IT-Sicherheit: XDR als Transformationsbooster

Andreas Groß Trellix

Extended Detection and Response (XDR) gilt schon länger als neuer Goldstandard im Bereich Cyber-Sicherheit. Durch die Integration verschiedener Sicherheitsebenen in einer zentralen Plattform und den Einsatz von Machine Learning sowie künstlicher Intelligenz kann die Technologie sogar dazu beitragen, die Digitalisierung in Organisationen zu beschleunigen. Warum das so ist und welche Vorteile und Einsatzbereiche es für XDR außerdem gibt, hat Andreas Groß, Senior Manager Presales bei Trellix, im Interview mit SecTank verraten.

Was genau ist unter XDR zu verstehen?

Andreas Groß: Extended Detection and Response, kurz XDR, steht für ein Software-as-a-Service-Modell, bei dem Informationen aus verschiedenen Cyber-Sicherheitstools in einer zentralen Plattform gebündelt und von dort aus verwaltet werden können. Dazu zählen unter anderem Lösungen für Endpoints, E-Mail-, Netzwerk- sowie Cloud-Security und Datenschutz. Durch die Vereinheitlichung der verschiedenen Sicherheitsebenen haben SOC-Teams nicht nur stets die gesamte IT-Landschaft im Blick, sondern können Bedrohungen in Echtzeit identifizieren und schneller entsprechende Maßnahmen einleiten. Dazu tragen auch Machine Learning, KI und sonstige Automatisierungstools bei, welche üblicherweise fester Bestandteil von XDR-Plattformen sind.

Worin besteht der Unterschied zu EDR?

Andreas Groß: XDR stellt im Prinzip die logische Evolution von EDR dar. Während EDR-Tools ausschließlich die Sicherheit von Endpunkten, wie Desktop, Laptops oder Mobilgeräten, überwachen, schließt XDR zusätzlich auch alle anderen Vektoren ein. Das ist besonders deshalb entscheidend, weil Unternehmen zunehmend komplexe und heterogene IT-Infrastrukturen verwalten. Außerdem wenden Cyber-Kriminelle immer häufiger Methoden an, die an mehreren potenziellen Schwachstellen gleichzeitig ansetzen.

Welche konkreten Anwendungsfälle gibt es?

Andreas Groß: Eines der klassischen Szenarien, in denen Unternehmen von XDR-Lösungen profitieren, sind Phishing-Attacken. In der Regel werden Mitarbeitende angehalten, verdächtige E-Mails an das interne Sicherheitsteam weiterzuleiten. Dort müssen sie dann manuell von einem oder mehreren Analysten überprüft werden, was gerade in größeren Organisationen enorm zeit- und ressourcenintensiv sein kann. Mittels XDR lässt sich dieser Prozess in großen Teilen automatisieren. So erhöht sich nicht nur die Reaktionsgeschwindigkeit um ein Vielfaches, sondern letztendlich auch die Sicherheit. Denn XDR-Systeme prüfen eingereichte E-Mails nicht nur automatisch auf schädliche Anhänge, sondern löschen im Falle eines Treffers alle E-Mails im Netzwerk, die über denselben Anhang verfügen. Anschließend findet ein Endpoint-Scan der Geräte statt, auf denen die schädlichen Dateien eingegangen sind. Alles bis zu diesem Punkt geschieht, ohne dass SOC-Mitarbeitende oder Analysten aktiv eingreifen müssen. Sie können auf vorgefertigte oder selbst erstellte Playbooks zurückgreifen, die die beschriebenen Aktionen automatisiert ausführen. Außerdem erhalten sie einen detaillierten Report mit allen Angriffsdaten und können so bei Bedarf tiefergreifende Analysen durchführen.

Unternehmen waren in den letzten Jahren besonders gefordert, ihre digitale Transformation zu beschleunigen: Welche Rolle spielen Cyber-Sicherheit und insbesondere XDR dabei?

Andreas Groß: Der Bereich IT-Sicherheit ist ein elementarer Bestandteil jeder erfolgreichen Transformationsstrategie. Je mehr Prozesse in den digitalen Raum verlagert werden, desto größer wird die Angriffsfläche für Cyber-Kriminelle. Viele Branchen stehen unter massivem Innovationsdruck und mussten teilweise über Nacht neue Technologien einführen, um geschäftsfähig zu bleiben. Die zunehmende Komplexität auf Ebene des IT-Ökosystems verlangt nach Sicherheitskonzepten, die mit den dynamischen Entwicklungen Schritt halten können und alle Gefahrenquellen einschließen. Hier werden die Vorteile von XDR-Plattformen besonders deutlich, da sie ein holistisches und übersichtliches Bild der gesamten Infrastruktur liefern. Auf diese Weise können Organisationen in hohem Tempo Innovationen einführen, ohne dabei die Sicherheit ihrer Daten und Systeme zu gefährden.

Auch die Bedrohungslandschaft verändert sich. Mit welchen Gefahren sind Organisationen heutzutage konfrontiert?

Andreas Groß: Cyber-Kriminelle und andere schädliche Akteure setzen zunehmend ausgereifte Methoden ein und entwickeln ihre Vorgehensweisen stetig weiter. Unser jüngster Trellix Threat Report, ein vierteljährlicher Bericht zu aktuellen Entwicklungen im Bereich der Cyber-Kriminalität, hat etwa ergeben, dass bei Phishing-Attacken am häufigsten URLs zum Einsatz kommen, mit denen Anmeldedaten gestohlen oder die Opfer zum Herunterladen von Malware verleitet werden. Darauf folgen E-Mails mit bösartigen Dokumenten wie manipulierten Microsoft Office-Dateien oder PDFs als Anhang. Mit ihnen zielen Angreifer darauf ab, die Kontrolle über das System des Opfers zu erlangen. Davon abgesehen gibt es aber auch branchenspezifische Risiken. Durch Trends wie „Connected Healthcare“ tun sich beispielsweise in der Gesundheitsindustrie zahlreiche Gefahrenquellen auf. Bei medizinischen Geräten und Software mangelt es oft schon an grundlegenden Sicherheitsvorkehrungen. Viele der Systeme sind mit Remote-Code-Execution-Schwachstellen behaftet, was für Hacker verlockend ist.

Was tut sich durch den Einsatz von XDR in SecOps-Teams?

Andreas Groß: Die dynamischen Entwicklungen durch die digitale Transformation und in Sachen Cyber-Bedrohungen, stellen Sicherheitsteams vor große Herausforderungen. Die steigende Komplexität in Verbindung mit oftmals isolierten Tools, erschwert es Cyber-Profis, den Überblick zu behalten und sorgt für eine enorme Arbeitsbelastung. Letztendlich gefährdet das die Sicherheit der gesamten Organisation. Das wird zusätzlich dadurch verschärft, dass es der Branche an qualifiziertem Nachwuchs mangelt. XDR kann einen entscheidenden Teil dazu beitragen, die Sicherheit von Organisationen zu stärken und gleichzeitig die Attraktivität des Berufsfeldes für Nachwuchstalente zu erhöhen. Die Integration aller Sicherheitsebenen in einer zentralen Plattform und die Möglichkeit, auf Basis von Machine Learning und künstlicher Intelligenz Abläufe zu automatisieren, sorgt dafür, dass Mitarbeitende von Routine-Aufgaben entlastet werden. Dadurch können sich SOC-Teams wieder auf die wirklich sinnhaften Tätigkeiten konzentrieren und unmittelbar und effektiv auf Bedrohungen reagieren.