Jüngst hat WatchGuard Technologies seine „Unified Security Platform“ um eine XDR-Lösung (eXtended Detection and Response) ergänzt. Zu den Hintergründen und damit einhergehenden Potenzialen bei der Gefahrenabwehr hat Ulrich Parthier, Herausgeber it security, bei Michael Haas, Vice President Central Europe bei WatchGuard Technologies, nachgefragt.
Ulrich Parthier: Herr Haas, warum verankern Sie XDR im Portfolio?
Michael Haas: XDR verfolgt das Ziel, mehr und umfassendere Kontrolle gegenüber vielfältig daherkommenden Gefahren zu gewinnen. Dabei wird über ein zentrales Werkzeug die Brücke zwischen unterschiedlichsten IT-Security-Themenbereichen geschlagen – im Fall von WatchGuard zwischen Netzwerksicherheit und Endpoint Protection.
Die XDR-Idee ist keinesfalls neu, es zählt in dem Zusammenhang jedoch die Qualität, Breite und Tiefe der Ausprägung. So umfasste das WatchGuard- Angebot beispielsweise schon vorher eine cloudbasierte Korrelations-Engine. Damit ließen sich die per Host Sensor am Endgerät gesammelten Ereignisdaten mit den Informationen der Netzwerk- Appliances abgleichen, um bösartiges Verhalten zu identifizieren. Je nach Schweregrad der Bedrohung konnten so bereits in der Vergangenheit auf Basis des lösungsübergreifenden Informationsaustausches Gegenmaßnahmen eingeleitet werden.
Unsere bisherige Lösung nutzte jedoch nur die Endpunkt-Telemetrie aus der Cloud, um schädliche Dateien zu erkennen; Netzwerkereignisse wurden mit einzelnen Dateien und Prozessen am Endpunkt korreliert. Was fehlte, war die Möglichkeit, Bedrohungen im Rahmen eines Vorfalls zusammenhängend und komplett cloudnative zu klassifizieren und den Sicherheitsadministratoren noch umfassendere Reaktionsmaßnahmen anzubieten. Doch genau darauf kommt es angesichts der Komplexität von Angriffsszenarios mehr denn je an. Nachdem wir die verschiedenen IT-Security- Bausteine unseres Portfolios – von Netzwerksicherheit über Endpoint Security, WLAN und Multifaktor-Authentifizierung – inzwischen auf nur einer einzigen Cloud-Plattform zusammengeführt haben, profitieren wir von einem ganz neuen Fundament für unsere XDR-Initiative.
Ulrich Parthier: Die „Security-Plattformisierung“ befeuert also XDR?
Michael Haas: Absolut. Aus unserer Sicht eröffnet sich so der zielführendste Weg, mit aktuellen Rahmenbedingungen des Marktes – Stichwort Fachkräftemangel – und neuen Bedrohungen überhaupt Schritt halten zu können. Grundsätzlich ist es wichtig, sicherheitsrelevante Ereignisse über alle potenziellen Angriffsflächen hinweg im Blick zu behalten und tote Winkel sukzessive auszumerzen. Und wenn dies alles aus einem Guss erfolgt, zahlt das natürlich maximal auf das Konto der Effizienz ein. Egal ob der Hinweis zu einer Auffälligkeit aus dem Netzwerk oder vom Endpunkt kommt: Die einzelnen Puzzleteile ergeben sofort ein aussagekräftiges Bild.
Abwehrmaßnahmen können ebenso unmittelbar, automatisiert und vor allem flächendeckend über alle Schutzschichten Wirkung entfalten. Die „Mean Time to Detect“ (MTTD) und die „Mean Time to React“ (MTTR) werden auf diese Weise deutlich reduziert, Schaden lässt sich schneller und effektiver abwenden. Insofern adressieren wir mit unserer neuen „ThreatSync“-XDR-Lösung nicht zuletzt eine ganz neue Zielgruppe: die des Incident Responders beziehungsweise SOC-Analysten, dessen Hauptaufgabe genau darin besteht, vielschichtige Angriffe zu identifizieren und zügig passende Gegenmaßnahmen zu ergreifen. Hier geben wir Unternehmen nun ein wirksames Instrument in die Hände, das nicht mal mit zusätzlichen Kosten zu Buche schlägt.
Ulrich Parthier: Bitte präzisieren Sie dies für uns.
Michael Haas: XDR via ThreatSync ist sozusagen ein besonderes Goodie im Rahmen unserer „Unified Security Platform“- Architektur und standardmäßig in jeder Firebox Total Security Suite (TSS)-Lizenz sowie den WatchGuard EDR- und EPDR-Produkten enthalten. Je mehr WatchGuard-Produkte ein Unternehmen einsetzt, desto umfangreicher fallen die Möglichkeiten und via Threat-Sync erzielbaren Einblicke aus. Dieser umfassende Ansatz wird mit der Integration weiterer Security-Ebenen – also MFA oder den Komponenten zum WLAN-Schutz – künftig noch mehr Schlagkraft erhalten.
Ulrich Parthier: Dies erhöht aber auch die Anbieterabhängigkeit. Wie reagieren Kunden und Partner darauf?
Michael Haas: Bei unseren Partnern ist dieser Schritt äußerst gut angekommen, da ihnen ThreatSync natürlich auch gerade im Zuge von Managed-Security-Services-Angeboten voll in die Karten spielt. Und Kunden profitieren gleichermaßen – egal, ob die WatchGuard-Lösungen inhouse oder auf Seiten eines Dienstleisters zum Einsatz kommen. Im Hinblick auf den Aspekt der Anbieterabhängigkeit stellt sich einfach nur die Gretchenfrage: Will ich das oder will ich das nicht?
Die XDR-Idee ist keinesfalls neu, es zählt in dem Zusammenhang jedoch die Qualität, Breite und Tiefe der Ausprägung.
Michael Haas, WatchGuard Technologies
Die Vorteile liegen klar auf der Hand und werden auch im Markt immer stärker wahrgenommen: mehr Entlastung, Produktivität, Kontrolle und Schutz. Und da dieses Konzept nachweislich funktioniert, warum nicht einfach davon profitieren? Moderne, verlässliche IT-Security im Allgemeinen und XDR im Speziellen basieren auf Integration und Zusammenspiel – und am besten und reibungslosesten lässt sich dies auf Basis einer umfassenden cloudbasierten Plattform gewährleisten. Praktikabilität ist entscheidend. Und hier bietet ThreatSync gegenüber anderen XDR-Lösungen wichtige Vorzüge: Die verschiedenen Sicherheitsebenen müssen nicht erst noch sinnvoll miteinander verbunden werden. Zudem sind keine zusätzlichen Lizenzen erforderlich.
Ulrich Parthier: Aber klassische SIEM- oder SOAR-Modelle kann XDR nicht ersetzen ….
Michael Haas: Nein, aber das ist auch gar nicht der Anspruch. Es geht vor allem darum, insbesondere kleinen und mittelständischen Unternehmen, die in der Regel über keinerlei Kapazitäten oder separates Budget zur Umsetzung von SIEM oder SOAR verfügen, eine wirkungsvolle Alternative zu bieten. XDR ist in unseren Augen das perfekte Add-on für Managed Service Provider, die genau diesen Kundenkreis bedienen. Das Ziel ist klar formuliert: Angreifern keine Chance geben und Unternehmen ein reibungsloses Arbeiten ermöglichen.
Ein bisschen sicher gibt es genauso wenig wie ein bisschen schwanger. Maßgeblich ist der Mitteleinsatz, um diesen Zielzustand zu erreichen. Dafür ist XDR ein nicht zu unterschätzender Weichensteller und nicht zuletzt wichtiger Eckpfeiler für die Umsetzung von Zero-Trust-Strategien. Am Ende zählt im Wettbewerb allein der Aufwand, der aufgebracht werden muss, die nötige Kontrolle und Resilienz zu gewährleisten. Plattformkonzepte sind in dem Zusammenhang kaum zu schlagen.
Ulrich Parthier: Herr Haas, danke für das Gespräch!