Warum XDR die perfekte Ergänzung für ein Security Operations Center ist

Der Schutz von Endgeräten wird immer wichtiger. Denn mit der Cloud und zunehmenden Mobilität der Mitarbeitenden verändern sich auch die Angriffsvektoren grundlegend. Wie lassen sich neue und verdeckte Bedrohungen aufspüren, wenn der klassische Perimeter-Schutz an Wirkung verliert? Welche Rolle spielt das Security Operations Center (SOC) dabei und wie kann es durch Extended Detection and Response (XDR) optimal ergänzt werden?

Die Vielzahl an Vorfällen erzeugt eine hohe Belastung für Sicherheits­experten und macht ihre Arbeit zunehmend ineffizient. Umso wichtiger ist es, Ressourcen zu sparen und die Security Infrastruktur zu vereinheitlichen. Ein Weg sind neue Technologien wie XDR, die einen zusätzlichen Benefit für die Gesamtsecurity bieten.

Auch Gartner stellt in seinem Innovation Insight for Extended Detection and Response (XDR) fest:

  • Sicherheits- und Risikomanagement-Führungskräfte reagieren mit zu vielen Sicherheitstools von verschiedenen Anbietern und einer geringen Integration von Daten auf Vorfälle.
  • XDR-Produkte werden immer wertvoller, indem sie die Produktivität des Sicherheitsbetriebs durch die Korrelation von Alarmen und Vorfällen sowie die integrierte Automatisierung verbessern.
  • XDR-Produkte sind möglicherweise auch in der Lage, die Komplexität der Sicherheitskonfiguration und der Reaktion auf Vorfälle zu reduzieren, um ein besseres Sicherheitsergebnis als isolierte Best-of-Breed-Komponenten zu erzielen.

So weit so sicher – aber was genau ist XDR?

Extended Detection and Response ist ein Software as a Service-basiertes Tool zur Erkennung von Sicherheitsbedrohungen und Reaktion auf Zwischenfälle, das mehrere Sicherheitsprodukte in ein gemeinsames Sicherheitskontrollsystem integriert und alle lizenzierten Komponenten in sich vereint.

Somit handelt es sich um eine ganzheitliche Sicherheitsplattform die verdächtiges Verhalten und Schwachstellen frühzeitig erkennen kann. Wie Endpoint Detection and Response Lösungen (EDR) auch, schafft sie damit forensische Visibilität, die im SOC und beim Threat Hunting für klare Sicht sorgt.

Dabei erweitert XDR den EDR-Funktionsumfang insoweit, dass gleichzeitig eine automatisierte Reaktion möglich ist, um aktuelle und zukünftige Bedrohungen zu erkennen, zu analysieren und zu beseitigen. Zu den Kernaufgaben von XDR zählen also:

  • Die Zentralisierung von normalisierten Daten,
  • Korrelation von Sicherheitsdaten und Warnungen zu Sicherheitsvorfällen
  • und die Bereitstellung einer zentralen Reaktionsfähigkeit.

Vorteile von XDR – und was ein SOC damit zu tun hat

Nutzt ein Unternehmen XDR als zentralen Bestandteil seiner Cyber-Security-Strategie, kann es von fortschrittlichen Funktionen für den Schutz, die Erkennung und Reaktion auf Bedrohungen profitieren. Das für die Sicherheit verantwortliche IT-Team wird in seiner Produktivität unterstützt. Zudem stehen meist geringere Gesamtbetriebskosten für die Erkennung von und Reaktion auf Sicherheitsbedrohungen zu Buche.

Hinzu kommt, dass XDR auch das Security Operations Center unterstützen kann, wenn es auf Angriffe reagieren muss. Mehr noch: Da die Reaktion mittels XDR automatisiert erfolgt, kann es stark beanspruchte SOC-Mitarbeiter effektiv entlasten. Denn das die Analysten und Spezialisten durch Fehlalarme, den herrschenden Fachkräftemangel und ein immer komplexeres Bedrohungsszenario manchmal überlastet sind, ist kein großes Geheimnis.

In der produzierenden Industrie muss das SOC vermehrt auch die Operational Technology (OT) überwachen. Denn Sensoren, Maschinen, Anlagen und Geräte von Unternehmen sind immer mehr mit der IT vernetzt. XDR zentralisiert und normalisiert Event Daten, wodurch auch weichere Signale zu deutlichen Alarmen werden, womit sich dann auch OT-Komponenten überwachen und in die Analysen einbinden lassen.

Wie XDR das Security Operations Center unterstützen kann

ERKENNUNG: Indem die Daten der genutzten Endgeräte mit zahlreichen Daten anderer Sicherheitssysteme (SIEM, etc.) zusammenfließen, erfasst und analysiert werden, kann das Zusammenspiel von XDR und SOC mehr Bedrohungen noch genauer erkennen.

ANALYSE: Wenn Menschen und maschinelle Intelligenz die vorliegenden Bedrohungsinformationen gemeinsam untersuchen, kommt das Beste aus beiden Welten für eine sichere Identifizierung zusammen.

EMPFEHLUNGEN: XDR Lösungen können Analysten mit vorbereiteten Empfehlungen versorgen und genau die Reaktionsmaßnahmen vorschlagen, die erkannte Bedrohungen am effektivsten eindämmen oder beseitigen.

THREAT HUNTING: Über Abfragefunktionen lassen sich Daten-Repositories durchsuchen, die meist Informationen mehrerer Bedrohungsdatenanbieter enthalten, was das Threat Hunting effizienter macht.

Extended Detection and Response für einheitliche Sicht

XDR ermöglicht eine einheitliche Ansicht über mehrere Tools und Angriffsvektoren hinweg. Indem die fortschrittliche Technologie Tausende von Informationsprotokollen durchforstet und die Leistung von künstlicher Intelligenz, maschinellem Lernen und Automatisierung nutzt, kann es Sicherheitsteams nicht nur genaue, kontextbezogene Warnungen liefern, sondern sie auch besser bei der Reaktion auf Bedrohungen unterstützen.

Somit handelt es sich keinesfalls um ein Tool, dass ein SOC jetzt oder in naher Zukunft vollständig ersetzen kann, sondern vielmehr um eine Plattform, die das Herz und Hirn Ihrer Cyber Security sinnvoll ergänzt.

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.