Was bedeutet XDR?
XDR steht für Extended Detection and Response. Es handelt sich hierbei um ein Konzept in der IT-Sicherheit. Die zentralen Eigenschaften von XDR sind die aktive Angriffsabwehr und dass die gesamte IT-Infrastruktur eines Unternehmens in die IT-Sicherheitsstrategie einbezogen wird.
1 Die Aufgaben und Eigenschaften von XDR
XDR ist noch ein recht junger Begriff und ein neues Konzept in der IT-Sicherheit. Die Bezeichnung wird erst seit 2018 verwendet. Extended Detection and Response versteht sich als ganzheitliches IT-Sicherheitskonzept.
Somit bezieht Extended Detection and Response neben den Endpunkten wie PCs und Laptops auch Server und Cloud-Services in die Strategie mit ein. Dazu gehören zudem Teile der IT-Infrastruktur, wie etwa Router oder Switches. Ebenfalls gehören virtuelle Server oder externe Workloads in der Cloud zum Aufgabengebiet. Auch Anwendungen gehören zum Konzept XDR. Hier wird gleichfalls das gesamte Spektrum abgedeckt, von E-Mails über ERP-Anwendungen und Programmen aus dem Fachbereich bis hin zu reinen Datenbanken.
Eine weitere Besonderheit von XDR ist die Technik beim Umgang mit Bedrohungen. So steht eine aktive Abwehr im Fokus. Das steht im Gegensatz zu klassischen und passiven Methoden. Zu diesen zählen die Firewall oder ein Virenscanner. Bei XDR kommen Lösungen zum Einsatz, die permanent und in Echtzeit nach auffälligen Mustern suchen.
2 Was sind die Unterschiede zwischen EDR und XDR?
Es gibt klare Unterschiede zwischen EDR, der Endpoint Detection and Response, sowie dem Konzept XDR. Wie der Name vermuten lässt, fokussiert sich EDR vollkommen auf den Schutz von Endpunkten in Netzwerken. Zu den Endpunkten gehören Arbeitsplatzrechner, Laptops, Smartphones sowie neuerdings auch Systeme im Bereich IoT.
XDR hingegen bezieht alle digitalen Systeme im Netzwerk mit ein und wendet eine einheitliche Strategie an. Wie auch bei EDR geht es um eine aktive Abwehr von Bedrohungen und die Suche nach auffälligen Mustern. XDR ist somit eine Erweiterung von EDR und dehnt das Konzept auf Systeme aller Art im eigenen Netzwerk aus.
Wie funktioniert XDR in der Praxis?
XDR wird mithilfe von speziell dafür konzipierter Software umgesetzt. Diese Sicherheitslösungen verbinden sich mit allen Systemen innerhalb eines Netzwerks. Dabei greifen die Programme auf die Quellen zu, die relevante Daten über Sicherheitsverletzungen und Angriffe liefern können. Das sind zum Beispiel Log-Files. Diese finden sich in Hardware wie Software und an unterschiedlichsten Punkten. Ein Router legt Logs an, aus denen Zugriffe von IP-Adressen hervorgehen. Ähnliche Informationen finden sich in Log-Files von Datenbanken.
Diese Daten sammelt die XDR-Software zentral und nutzt diese für eine Analyse. Hierbei agiert die Software in Echtzeit. Die Suche fokussiert sich auf alle Vorgänge, die nicht dem normalen Verhalten entsprechen. Das sind ganz unterschiedliche Ereignisse, wie etwa Zugriffe von unbekannten IP-Adressen oder Aktivitäten zu einer unüblichen Zeit.
Moderne Lösungen greifen bei der Analyse auf Künstliche Intelligenz zurück. Das erhöht die Identifizierung von ungewöhnlichen Aktivitäten und erzeugt auf diesem Weg sogar Erkennungsmuster, die das individuelle Nutzerverhalten berücksichtigen.
Nach der Erkennung eines ungewöhnlichen Ereignisses sendet das System eine Meldung. Diese Warnungen gelangen ebenfalls in Echtzeit zu den zuständigen Personen, beispielsweise per Mail oder SMS. Damit ist eine schnelle Reaktion auf die Warnungen möglich.
Hybrid oder Native XDR – das sind die Unterschiede
Bei den XDR-Tools wird zwischen nativen und hybriden Lösungen unterschieden. Bei einer nativen Lösung übernimmt das Tool die komplette Überwachung von jedem Endpoint und allen Logs. Es stehen jedoch weniger oder keine Schnittstellen zu Lösungen von anderen Softwareanbietern zur Verfügung. Somit erfolgt eine Bindung an einen bestimmten Anbieter. Dafür ist die Verwaltung einfach und alle Informationen stehen zentral an einem Punkt bereit.
Hybride Lösungen sind besser für die Integration und den Datenaustausch mit vorhandenen Sicherheitslösungen geeignet. Sie lassen sich sehr frei konfigurieren. Gleichzeitig erhöht dies den Aufwand in der Administration, sodass die Lösung vor allem für größere Unternehmen konzipiert ist.
3 Welche Verbindung gibt es zwischen XDR und SIEM?
Bei SIEM (Security Information and Event Management) handelt es sich um ein Konzept, das Alarmmeldungen von Anwendungen und Hardware für eine Analyse nutzt. SIEM sammelt oft riesige Mengen an Daten, die schwer zu analysieren sind und dementsprechend viel Arbeit erzeugen.
Extended Detection and Response hingegen übernimmt diese Analyse und filtert die Daten, sodass möglichst nur noch reale Bedrohungen in den Warnungen auftauchen. So stellen XDR-Lösungen genau die Daten bereit, die für die Umsetzung eines effektiven Security Information and Event Managements benötigt werden. Auf diese Weise ergänzt ein XDR-Tool das SIEM optimal.
4 Welche Vorteile hat XDR?
XDR sorgt für ein deutlich höheres Niveau bei der Sicherheit im Netzwerk. Zum einen schließt es eine Lücke, die passive Lösungen wie Virenscanner hinterlassen. Zum anderen ermöglicht es ein Gesamtkonzept für die IT-Infrastruktur. Somit stellt Extended Detection and Response einen wichtigen Baustein in der IT-Sicherheitsstrategie dar.
In diesem Zusammenhang sind vor allem die zielgerichteten und komplexen Angriffe, Advanced Persistent Threats (APT), zu nennen. Diese sind besonders gefährlich und bleiben häufig lange unentdeckt. Hacker nutzen hier zum Beispiel Zero-Day-Exploits oder verschaffen sich Zugang über Phishing-Angriffe. XDR-Lösungen können, im Gegensatz zu Virenscannern oder der Firewall, solche Angriffe entdecken, da die Zugriffe von außerhalb auf sensible Bereiche eben nicht dem normalen Verhalten im Netzwerk entsprechen.
Ein weiterer Vorteil ist, dass die Lösungen die gesamte IT-Infrastruktur überwachen. Das gilt auch für Dienste in der Cloud sowie Zweigstellen oder Systeme im Homeoffice.
5 Die Herausforderungen von XDR
Es gibt bei dem Konzept auch einige Punkte zu berücksichtigen. So senden XDR-Lösungen unter Umständen sogenannte False Positives. Das sind Warnungen, die auf einen potenziellen Angriff hinweisen, tatsächlich aber normale Aktionen sind. Ein Beispiel hierfür kann ein Mitarbeitender sein, der auf Dienstreise in den USA ist und sich nun zu einer unnormalen Zeit und mit einer unbekannten IP-Adresse in seinem Account einloggt. Aus dem Grund muss die Warnung genau geprüft und bewertet werden. Bei KI-gestützten Lösungen reduziert sich die Zahl der False Positives erfahrungsgemäß relativ schnell.
Es muss zudem am besten immer jemand erreichbar sein, der auf die Warnungen reagiert. Es gibt die Option, dass die XDR-Software eine automatisierte Reaktion auslöst. Im Beispiel des ungewöhnlichen Zugriffs auf ein Konto kann dies eine sofortige Deaktivierung sein. Im Falle eines False Positives wird dann jedoch ein echter Mitarbeitender aus seinem Konto ausgeschlossen und an der Arbeit gehindert, bis jemand aus der IT-Sicherheit den Vorgang kontrolliert.
6 XDR – ein sinnvolles Konzept für viele Unternehmen
In erster Linie wurde Extended Detection and Response für größere Unternehmen und Netzwerke konzipiert. So kommen XDR-Lösungen zum Beispiel im Datacenter Management von Betreibern wie TelemaxX zum Einsatz.
Durch die immer größere Abhängigkeit von digitalen Lösungen und die wachsenden Bedrohungen aus dem Cyberraum weitet sich der Kreis an Unternehmen, für die ein Einsatz sinnvoll ist, jedoch immer weiter aus. So schreibt das IT-Sicherheitsgesetz 2.0 bereits jetzt bestimmten Unternehmen den Einsatz von Systemen für die Angriffserkennung vor – das lässt sich nur mit SIEM und XDR umsetzen.
Kleine und mittlere Unternehmen haben die Option, auf Dienstleister zurückzugreifen. Diese stellen inzwischen XDR as a Service oder Firewall Services bereit. Dementsprechend ist dies ein Konzept, dass sich für viele Unternehmensnetzwerke anbietet.