Was ist Extended Detection and Response (XDR)?

Für XDR werden Tools und Daten konsolidiert, um erweiterte Transparenz, Analyse und Reaktion für Netzwerke und Clouds sowie für Anwendungen und Endpunkte zu bieten. XDR ist eine ausgefeilte, fortschrittliche Weiterentwicklung von EDR-Sicherheit (Endpoint Detection and Response, Endpunkterkennung und -reaktion).

Während EDR Bedrohungen nur für Endpunkte und Workloads eindämmt und eliminiert, erweitert XDR diese Funktionen über Endpunkte hinaus auf mehrere Sicherheitskontrollpunkte (darunter E-Mail, Netzwerke, Server und Cloud). So werden Bedrohungen mithilfe von domänenübergreifend erfassten Daten schneller erkannt.

Das zukunftsfähige SOC: XDR für einheitliche Transparenz und Kontrolle

E-Book von ESG: „The Impact of XDR in the Modern SOC“

Wie funktioniert XDR bei der Sicherheit?

Für XDR werden im Wesentlichen Tools und Daten konsolidiert. XDR stellt eine enorme Weiterentwicklung der Unternehmenssicherheitsfunktionen dar. Da XDR auf Rohdaten aus der gesamten Umgebung zugreifen kann, erkennt es Angreifer, die mithilfe legitimer Software unrechtmäßig auf das System zugreifen. Mit SIEM-Software (Security Information and Event Management, Sicherheitsinformations- und Ereignismanagemen) hingegen werden solche Angreifer oft nicht aufgespürt. XDR führt automatisierte Analysen und Korrelationen von Aktivitätsdaten durch und unterstützt so Sicherheitsteams bei der wirksameren Eindämmung von Bedrohungen. Beispielsweise können Netzwerkerkennungen, laterale Ausbreitung, ungewöhnliche Verbindungen, Beacons, Exfiltration und die Bereitstellung bösartiger Artefakte einbezogen werden.

Wie EDR reagiert auch XDR auf die Bedrohung, um sie einzugrenzen und zu eliminieren. Durch die überragende Datenerfassung und Integration in die Umgebung kann XDR jedoch effektiver auf die betroffene Ressource reagieren. Echte XDR-Plattformen bieten die ganzheitliche Transparenz und den Kontext, die Sicherheitsanalysten benötigen, um gezielt und effektiv auf Bedrohungen zu reagieren. Diese maßgeschneiderte Reaktion trägt nicht nur dazu bei, die Bedrohung selbst einzudämmen, sondern auch die Folgen der Reaktion auf Systeme. So werden beispielsweise Ausfallzeiten auf kritischen Servern reduziert.

XDR besteht aus drei Teilen: Telemetrie und Datenanalyse, Erkennung sowie Reaktion.

Telemetrie und Datenanalyse: XDR überwacht und erfasst Daten über mehrere Sicherheitsschichten hinweg, darunter nicht nur Endpunkte, sondern auch Netzwerk, Server und Cloud. Mithilfe der Datenanalyse wird dann der Kontext von Tausenden von Warnungen in diesen Schichten korreliert, um die Anzahl der Warnungen mit hoher Priorität erheblich einzugrenzen. Dies trägt zur Entlastung von Sicherheitsteams bei.

Erkennung: Dank herausragender Transparenz kann XDR Warnungen sichten und diejenigen herausfiltern, die eine Reaktion erfordern. Diese Transparenz ermöglicht es auch, Baselines für normales Verhalten in einer Umgebung zu erstellen und so Bedrohungen zu erkennen, die Software, Ports und Protokolle ausnutzen. Dabei wird der Ursprung der Bedrohung ermittelt, um zu verhindern, dass sie sich auf andere Teile des Systems auswirkt.

Reaktion: Genau wie EDR kann XDR erkannte Bedrohungen eindämmen und eliminieren sowie durch aktualisierte Sicherheitsrichtlinien verhindern, dass ähnliche Sicherheitsverletzungen erneut auftreten. Anders als EDR beschränkt XDR diese Funktion jedoch nicht nur auf Endpunkte und Workloads, sondern geht über den Endpunktschutz hinaus. XDR reagiert auf Bedrohungen an allen überwachten Sicherheitskontrollpunkten, von der Container-Sicherheit bis zu Netzwerken und Servern.

Welche Vorteile bietet XDR?

Die zusätzlichen Funktionen von XDR, die über EDR hinausgehen, bieten mehrere konkrete Vorteile für den Schutz der IT-Umgebung eines Unternehmens. Zu den Vorteilen gehören:

  • Mehr Transparenz und Kontext: Während EDR auf Endpunkte und Workloads beschränkt ist und Sicherheitsservices von Drittanbietern oft nur eine eingeschränkte Sicht bieten, überzeugt XDR durch eine umfassende 360°-Ansicht der Sicherheitsumgebung. Sicherheitsanalysten können Bedrohungen – selbst solche, die über legitime Software, Ports und Protokolle Zugang zur Umgebung erlangen – auf beliebigen Sicherheitsschichten sehen. Außerdem erhalten sie Informationen zum Ablauf eines Angriffs, dem Blueprint, dem Einstiegspunkt, weiteren betroffenen Personen sowie dem Ursprung und der Verbreitung der Bedrohung. Dieser zusätzliche Kontext sowie die zum Auswerten erforderlichen Analysefunktionen sind für eine schnelle Reaktion auf Bedrohungen entscheidend.
  • Priorisierung: IT- und Sicherheitsteams können häufig kaum mit den Tausenden von Warnungen Schritt halten, die von ihren Sicherheitsservices generiert werden. Dank der Datenanalyse- und Korrelationsfunktionen von XDR werden zugehörige Warnungen im MITRE ATT&CK-Framework gruppiert und priorisiert, damit nur die wichtigsten angezeigt werden.
  • Automatisierung: Dank Automatisierung beschleunigt XDR Erkennung und Reaktion. Manuelle Schritte in Sicherheitsprozessen werden dadurch überflüssig, sodass IT-Teams große Mengen an Sicherheitsdaten verarbeiten und komplexe Prozesse wiederholbar ausführen können.
  • Betriebliche Effizienz: Anstelle einer fragmentierten Sammlung, die von Sicherheitstools erstellt wird, bietet XDR eine ganzheitliche Ansicht der Bedrohungen in der gesamten Umgebung. Die zentrale Datenerfassung und -reaktion von XDR ist eng in die Umgebung und das breitere Sicherheitsökosystem integriert.
  • Schnellere Erkennung und Reaktion: Alle diese Vorteile tragen zu einem robusteren und effektiveren Sicherheitsstatus bei. Dank höherer Effizienz kann XDR Bedrohungen schneller erkennen und darauf reagieren – ein entscheidender Vorteil in der heutigen Sicherheitslandschaft.
  • Komplexere Reaktionen: Herkömmliche EDR reagiert auf eine Bedrohung häufig mit der Quarantäne des betroffenen Endpunkts. Dies ist in Ordnung, wenn es sich bei diesem Endpunkt um ein Anwendergerät handelt. Wurde jedoch ein kritischer Server infiziert, stellt diese Reaktion u.U. ein Problem dar. Dank ausgereifterer Funktionen und größerer Transparenz kann XDR die Reaktion auf das jeweilige System abstimmen und andere Kontrollpunkte nutzen, um die Gesamtauswirkungen zu minimieren.

Welche Anwendungsbereiche gibt es für XDR?

  • Bedrohungsbekämpfung: Obwohl es vermutlich bereits in jedem Netzwerk Bedrohungen gibt, finden viele Sicherheitsteams kaum die Zeit für eine proaktive Bedrohungsbekämpfung. Ein Großteil dieser Arbeit kann mit den Telemetrie- und Automatisierungsfunktionen von XDR automatisch durchgeführt werden. Dadurch werden Sicherheitsteams erheblich entlastet, können die Bedrohungsbekämpfung neben ihren anderen Aufgaben durchführen und müssen nur bei Bedarf eingreifen.
  • Einordnung: Eine der wichtigsten Funktionen eines Sicherheitsteams besteht darin, Warnungen zu priorisieren oder einzuordnen und schnell auf die kritischsten Warnungen zu reagieren. Mit XDR behalten Sie den Überblick. Leistungsstarke Analysefunktionen erlauben es Ihnen, aus Tausenden von Warnungen diejenigen herauszufiltern, die wirklich wichtig sind und hohe Priorität haben.
  • Untersuchung: Dank umfassender Datenerfassung, überragender Transparenz und automatisierter Analyse in XDR können Sicherheitsteams schnell und einfach feststellen, woher eine Bedrohung stammt, wie sie sich ausbreitet und welche anderen Anwender oder Geräte eventuell betroffen sind. Nur so können sie die Bedrohung eliminieren und das Netzwerk gegen zukünftige Bedrohungen härten.

Welche XDR-Fehler gilt es zu vermeiden?

XDR ist eine leistungsstarke Sicherheitsstrategie. Deren Vorteile kommen jedoch nur dann voll zum Tragen, wenn die von Ihnen ausgewählte Lösung die XDR-Funktionen optimal nutzt. Vermeiden Sie bei der Plattformauswahl folgende Probleme:

  • Mangelnde Integration: XDR ist nur dann effektiv, wenn es vollständig in die IT-Umgebung integriert ist. Komplexe Integrationen, deren Pflege aufwändig ist, rauben Ihren IT-Teams Zeit und mindern die Wirksamkeit Ihrer XDR-Lösung.
  • Unzureichende Automatisierung: Automatisierung ist eine der leistungsstärksten Funktionen von XDR. Daher muss eine effektive Plattform sich an aktuelle Bedingungen anpassen und mit einer gezielten Maßnahme reagieren, die über das einfache Blockieren des Datenverkehrs zum betroffenen Gerät hinausgeht.
  • Betriebliche Komplexität: Eine nützliche XDR-Lösung muss in sich stimmig und für Sicherheits- und IT-Teams zugänglich sein. Andernfalls verliert Ihr Team die Zeit, die es durch die Implementierung gewinnt, wieder durch den Aufwand für das Erlernen und die Einrichtung der Lösung.

Was bedeutet Erkennung und Reaktion im Kontext von Cyber-Security?

Erkennungs- und Reaktionstechnologie überwacht Systeme kontinuierlich in Echtzeit, um potenzielle Bedrohungen zu erkennen und zu untersuchen. Anschließend werden diese Bedrohungen mithilfe von Automatisierung eingedämmt und eliminiert.

Derzeit gibt es eine Reihe verschiedener Arten von Erkennungs- und Reaktionslösungen:

  • Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR): EDR überwacht Endpunkte auf Bedrohungen und ergreift ggf. entsprechende Maßnahmen. EDR war das erste Erkennungs- und Reaktionssystem und bietet im Vergleich zu früheren Sicherheitstechnologien mehr Transparenz und eine schnellere Reaktion auf Bedrohungen. Darüber hinaus verfügt EDR über eine verbesserte Malwareerkennung, mit der raffiniertere Bedrohungen wie dateilose Malware erkannt werden. EDR ist jedoch auf Endpunkt- und Workload-Sicherheit beschränkt, sodass Zusammenhänge zwischen Bedrohungen in einer komplexen Umgebung nur schwer festzustellen sind.
  • Netzwerkerkennung und -reaktion (Network Detection and Response, NDR): NDR sucht nach Bedrohungen im Netzwerk und reagiert, wenn eine Bedrohung erkannt wird. Diese Art der Erkennung und Reaktion konzentriert sich auf das interne Netzwerk, sodass Sicherheitsteams Bedrohungen, die den Perimeter durchbrochen haben, erkennen können. NDR nutzt eine Kombination von Technologien wie NTA, IDPS, Netzwerk-Sandboxing und sowohl unbeaufsichtigtes als auch überwachtes maschinelles Lernen, um über den Endpunkt hinaus zwischen bösartigen und gutartigen Aktivitäten zu unterscheiden.
  • Verwaltete Erkennung und Reaktion (Managed Detection and Response, MDR): MDR wird als ausgelagerter Service ausgeführt, bei dem externe Experten Erkennung und Reaktion auf den Systemen eines Unternehmens durchführen und dabei häufig EDR- und NDR-Tools nutzen. Dies kann eine gute Option für Unternehmen sein, die nicht über das interne Know-how oder die Ressourcen zum Einsetzen von Erkennungs- und Reaktionstools verfügen. Im Gegensatz zu anderen ausgelagerten Sicherheitsservices wie MSSPs (Managed Security Service Provider) konzentrieren sich MDR-Services darauf, die neuesten Bedrohungen auf Endpunkten, in Workloads und im Netzwerk zu erkennen und darauf zu reagieren.

Was ist EDR im Kontext von Cyber-Security?

EDR war die erste Technologie, die das Thema Sicherheit aus dem Blickwinkel der Verhaltensanalyse und -untersuchung betrachtete. So konnten Sicherheitsteams verdächtiges Verhalten selbst dann schnell erkennen, wenn es keine Ähnlichkeiten mit bereits bekannten Angriffen aufwies. Anstatt sich auf definitionsbasierte Erkennungsmethoden zu verlassen, erkennt EDR Zero-Day-Bedrohungen mittels maschinellem Lernen und Verhaltensanalyse, bevor diese das Netzwerk schädigen können. Dies ist ein großer Fortschritt. Die von EDR erfassten Datenmengen sind jedoch meist so groß und komplex, dass eine Analyse schwer fällt. Da EDR-Daten sich ausschließlich auf den Endpunktschutz konzentrieren, haben Teams zudem eventuell nur eine begrenzte Sicht der Systemaktivitäten.

Worin besteht der Unterschied zwischen XDR und EDR?

XDR erweitert die EDR-Funktionen auf alle Sicherheitsschichten in der Umgebung – Lasten, Geräte, Anwender und Netzwerke.

Anstelle der zentralen Ansicht von EDR bietet XDR Telemetrie- und Verhaltensanalysen über mehrere Sicherheitsschichten hinweg, sodass Sicherheitsteams einen Gesamtüberblick erhalten.

Angreifer beschränken ihre Angriffe jedoch nicht auf eine einzige Sicherheitsschicht, daher dürfen auch Sicherheitsteams ihr Augenmerk nicht nur auf eine Schicht beschränken. EDR bietet Sicherheitsexperten Transparenz im Hinblick auf gefährdete Endgeräte. Das genügt jedoch nicht, wenn das Sicherheitsteam von einem Angriff erst erfährt, nachdem er sich bereits über das Netzwerk und in andere Systeme ausgebreitet hat. Hier kommt XDR ins Spiel. Dank der ganzheitlichen Ansicht von Aktivitäten im gesamten System werden Transparenzlücken in XDR vermieden. Sicherheitsteams verstehen so, woher eine Bedrohung kommt und wie sie sich in der Umgebung ausbreitet, und können sie eliminieren. Mit anderen Worten: XDR bietet umfassendere Analyse- und Korrelationsfunktionen sowie eine ganzheitliche Übersicht.

Zugehörige Lösungen und Produkte

VMware Carbon Black Cloud

Transformieren Sie Ihre Sicherheit mit intelligentem Endpunkt- und Workload-Schutz, der sich an Ihre Anforderungen anpassen lässt.

VMware Carbon Black EDR

Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR) On-Premises

VMware NSX Network Detection and Response

KI-basierte Netzwerkerkennung und -reaktion (NDR)