamte Arbeitszeit damit verbringen, Daten zusammenzufügen und auf Warnmeldungen zu reagieren, anstatt proaktiv zu sein und Angriffe von vornherein zu verhindern. Selbst wenn Unternehmen ihre Sicherheitsteams aufstocken wollen, scheitert dies daran, dass das gesamte IT-Umfeld und insbesondere die IT-Sicherheit von chronischem Fachkräftemangel betroffen ist. Bis 2023 soll einer Studie zufolge die Zahl der unbesetzten Stellen auf weltweit 1,8 Millionen steigen.

Daher ist nach Meinung von Palo Alto Networks nun ein besserer Ansatz gefragt, damit kleine, schlagkräftige Teams effizienter und effektiver werden. Es geht darum, die Komplexität und Grenzen von Silo-Tools wie EDR, UEBA und NTA zu umgehen. Gesucht ist eine ganzheitliche, integrierte Lösung, die die bisherigen Silos aufbricht und in der Lage ist, das Sicherheitsteam in allen Phasen zu unterstützen: bei der Erkennung von Anomalien, Alarmverfolgung, Untersuchung von Vorfällen und Bedrohungssuche. Eine solche Lösung sorgt für Sichtbarkeit, ist integrierbar mit anderen Tools, nutzt Analytik in großem Stil und vereinfacht investigative Aufgaben. Dadurch reduziert sich die Zeit für die Erkennung und Reaktion auf Bedrohungen. Sicherheitsteams können durchatmen – und proaktiv statt reaktiv arbeiten.

XDR statt EDR – mehr Produktivität durch Automatisierung

Diesen neuen Ansatz gibt es bereits: Gegenüber EDR bedeutet XDR eine deutliche Abkehr von der herkömmlichen Vorgehensweise der Erkennung und Reaktion. Das „X“ steht für jede Datenquelle, sei es Netzwerk, Endpunkt oder Cloud. XDR kombiniert Daten aus diesen verschiedenen Quellen mit allgemeinen Bedrohungsinformationen. Dadurch werden unterschiedliche Aspekte zusammengeführt, um ein weitaus umfassenderes Bild eines Angriffs zu liefern. Dank der integrierten Analysefunktionen kann der Angriff schneller erkannt und besser abgewehrt werden. Zudem ist das System in der Lage, bösartigen Traffic zurückzuverfolgen und einen Angriff zu rekonstruieren. Der Fokus von XDR liegt auf der Vervielfachung der Produktivität jedes Mitglieds im Sicherheitsteams durch Automatisierung. Das ultimative Ziel ist es, die durchschnittliche Zeit für die Erkennung und Reaktion auf Bedrohungen zu verkürzen, ohne den Aufwand an anderer Stelle im Team zu erhöhen.

Weitere Details über diesen neuen Ansatz liefert ein Whitepaper von Palo Alto Networks, in dem aufgezeigt wird, wie XDR Unternehmen helfen kann, ihre Sicherheitsabläufe neu zu definieren.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*