Extended Detection and Response (XDR) konsolidiert Tools und Daten, um die Transparenz, Analyse und Reaktion übergreifend über Endpunkte, Workloads, Anwender und Netzwerke hinweg zu verbessern.

XDR vereint Endpunkt- und Workload-Sicherheitsfunktionen mit dem notwendigen Einblick in Netzwerke und Clouds, wodurch Schwachpunkte in diesen Domänen minimiert, Bedrohungen schneller erkannt und Remediation-Maßnahmen über autoritativen Kontext automatisiert werden.

Im Grunde stellt XDR eine Konsolidierung von Tools und Daten und somit einen großen Fortschritt bei Unternehmenssicherheitsfunktionen dar. Da XDR vollständigen Zugriff auf die in der gesamten Umgebung erfassten Rohdaten hat, kann es Angreifer erkennen, die mithilfe von legitimer Software Zugang zum System erlangen wollen. Sicherheitsinformations- und Ereignismanagementsoftware (SIEM) ist dazu häufig nicht in der Lage. XDR hingegen führt eine automatisierte Analyse und Korrelation von Aktivitätsdaten durch und hilft so den Sicherheitsteams, Bedrohungen effektiver einzudämmen. Beispielsweise können Netzwerkerkennungen, laterale Ausbreitung, ungewöhnliche Verbindungen, Beacons, Exfiltration und die Bereitstellung bösartiger Artefakte einbezogen werden.

Ähnlich wie EDR löst auch XDR bestimmte Maßnahmen aus, um Bedrohungen einzudämmen und zu beseitigen. Dank der besseren Datenerfassung und Integration in die Umgebung reagiert XDR jedoch effektiver auf die betroffene Ressource. Echte XDR-Plattformen bieten die ganzheitliche Transparenz und den Kontext, die Sicherheitsanalysten benötigen, um gezielt und effektiv auf Bedrohungen zu reagieren. Eine solche maßgeschneiderte Reaktion dämmt nicht nur die Bedrohung selbst ein, sondern verringert auch die Auswirkungen der Reaktion auf betroffene Systeme. Dies trägt dazu bei, Ausfallzeiten von kritischen Servern zu reduzieren

XDR besteht aus drei Teilen: Telemetrie und Datenanalyse, Erkennung sowie Reaktion.

• Telemetrie und Datenanalyse: XDR überwacht und erfasst Daten in mehreren Sicherheitsschichten, darunter Endpunkte, Netzwerk, Server und Cloud. Mithilfe von Datenanalysen wird der Kontext Tausender Warnungen von diesen Schichten korreliert, um die Anzahl von Warnungen mit hoher Priorität einzugrenzen. Dies trägt zur Entlastung von Sicherheitsteams bei.
• Erkennung: Dank herausragender Transparenz kann XDR Warnungen sichten und diejenigen herausfiltern, die eine Reaktion erfordern. Auf diese Weise können Baselines für normales Verhalten in einer Umgebung entwickelt und so Bedrohungen erkannt werden, die Software, Ports und Protokolle ausnutzen. Dabei wird der Ursprung der Bedrohung ermittelt, um zu verhindern, dass sie sich auf andere Teile des Systems auswirkt.
• Reaktion: Genau wie EDR kann XDR erkannte Bedrohungen eindämmen und eliminieren sowie durch aktualisierte Sicherheitsrichtlinien verhindern, dass ähnliche Sicherheitsverletzungen erneut auftreten. Doch im Gegensatz zu EDR ist bei XDR diese Funktion nicht nur auf Endpunkte und Workloads beschränkt: XDR reagiert über den reinen Endpunktschutz hinaus auf Bedrohungen an allen überwachten Sicherheitskontrollpunkten, von der Container-Sicherheit bis zu Netzwerken und Servern.

Die erweiterte Funktionalität von XDR gegenüber EDR bietet zahlreiche konkrete Vorteile für den Schutz der IT-Umgebung eines Unternehmens. Zu den Vorteilen gehören:

• Mehr Transparenz und Kontext: Während EDR auf Endpunkte und Workloads beschränkt ist und Sicherheitsservices von Drittanbietern oft nur eine eingeschränkte Sicht bieten, überzeugt XDR durch eine umfassende 360°-Ansicht der Sicherheitsumgebung. Sicherheitsanalysten können Bedrohungen – selbst solche, die über legitime Software, Ports und Protokolle Zugang zur Umgebung erlangen – auf beliebigen Sicherheitsschichten erkennen. Außerdem erhalten sie Informationen zu dem Ablauf eines Angriffs, dem Blueprint, dem Einstiegspunkt, weiteren betroffenen Personen sowie zu Ursprung und Verbreitung der Bedrohung. Dieser zusätzliche Kontext sowie die zu seiner Auswertung erforderlichen Analysefunktionen sind entscheidend für eine schnelle Reaktion auf Bedrohungen.
• Priorisierung: IT- und Sicherheitsteams können häufig kaum mit den Tausenden von Warnungen Schritt halten, die von ihren Sicherheitsservices generiert werden. Dank der Datenanalyse- und Korrelationsfunktionen von XDR werden zugehörige Warnungen im MITRE ATT&CK-Framework gruppiert und priorisiert, damit nur die wichtigsten angezeigt werden.
• Automatisierung: Dank Automatisierung beschleunigt XDR Erkennung und Reaktion. Manuelle Schritte in Sicherheitsprozessen werden dadurch überflüssig, sodass IT-Teams große Mengen an Sicherheitsdaten verarbeiten und komplexe Prozesse wiederholbar ausführen können.
• Betriebliche Effizienz: Anstelle einer fragmentierten Sammlung, die von Sicherheitstools erstellt wird, bietet XDR eine ganzheitliche Ansicht der Bedrohungen in der gesamten Umgebung. Die zentrale Datenerfassung und -reaktion von XDR ist eng in die Umgebung und das breitere Sicherheitsökosystem integriert.
• Schnellere Erkennung und Reaktion: Alle diese Vorteile tragen zu einem robusteren und effektiveren Sicherheitsstatus bei. Dank höherer Effizienz kann XDR Bedrohungen schneller erkennen und darauf reagieren – ein entscheidender Vorteil in der heutigen Sicherheitslandschaft.
• Komplexere Reaktionen: Herkömmliche EDR reagiert auf eine Bedrohung häufig mit der Quarantäne des betroffenen Endpunkts. Dies ist in Ordnung, wenn es sich bei diesem Endpunkt um ein Anwendergerät handelt. Wurde jedoch ein kritischer Server infiziert, stellt diese Reaktion u.U. ein Problem dar. Dank ausgereifterer Funktionen und größerer Transparenz kann XDR die Reaktion auf das jeweilige System abstimmen und andere Kontrollpunkte nutzen, um die Gesamtauswirkungen zu minimieren.