Kaum eine Branche entwickelt sich so rasant fort wie die IT-Branche. Das hat viel Gutes zur Folge, stellt uns aber auch immer wieder vor neue Herausforderungen.
Denn diese rasante Entwicklung können wir auch immer wieder bei neuen Cyberangriffen erkennen.
Deswegen ist es unerlässlich, dass der Bereich Cyber-Sicherheit immer am Puls der Zeit bleibt, um neue potenzielle Bedrohungen erkennen zu können. In der Vergangenheit wurden deshalb Systeme wie Endpoint Detection and Response (EDP), EPP und Network Traffic Analysis (NTA) entwickelt, die Unternehmen dabei geholfen haben, Gefahren frühzeitig zu erkennen und diesen entgegenzuwirken. Doch durch die rasante Entwicklung der Cyber-Kriminalität stoßen diese Programme oft an ihre Grenzen und sind zu eng fokussiert, um Bedürfnissen gerecht zu werden.
XDR, dass sich als neue Kategorie in der Cybersicherheitsbranche einen Namen macht, soll Abhilfe für die Probleme der „alten Generation“ schaffen. XDR steht dabei für „X Detection and Response“, das „X“ für „alles“.
Hierbei setzt es vor allem auf eine Omnipräsenz im ganzen System, eine Fähigkeit, die Programmen wie EDR fehlen. Denn deren Sicht ist auf ihren Endpoint begrenzt. Fehlende Informationen müssen aufwändig ergänzt werden. Des Weiteren vergeht oft zu viel Zeit, bis eine Bedrohung erkannt wird und schließlich gelöst werden kann. Außerdem ist die Frequenz der Alerts oft viel zu hoch, um alle bearbeiten zu können, so dass einige Alerts ignoriert werden müssen, die im schlimmsten Fall eine ernsthafte Bedrohung darstellen können.
Genau das sind die Punkte, bei dem XDR Abhilfe schaffen will. Denn im Gegensatz zu EDR werden Daten von Endpoints, Logs Clouds und dem lokalen Netz zusammen mit allgemeinen Bedrohungsinformationen kombiniert. Das System als großes Ganzes zu betrachten bedeutet, schneller auf Vorfälle und Alerts reagieren zu können, und schlussendlich auch lösen zu können.
Die gesammelten Informationen, die XDR zusammenträgt, werden dank modernster Analysefunktionen schneller erkannt und besser abgeblockt. Automatisierte Triage-, Untersuchungs- und Reaktionsprozesse liefern Informationen, um sichere Entscheidungen zu treffen, über Prozesse, die nicht automatisiert werden können. Alerts werden hierbei in Ereignisse gruppiert, um die Anzahl der Einzel-Warnungen signifikant zu verringern und die Zeit bis zum Response deutlich zu beschleunigen.
Das SIEM ist eine der wichtigsten Einrichtungen, um einen Überblick über die IT-Security eines Unternehmens zu liefern. Auch das XDR profitiert von diesen Informationen und bildet zusammen mit einem SIEM ein Bollwerk, welches das Erkennen und das Reagieren auf Cyber-Threats erheblich vereinfacht.
Abschließend zusammengefasst ist XDR eine neue Methode, die Ganzheit eines Systems zu betrachten und dabei:
