XDR

Was ist Extended Detection and Response?

14.05.2021
Von 
Markus Auer Sales Director Central Europe bei BlueVoyant. Davor war er als Regional Sales Manager Central Europe bei ThreatQuotient beschäftigt. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne.
Die neue Trendtechnologie XDR (Extended Detection and Response) steht für die erweiterte Erkennung und Reaktion auf Cyberbedrohungen im gesamten Netzwerk.
Eine Boxerin bereitet sich auf einen Kampf vor. Genauso sollten auch Unternehmen durch Technologien wie XDR gegen Cyberangriffe bereits im Vorfeld gerüstet sein.
Eine Boxerin bereitet sich auf einen Kampf vor. Genauso sollten auch Unternehmen durch Technologien wie XDR gegen Cyberangriffe bereits im Vorfeld gerüstet sein.
Foto: El Nariz - shutterstock.com

Was die Technologie kann und was nicht und wo die Unterschiede zwischen XDR und EDR liegen zeigt dieser Beitrag.

Extended Detection and Response (XDR) - Definition

Seit einigen Jahren kursiert unter der Bezeichnung XDR (Extended Detection and Response) eine Technologie, die von vielen Analysten und Sicherheitsexperten als eine Weiterentwicklung der bisherigen Endpoint Detection and Response (EDR), angesehen wird. EDR, ein Begriff, der 2013 von Gartner geprägt wurde, war lange Zeit die logische Weiterentwicklung klassischer Endpoint-Protection-Lösungen. Mit den Möglichkeiten der besseren Datenkorrelation über Endpunkt, Netzwerk und Cloud hinweg sowie umfangreicher Datensammlungen über Malware, wachsen die Fähigkeiten von Sicherheitssoftware.

41 Jahre nach der ersten Einführung einer Antivirensoftware im Jahr 1980 gibt es nun die nächste Weiterentwicklung. Software zum Schutz vor Computerviren basierte lange Zeit auf der Erkennung von Malware-Signaturen. Mit der weitgehenden Adaption des Internets und der fortschreitenden Professionalisierung cyberkrimineller Gruppierungen reichte eine signaturbasierte Antivirenlösung nicht mehr aus, um Unternehmen vor den neuen Advanced Persistent Threats (APT) zu schützen. Aus diesem Grund wurden die bisherigen Lösungen zu Endpoint Protection-Plattformen kurz EPP ausgebaut. Sie waren die Antwort auf die APTs, die durch sowohl statische als auch dynamische Verfahren erkannt werden können. Auf den Plattformen wurden und werden Virenscanner, Firewalls, Intrusion Prevention (IPS)- und Data Loss Prevention (DLP)-Systeme eingesetzt.

Der nächste Schritt und der erste, der auch verhaltensbasierte Analysen umfasst, ist die Endpoint Detection and Response (EDR). Der Begriff wurde 2013 erstmalig in der Sicherheitsindustrie verwendet und gilt bis heute als die modernste Form der Bedrohungsabwehr am Endpunkt. Angriffe können nun im Vergleich zu den bisherigen Lösungen frühzeitiger erkannt werden - so jedenfalls die Idee. Die Sicherheitssoftware durchsucht in diesem Fall Prozesse auf den Endpunkten, deren Verhalten von normalen Prozessen abweicht, sie sucht also nach Anomalien.

Genutzt wird EDR vor allem von Sicherheitsadministratoren und der neuen Berufsgruppe der "Threat Hunter" - dabei handelt es sich um speziell geschulte und erfahrene Sicherheitsexperten, die Netzwerke mithilfe von Bedrohungsinformationen präventiv vor Angriffen schützen. EDR kennzeichnet daher die ersten Schritte hin zu einer automatisierten Bedrohungsabwehr, die von Malware-Spezialisten kontrolliert wird.

XDR vs. EDR - Unterschiede

Im nächsten Schritt - und dieser markiert den Unterschied zwischen EDR und XDR - werden diverse Technologien zur Gefahrenerkennung und -behebung genutzt - und das über das gesamte IT-System hinweg und nicht nur auf der Endpunkt-Ebene. Allgemein beschreibt der Begriff XDR Lösungen, die Erkennung und Reaktion auf Bedrohungen auf dem Endpunkt, im Netzwerk und in der Cloud sowie auf vielen weiteren Ebenen vereinen.
Bei der Bedrohungsabwehr ist es wichtig, in der Reconnaissance-Phase so viele Informationen über den Angreifer wie möglich zu sammeln und mit verschiedenen Datenbankeinträgen dritter Ressourcen abzugleichen. So lassen sich beispielsweise Angriffe auf die eigene Organisation mit Vorfällen bei anderen Unternehmen vergleichen. Die Analyse der Methoden der Cyberkriminellen ist jedoch komplex, so dass eine rein manuelle Auswertung aufgrund der verschiedenen Parameter kaum möglich ist - hier helfen unter anderem KI-Ansätze.

Lesetipp: Best of Cybercrime - Die verrücktesten Hackerangriffe

Die Verwendung von Machine Learning-Algorithmen und künstlicher Intelligenz sowie die Einbeziehung von Daten aus dem gesamten IT-System in einen Data Lake sind ebenfalls Aspekte, die XDR von EDR unterscheiden. Die Möglichkeiten des Deep Learnings ermöglichen dann eine schnellere und zu höherem Grade automatisierte Erkennung von bisher unentdeckten Eindringlingen.

Extended Detection and Response - Funktionsweise

XDR erhöht im Vergleich zu bisherigen Endpoint-Protection-Lösungen die Sichtbarkeit im Netzwerk durch die breitere Analyse von Daten aus der IT-Umgebung und fördert dadurch auch die schnellere Erkennung von Bedrohungen bei abweichendem Verhalten. Neben klassischen Endpunkten werden dann auch IoT, Server, VMs und Container mit einbezogen und nach Anomalien durchsucht. Die Nutzung der künstlichen Intelligenz steckt allerdings, genauso wie bei so vielen anderen Anwendungsfeldern, noch in den Kinderschuhen. Das liegt unter anderem daran, dass die Datenquellen und die Parameter, die festlegen was anormales und was normales Verhalten ist, weiter getestet und entwickelt werden müssen. Gerade im Bereich IT-Sicherheit ändert sich die Gefährdungslage täglich, wenn nicht sogar im Minutentakt. Malware, die aufgrund einer Signatur eben noch von der Endpoint-Sicherheitslösung erkannt wurde, erhält ein Update aus der Cybercrime-Community und durch eine simple Code-Änderung entgeht die von der Funktionsweise im Grunde gleiche Malware der Entdeckung.

Letztlich funktioniert XDR ähnlich wie EDR bzw. es ist als Evolution letzterer Lösung zu sehen. XDR sammelt, korreliert und konsolidiert Daten aus der IT-Umgebung und stellt in automatisch zusammengestellten Berichten die Sicherheitslage bzw. den Sicherheitszustand dieser IT-Umgebung dar. Der Kern jeder Lösung sind die vorprogrammierten Algorithmen, die nach Anomalien suchen und im Vergleich zu ähnlichen Sicherheitsmonitoring-Lösungen wie z.B. SIEM die Anzahl der Falschalarme reduzieren. Deshalb braucht es weitere Tools und vor allem spezialisierte Sicherheitsfachleute, die einerseits dann mehr Zeit haben, sich um die dringenden Gefahren zu kümmern, aber auch anderseits überhaupt erst wissen, was wirklich gefährlich ist und was nicht.

Lesetipp: Schutz vor SQL-Injection - So funktioniert der Angriff auf Ihre Datenbank

Wie bei jeder KI-Anwendung ist auch bei XDR letztlich die Datenbasis entscheidend und hier gilt es zusätzliche Ressourcen und Bedrohungsinformationen (sogenannte "Threat Intelligence") verschiedenster Quellen hinzuzuziehen - diese können aus dem Bereich Open Source oder auch von offiziellen oder kommerziellen Stellen kommen. Mithilfe dieser Informationen können Vorfalls-Indikatoren korreliert und Alarmmeldungen validiert werden, was schließlich zu einer besseren Einschätzung von Gefahren und Einsparung wertvoller Zeit führt.

XDR - Paradigmenwechsel

Mit erweiterten Korrelationsmöglichkeiten über alle Ebenen hinweg hält XDR als neues Paradigma Einzug in die IT-Sicherheit. Die Technologie ist als Weiterentwicklung bisheriger EDR-Lösungen nun die aktuelle Form dieser Art von Endpunkt- und Netzwerksicherheit. Für den erfolgreichen Schutz des Endpunkts, aber letztlich auch des gesamten Netzwerks, sind neben der automatisierten Gefahrenerkennung und -abwehr auch die Fachleute, die sie analysieren und die Funde interpretieren und entsprechend Gegenmaßnahmen einleiten müssen, zentral.

Wenn sie dann noch auf Datenbanken zugreifen können, die über ständig aktualisierte Informationen über Malware, cyberkriminelle Gruppierungen und andere Akteure verfügen, kann eine Abwehr auch von modernen lateralen Bedrohungen gelingen. Was nach XDR kommt und an welche Begriffe wir uns in Zukunft gewöhnen müssen, werden wir in den kommenden Jahren von den Marktanalysten erfahren. (bw)