Warum XDR und warum jetzt? Es gibt mittlerweile derart viele Sicherheitstools, dass selbst Experten kaum noch in der Lage sind, sie zu überblicken und zu verwalten.
Von Extended Detection and Response (XDR) wird derzeit viel gesprochen. Was ist bei XDR anders und an welchen Stellen verspricht XDR, Sicherheitsfachleute besser zu unterstützen?
Was genau ist XDR?
Die Welt hat sich gravierend verändert. Unternehmen bewerten ihren Go-to-Market-Ansatz komplett neu, priorisieren sichere Remote-Arbeit und suchen nach IT- und Sicherheitstools, die sowohl zukünftige als auch bestehende Investitionen schützen. Gleichzeitig machen Angreifer sich traditionelle Firewall- und AV-Abwehrmechanismen zunutze. Attacken bleiben oft unentdeckt, weil sie sich nicht auf dem Endpunkt beschränken, sondern Bedrohungen auch hinter gestohlenen Identitäten, Fehlkonfigurationen und Sicherheitslücken lauern.
Ein Gespräch mit Frank Kölmel, VP CEUR bei Cybereason.
Wie unterscheiden sich XDR und SIEM (Security Information and Event Management)?
Frank Kölmel: XDR sollte drei Dinge tun, die typischerweise nicht zum Einsatzgebiet einer SIEM-Lösung gehören. Das sind erstens eine sofort einsetzbare Threat-Prevention (Bedrohungsabwehr), zweitens Threat Hunting, ohne erst eine komplexe Abfragesprache erlernen zu müssen, und drittens die Fähigkeit von XDR, auch das Risiko sekundärer Verstöße automatisch zu senken.
Threat Prevention: Eine der Herausforderungen bei SIEM-Lösungen ist, dass sie nur gegen bekannte, handelsübliche Angriffe wirksam sind. Gerade bei mehrstufigen Attacken aber wird es schwierig, verdeckt ablaufende Angriffsoperationen auch tatsächlich zu erkennen. Darüber hinaus kann eine SIEM-Lösung lediglich auf diese Verhaltensweisen aufmerksam machen, aber nicht darauf reagieren. Man braucht zwingend manuelle Eingriffe und Zyklen, um die Ergebnisse zu untersuchen und die entsprechenden Maßnahmen einzuleiten. XDR-Lösungen sollten dem Anwender im Idealfall einiges bieten. Dazu zählen ein Virenschutz der nächsten Generation, Schutz vor Ransomware und eine verhaltensbasierte Erkennung, die bösartiges Verhalten stoppt, bevor ein Angreifer im Zielnetzwerk Fuß fassen kann. Das begrenzt die Auswirkungen jedes Angriffs. Außerdem erspart es den Analysten die Arbeit, auf gängige Bedrohungen zu reagieren und verringert das Gesamtrisiko, statt lediglich eine Warnung auszusprechen.
Accessible Threat Hunting: Zudem ist es nicht ganz einfach, mit einer SIEM-Lösung ein gleichmäßiges Produktivitäts-Level zu erreichen. Dazu gehört es, auf proaktive Sicherheitsmaßnahmen und Threat Hunting umzustellen sowie das On-boarding neuer Analysten auf die bestehende Technologie. Die herkömmliche Bedrohungssuche umfasst mehrere Fachgebiete: Sicherheit (welche Verhaltensweisen sind als bösartig einzustufen), Datenmanagement (Sammeln aus den richtigen Datenquellen) und Data Science (Abfragesprache zum Finden und Analysieren der Ergebnisse). XDR soll das Threat-Hunting und die Datenexploration über ein erweiterbares, Point-and-Click Investigation-Interface vereinfachen. Die Architektur wird in der Cloud gehostet und ist folglich erweiterbar. Um Ergebnisse zu bekommen, sind Analysten dann nicht mehr darauf angewiesen, sich um Daten-Pipelining, Datenmanagement oder das Erlernen einer komplexen Abfragesprache zu kümmern. Ausgehend von einer Hypothese oder einem Untersuchungsergebnis findet ein Sicherheitsanalyst mit wenigen Klicks wichtige und verwandte Zusammenhänge.
Das Risiko eines sekundären Verstoßes senken: Einer der wichtigsten Sicherheitsgrundsätze lautet: je länger ein Angriff unentdeckt bleibt, desto schwieriger ist es, die Bedrohung vollständig zu beseitigen. Während eines mehrstufigen Angriffs wird ein Angreifer versuchen, kontinuierlichen Zugriff auf die Umgebung des Opfers zu erlangen. Durch native Integrationen mit E-Mail, Produktivitäts-Suites (z. B. Google Workspace & Microsoft 365) und Cloud-Diensten soll XDR nicht nur Angriffe erkennen, sondern automatisch auch das Risiko einer laufenden bösartigen Operation reduzieren.
XDR scheint der natürliche nächste Schritt für EDR zu sein. Was passiert in diesem „R/Response“-Teil der Bedrohung am Endpoint?
Frank Kölmel: Ziel ist es, Sicherheitsteams dabei zu unterstützen, Cyberangriffe aufzudecken und zu beenden. Wo auch immer sie in einer Umgebung auftreten. Angreifer kompromittieren nicht nur Endgeräte von Benutzern, sondern auch Benutzeridentitäten, Cloud-Ressourcen und Cloud-Dienste. Die „R/Response“-Funktionen in XDR sollten also den Skills der Angreifer entsprechen.
Für die XDR-Anbieter heißt das, sie sollten über E-Mail, Produktivitäts-Suiten, Sicherheitstools und Cloud-Dienste hinweg agieren. Dazu gehört es, Zugangsberechtigungen zu sperren, Multi-Faktor-Authentifizierung zu erzwingen, Passwörter zurückzusetzen und auch, eine E-Mail bzw. eine in der Cloud gehostete Datei mit bekanntem bösartigem Inhalt zu löschen. Zusammen mit den Reaktionsmaßnahmen, die über EDR zur Verfügung stehen, erlaubt das, Abhilfemaßnahmen in großem Maßstab umzusetzen. Im Umkehrschluss werden Endnutzer und der Ticket-Support davon so wenig wie möglich affiziert und der typische „Reimage to resolve“-Reaktionsworkflow verbessert.
Wie unterscheiden sich XDR- und SOAR-Technologie (Security Orchestration and Automation Response) respektive Playbooks?
Frank Kölmel: Die SOAR-Technologie hilft bei der Lösung eines kritischen Sicherheitsproblems. Sie unterstützt zusätzlich bei der angemessenen Reaktion auf Bedrohungen, automatisiert sich wiederholende Aufgaben, erhöht die Transparenz und verbessert die Partnerschaft zwischen IT und Sicherheit. Aber auch SOAR-Lösungen bringen einiges an Herausforderungen mit sich. So verlässt sich die Technologie in der Regel auf eine bestehende SIEM- oder Security-Analytics-
XDR enthält viele der Orchestrierungs-. Automatisierungs- und Reaktionsfunktionen, die in den Bereichen Prävention, Erkennung und Reaktion eingesetzt werden. Eine zuverlässige XDR-Lösung sollte kontextbezogene und geführte Reaktions-Workflows enthalten, die automatisch das Risiko eines sekundären Verstoßes senken. Wird zum Beispiel ein anomales Verhalten bei einem Benutzerkonto oder an einem Endpunkt beobachtet, ist XDR dafür verantwortlich, dass das Verhalten sich nicht an anderer Stelle im Netzwerk wiederholt. Und das sollte ohne On-Premises-Komponenten oder wiederkehrende Integrationsarbeiten passieren. Ein Team ist so innerhalb von Wochen, anstatt Monaten, einsatzbereit. Zusätzlich kann man darauf verzichten, Workflows zu erstellen, die sonst mehrere Module miteinander verbinden (z. B. SIEM + SOAR + Threat Intelligence + EDR).
Welche Rolle spielt XDR dabei, die Transparenzlücke in der IT-Infrastruktur zu schließen? Und wie?
Frank Kölmel: Ja, in der Tat bringt XDR mehr Sichtbarkeit und neuen Kontext, insbesondere um wichtige neue Bereiche des modernen Netzwerks abzudecken. Gerade solche, die nicht oder nur unzureichend überwacht werden. Hierzu gehören Cloud-Workloads und die Cloud–Infrastruktur, Benutzeridentitäten, Produktivitäts-Suites und E-Mail-Anwendungen. Möglicherweise gibt es Punktlösungen, die speziell diese Bereiche des Netzwerks überwachen. Aber XDR fasst diese einzelnen Elemente unter einem primär handlungsorientierten Blickwinkel zusammen.
XDR-Lösungen sollten weltweit verteilte Endpunkte unterstützen und dabei Windows, Mac, Linux, iOS und Android bis hin zu Cloud-Infrastrukturen, Workloads und Benutzeridentitäten reichen. Diese Kombination bietet Transparenz, Bedrohungserkennung und Reaktionsmöglichkeiten in einer Plattform, die einfach zu implementieren, zu verwalten und zu nutzen ist.
Wie würde eine XDR-Lösung helfen, wenn es zu einem Sicherheitsvorfall oder einer Sicherheitsverletzung kommt? Am besten anhand eines konkreten Beispiels – wie wurde der Angriff entdeckt und wie hat XDR eine schnellere und integrierte Reaktion in Gang gesetzt?
Frank Kölmel: Nehmen wir als Beispiel Phishing, einen ziemlich verbreiteten Angriffsvektor.
- XDR durchsucht Endpunkt-, E-Mail- und Identitäts-Events, um in Echtzeit die Verhaltensweisen bereitzustellen, die für einen Analysten bedeutsam sind. Verglichen mit herkömmlichen Ansätzen, die lediglich einzelne Ereignisse hervorheben. Selbst dann, wenn das Verhalten über mehrere Identitäten und Assets hinweg auftritt.
- Die automatische Korrelation und Visualisierung liefern den Analysten wichtigen Kontext und geben Informationen zu den möglichen Auswirkungen des Angriffs. Darin sind die betroffenen Benutzer eingeschlossen, Anlagen, die grundlegende Ursache, bekannte Angriffs-Tools und die typische Art der Kommunikation bei einem Angriff sowie eine Zeitliste der Ereignisse. Am wichtigsten ist, welche Abhilfemaßnahmen ergriffen werden sollten, um böswillige Operationen zu beenden.
- Die integrierten Reaktionsfunktionen leiten den Analysten Schritt für Schritt an, wie er den Angriff isolieren oder beheben kann. Das können Maßnahmen am Endpoint sein (z.B. einen Prozess abschalten, Maschinen isolieren) sowie solche, die Benutzerkonten und Cloud-Identitäten betreffen sowie vorhandene IT- und Sicherheitstools, die im gesamten Ökosystem eingesetzt werden.
Vielen Dank für das Gespräch!
Frank Kölmel, VP EMEA bei Cybereason