Was die Technologie kann und was nicht und wo die Unterschiede zwischen XDR und EDR liegen zeigt dieser Beitrag.
Extended Detection and Response (XDR) - Definition
Seit einigen Jahren kursiert unter der Bezeichnung XDR (Extended Detection and Response) eine Technologie, die von vielen Analysten und Sicherheitsexperten als eine Weiterentwicklung der bisherigen Endpoint Detection and Response (EDR), angesehen wird. EDR, ein Begriff, der 2013 von Gartner geprägt wurde, war lange Zeit die logische Weiterentwicklung klassischer Endpoint-Protection-Lösungen. Mit den Möglichkeiten der besseren Datenkorrelation über Endpunkt, Netzwerk und Cloud hinweg sowie umfangreicher Datensammlungen über Malware, wachsen die Fähigkeiten von Sicherheitssoftware.
41 Jahre nach der ersten Einführung einer Antivirensoftware im Jahr 1980 gibt es nun die nächste Weiterentwicklung. Software zum Schutz vor Computerviren basierte lange Zeit auf der Erkennung von Malware-Signaturen. Mit der weitgehenden Adaption des Internets und der fortschreitenden Professionalisierung cyberkrimineller Gruppierungen reichte eine signaturbasierte Antivirenlösung nicht mehr aus, um Unternehmen vor den neuen Advanced Persistent Threats (APT) zu schützen. Aus diesem Grund wurden die bisherigen Lösungen zu Endpoint Protection-Plattformen kurz EPP ausgebaut. Sie waren die Antwort auf die APTs, die durch sowohl statische als auch dynamische Verfahren erkannt werden können. Auf den Plattformen wurden und werden Virenscanner, Firewalls, Intrusion Prevention (IPS)- und Data Loss Prevention (DLP)-Systeme eingesetzt.
Der nächste Schritt und der erste, der auch verhaltensbasierte Analysen umfasst, ist die Endpoint Detection and Response (EDR). Der Begriff wurde 2013 erstmalig in der Sicherheitsindustrie verwendet und gilt bis heute als die modernste Form der Bedrohungsabwehr am Endpunkt. Angriffe können nun im Vergleich zu den bisherigen Lösungen frühzeitiger erkannt werden - so jedenfalls die Idee. Die Sicherheitssoftware durchsucht in diesem Fall Prozesse auf den Endpunkten, deren Verhalten von normalen Prozessen abweicht, sie sucht also nach Anomalien.
Genutzt wird EDR vor allem von Sicherheitsadministratoren und der neuen Berufsgruppe der "Threat Hunter" - dabei handelt es sich um speziell geschulte und erfahrene Sicherheitsexperten, die Netzwerke mithilfe von Bedrohungsinformationen präventiv vor Angriffen schützen. EDR kennzeichnet daher die ersten Schritte hin zu einer automatisierten Bedrohungsabwehr, die von Malware-Spezialisten kontrolliert wird.
- Stratos Komotoglou, Microsoft
„Ich bin positiv überrascht darüber, dass Künstliche Intelligenz Einzug bei fast drei Viertel der befragten Unternehmen hält. Ohne KI ist die Vielzahl der täglichen Angriffe auf Mailboxen und Infrastrukturen nicht zu beherrschen und so müssen Künstliche Intelligenz, Automatisierungen und natürlich der Mensch in Zukunft noch enger zusammenarbeiten.“ - Michael von der Horst, Cisco
“Gerade jetzt, wo sich die Auswirkungen von Covid-19 auf die Arbeitsumgebungen noch länger zeigen werden, gilt es die Maßnahmen der ersten Monate in eine langfristig tragfähig Architektur zu überführen. Dabei gilt es vor allem auf, die Etablierung von Multi-Faktor-Authentifizierung (MFA), Absicherung des Rückkanals (DNS-Schutz), Visibilität und Anomalie-Erkennung zu achten.” - Anton Kreuzer, DriveLock
„Die Einschätzung der Befragten, Cyber-Attacken als das wichtigste Unternehmensrisiko anzusehen, hat mich positiv überrascht und stimmt mich hoffnungsvoll. Denn wir von DriveLock predigen seit geraumer Zeit, dass Unternehmen in der digitalen Welt auch immer mehr digital angegriffen, erpresst und geschädigt werden können - mit immensen Folgen.<br /> Wenn ich mir allerdings anschaue, ob die Maßnahmen dagegen ausreichend sind, wundere ich mich, warum Security Outsourcing ein Tabuthema zu sein scheint. Woher sollen die Spezialisten in den Unternehmen denn kommen? Fachkräfte sind rar. Die Angriffstaktiken werden auch immer ausgefeilter. Security Outsourcing an einen Provider mit einer breiten Lösungspalette und Security-Experten ist nicht unsicher und sollte kein No-Go sein, sondern gerade für kleinere Unternehmen eine ernstzunehmende Option.“ - Rüdiger Trost, F-Secure
„Die Ergebnisse der Studie belegen, dass Cyber-Attacken und Cyber Crime als größte Geschäftsrisiken gesehen werden. Das deckt sich auch mit unserer Erfahrung. Etwas überraschend ist allerdings die Tatsache, dass nur jedes zweite Unternehmen angab, Schaden durch Cyberattacken genommen zu haben. Das wiederum macht uns nachdenklich. Denn in dieser Gleichung ist die Dunkelziffer nicht mit eingerechnet. Also der Anteil der Unternehmen, die tatsächlich angegriffen worden sind, es aber nicht wissen oder es vielleicht auch nur vermuten, aber keine handfesten Belege dafür haben.<br />Erschwerend kommt hinzu, dass Angreifer ihre Taktiken permanent ändern und immer wieder andere Wege gehen, um an die Werte eines Unternehmens zu gelangen. Dafür müssen Unternehmen gewappnet sein und ihre Cyberverteidigung entsprechend anpassen. Threat Hunting heißt hier das Schlüsselwort in den kommenden Jahren, welches vermehrt in Unternehmen eingesetzt werden muss, um nicht nur die gesamte Infrastruktur auf Schwachstellen zu testen, sondern fortlaufend zu analysieren, ob es eine Angriffsfläche für potenzielle Angreifer bietet und diese dann zu beheben.“ - Hans-Peter Bauer, McAfee
„Heute gibt es ein derart großes Volumen an Cyber-Bedrohungen, dass einzeln agierende Silolösungen und die oftmals unterbesetzten IT-Sicherheitsteams schlichtweg überfordert sind. Hier kommt Künstliche Intelligenz ins Spiel. KI kann die Komplexität von Bedrohungen effizient erfassen und die menschliche Intelligenz muss nur dort eingesetzt werden, wo sie wirklich gebraucht wird. Diese Kombination von KI und menschlicher Intelligenz wird Human Machine Teaming genannt. Zusammen mit integrierten Security-Lösungen wird dieses Konzept in den nächsten Jahren einer der wichtigsten Ansätze für ein hohes Sicherheitsniveau sein.“ - Sarah Trunk, Micro Focus
„Die aktuelle Cyber-Security-Studie hat die Erfahrungen, die wir mit unseren Kunden im Bereich Datensicherheit und Verschlüsselung tagtäglich machen, 100-prozentig wieder gespiegelt. Die größte Aufmerksamkeit gehört den Daten, denn die sind die eigentliche Cash Cow eines jeden Unternehmens und bedürfen darum auch besonderer Aufmerksamkeit und Schutz.<br /> Die Zahl von IoT-Angriffen explodiert und macht vor keinem Unternehmen halt, aus diesem Grund ist auch nur ein ganzheitliches Security-Konzept wirkungsvoll und effizient.<br /> Allgemein gilt: Je früher ein Sicherheitsrisiko erkannt wird und ein Unternehmen firmenkritische Daten und Applikationen entsprechend schützt, desto geringer fällt ein möglicher Verlust bei einer Cyber-Attacke aus.“ - Richard Werner, Trend Micro
„Zukünftig muss noch stärker in die Bereiche Angriffserkennung und Schadensbegrenzung - Detection and Response - investiert werden. IT-Umgebungen werden immer umfangreicher und komplexer. Deshalb ist es wichtig, Reaktionsmöglichkeiten zu haben, falls doch einmal ein Angriff die initiale Verteidigung durchdringt. Wie gut diese Lösungen mit der Abwehr- bzw. Schutztechnologie abgestimmt sind, entscheidet, wie schnell und effektiv Unternehmen auf moderne Angriffe reagieren können. Deshalb wird dieser Bereich in den nächsten Jahren zunehmend strategische Bedeutung erlangen.“ - Roman Hugelshofer, Airlock
"Die Ergebnisse der Studie zeigen, dass die IT-Security-Themen auf Geschäftsleitungsebene angekommen sind. Das empfinden wir auch in Gesprächen mit unseren Kunden so. Mit 75 Prozent der Unternehmen, die eine Erhöhung des Security-Budgets planen, sollte auch eine Reduktion der Schäden durch Cyber-Angriffe möglich sein. Nun gilt es die Budgets richtig einzusetzen.<br />Es ist ein sehr positives Signal, dass Zero Trust bei 90 Prozent der Unternehmen ein Thema ist. Wichtig ist hier, dass der Zero Trust Gedanke auch auf neue Technologien wie Microservices angewendet werden muss."
XDR vs. EDR - Unterschiede
Im nächsten Schritt - und dieser markiert den Unterschied zwischen EDR und XDR - werden diverse Technologien zur Gefahrenerkennung und -behebung genutzt - und das über das gesamte IT-System hinweg und nicht nur auf der Endpunkt-Ebene. Allgemein beschreibt der Begriff XDR Lösungen, die Erkennung und Reaktion auf Bedrohungen auf dem Endpunkt, im Netzwerk und in der Cloud sowie auf vielen weiteren Ebenen vereinen.
Bei der Bedrohungsabwehr ist es wichtig, in der Reconnaissance-Phase so viele Informationen über den Angreifer wie möglich zu sammeln und mit verschiedenen Datenbankeinträgen dritter Ressourcen abzugleichen. So lassen sich beispielsweise Angriffe auf die eigene Organisation mit Vorfällen bei anderen Unternehmen vergleichen. Die Analyse der Methoden der Cyberkriminellen ist jedoch komplex, so dass eine rein manuelle Auswertung aufgrund der verschiedenen Parameter kaum möglich ist - hier helfen unter anderem KI-Ansätze.
Lesetipp: Best of Cybercrime - Die verrücktesten Hackerangriffe
Die Verwendung von Machine Learning-Algorithmen und künstlicher Intelligenz sowie die Einbeziehung von Daten aus dem gesamten IT-System in einen Data Lake sind ebenfalls Aspekte, die XDR von EDR unterscheiden. Die Möglichkeiten des Deep Learnings ermöglichen dann eine schnellere und zu höherem Grade automatisierte Erkennung von bisher unentdeckten Eindringlingen.
Extended Detection and Response - Funktionsweise
XDR erhöht im Vergleich zu bisherigen Endpoint-Protection-Lösungen die Sichtbarkeit im Netzwerk durch die breitere Analyse von Daten aus der IT-Umgebung und fördert dadurch auch die schnellere Erkennung von Bedrohungen bei abweichendem Verhalten. Neben klassischen Endpunkten werden dann auch IoT, Server, VMs und Container mit einbezogen und nach Anomalien durchsucht. Die Nutzung der künstlichen Intelligenz steckt allerdings, genauso wie bei so vielen anderen Anwendungsfeldern, noch in den Kinderschuhen. Das liegt unter anderem daran, dass die Datenquellen und die Parameter, die festlegen was anormales und was normales Verhalten ist, weiter getestet und entwickelt werden müssen. Gerade im Bereich IT-Sicherheit ändert sich die Gefährdungslage täglich, wenn nicht sogar im Minutentakt. Malware, die aufgrund einer Signatur eben noch von der Endpoint-Sicherheitslösung erkannt wurde, erhält ein Update aus der Cybercrime-Community und durch eine simple Code-Änderung entgeht die von der Funktionsweise im Grunde gleiche Malware der Entdeckung.
Letztlich funktioniert XDR ähnlich wie EDR bzw. es ist als Evolution letzterer Lösung zu sehen. XDR sammelt, korreliert und konsolidiert Daten aus der IT-Umgebung und stellt in automatisch zusammengestellten Berichten die Sicherheitslage bzw. den Sicherheitszustand dieser IT-Umgebung dar. Der Kern jeder Lösung sind die vorprogrammierten Algorithmen, die nach Anomalien suchen und im Vergleich zu ähnlichen Sicherheitsmonitoring-Lösungen wie z.B. SIEM die Anzahl der Falschalarme reduzieren. Deshalb braucht es weitere Tools und vor allem spezialisierte Sicherheitsfachleute, die einerseits dann mehr Zeit haben, sich um die dringenden Gefahren zu kümmern, aber auch anderseits überhaupt erst wissen, was wirklich gefährlich ist und was nicht.
Lesetipp: Schutz vor SQL-Injection - So funktioniert der Angriff auf Ihre Datenbank
Wie bei jeder KI-Anwendung ist auch bei XDR letztlich die Datenbasis entscheidend und hier gilt es zusätzliche Ressourcen und Bedrohungsinformationen (sogenannte "Threat Intelligence") verschiedenster Quellen hinzuzuziehen - diese können aus dem Bereich Open Source oder auch von offiziellen oder kommerziellen Stellen kommen. Mithilfe dieser Informationen können Vorfalls-Indikatoren korreliert und Alarmmeldungen validiert werden, was schließlich zu einer besseren Einschätzung von Gefahren und Einsparung wertvoller Zeit führt.
XDR - Paradigmenwechsel
Mit erweiterten Korrelationsmöglichkeiten über alle Ebenen hinweg hält XDR als neues Paradigma Einzug in die IT-Sicherheit. Die Technologie ist als Weiterentwicklung bisheriger EDR-Lösungen nun die aktuelle Form dieser Art von Endpunkt- und Netzwerksicherheit. Für den erfolgreichen Schutz des Endpunkts, aber letztlich auch des gesamten Netzwerks, sind neben der automatisierten Gefahrenerkennung und -abwehr auch die Fachleute, die sie analysieren und die Funde interpretieren und entsprechend Gegenmaßnahmen einleiten müssen, zentral.
Wenn sie dann noch auf Datenbanken zugreifen können, die über ständig aktualisierte Informationen über Malware, cyberkriminelle Gruppierungen und andere Akteure verfügen, kann eine Abwehr auch von modernen lateralen Bedrohungen gelingen. Was nach XDR kommt und an welche Begriffe wir uns in Zukunft gewöhnen müssen, werden wir in den kommenden Jahren von den Marktanalysten erfahren. (bw)