Was ist XDR? Erweiterte Erkennung und Reaktion | Fortinet (2024)

Gut konzipierte Bedrohungen können schwer zu erkennen sein, da sie in der Lücke zwischen isolierten Sicherheitsbereichen ansetzen. Solche Security-Silos entstehen häufig, wenn es mehrere parallele Sicherheitsansätze gibt, die schlecht oder gar nicht zusammenarbeiten. Da die Bedrohungen zwischen diesen isolierten Sicherheitsbereichen sitzen, können sie sich im Laufe der Zeit ungehindert verbreiten oder vermehren. Sie „fliegen“ praktisch unter dem Radar des Security Operations Center (SOC) und können am Ende enormen Schaden anrichten.

XDR isoliert und analysiert diese Bedrohungen. Jede Erkennung wird erfasst und dann nach den einzelnen Security-Layern korreliert. Jede dieser Sicherheitsschichten repräsentiert eine andere Angriffsfläche: Endpunkte, E-Mails, Netzwerk, Server und Cloud-Workloads. Wie genau eine XDR-Lösung jede Angriffsfläche schützt, sollte in den Unterlagen des XDR-Anbieters beschrieben werden.

Ein genauer Überblick über die Endpunkt-Aktivitäten ist wichtig, um herauszufinden, wie sich eine Bedrohung einnisten und auf andere Endpunkte überspringen konnte. Mit XDR erhalten Sie ein so genanntes Endpoint Sweeping, mit dem Sie nach Indicators of Compromise (IOCs) suchen und diese dann anhand von Indicators of Attack (IOAs) aufspüren können.

Ein XDR-System kann Ihnen zeigen, was bei einem Endpunkt passiert ist, woher eine Bedrohung stammt und wie sie sich auf mehrere Endpunkte verbreitet hat. XDRkann dann die Bedrohung isolieren, erforderliche Prozesse stoppen und Dateien löschen oder wiederherstellen.

E-Mails stellen eine der größten und zugleich am häufigsten ausgenutzten Angriffsflächen dar. Auch dieses „weiche Ziel“ lässt sich mit einer XDR-Lösung schützen, um die bei einem E-Mail-System immanenten Risiken zu begrenzen. Ein MDR-System (Managed Detection und Response) ist zwar für einen grundlegenden E-Mail-Schutz ausreichend, aber mit XDR lässt sich eine weitaus präzisere E-Mail-Securityerreichen.

Schon beim ersten Sichten– dem Triage-Prozess– kann XDR E-Mail-Bedrohungen und gefährdete Konten identifizieren. XDR kann sogar häufig angegriffene Benutzer und Angriffsmuster erkennen. Weiter kann XDR anhand von Sicherheitsprotokollen untersuchen, wer für die Bedrohung verantwortlich ist und wer sonst noch die betroffene E-Mail hätte erhalten können.

Als Reaktion auf den Angriff kann XDR E-Mails unter Quarantäne stellen, Konten zurücksetzen und die verantwortlichen Absender blockieren.

Die Analyse des Netzwerks auf Angriffe und Angriffsmöglichkeiten ist ein wichtiger Schritt, um Sicherheitsprobleme offensiv anzugehen. Mit der Netzwerk-Analyse lassen sich Ereignisse filtern, um Schwachstellen wie nicht verwaltete Geräte und IoT-Geräte (Internet of Things) zu identifizieren. Unabhängig davon, ob Bedrohungen durch Google-Suchanfragen, E-Mails oder gut koordinierte Angriffe verursacht werden, kann die Netzwerk-Analyse die zugrunde liegende Anfälligkeit lokalisieren.

XDR kann das problematische Verhalten innerhalb des Netzwerks erkennen und anschließend Details zur Bedrohung untersuchen, z.B. wie eine Bedrohung kommuniziert und sich im gesamten Unternehmen verbreitet. Dabei spielt es keine Rolle, wo im Netzwerk sich die Bedrohung befindet. Alles ist abgedeckt– vom Edge Services Gateway (ESG) bis zu zentralen Servern. Administratoren werden außerdem von XDR über das Ausmaß des Angriffs informiert, damit sie schnell eine Lösung finden können.

Der Schutz von Servern und der Cloud-Infrastruktur umfasst Schritte, die dem Endpunkt-Schutz ähneln, aber auf einer höheren Ebene erfolgen: Zuerst muss die Bedrohung untersucht werden, um zu wissen, wie sie in das Netzwerk gelangt ist und sich verbreiten konnte.

Mit XDR lassen sich Bedrohungen isolieren, die speziell auf Server, Container und Cloud-Workloads abzielen. XDR untersucht dann, wie sich die Bedrohung auf die Workloads auswirkt und sich im gesamten System verbreitet. Anschließend wird der Server isoliert und die betroffenen Prozesse werden gestoppt, um die Bedrohung einzudämmen. Die Isolation von Bedrohungen ist entscheidend, damit die durchschnittliche Erholungszeit nach Angriffen kürzer ausfällt.

Hat eine Bedrohung z.B. über einen IoT-Endpunkt Zugriff auf Ihr Cloud-Netzwerk erhalten, kann XDR feststellen, woher sie stammt. Sie können dann die Ursachen für die Sicherheitsverletzung angehen und anhand dieser Informationen einen Angriffsplan erstellen.

XDR eignet sich auch als effektive Ergänzung zu anderen Sicherheitsprodukten, da sich damit herausfinden lässt, wie stark die Bedrohung die Leistung eines Servers beeinträchtigt. Wird z.B. die Rechenleistung langsamer oder Daten wurden beschädigt, informiert Sie XDR über den genauen Umfang des Schadens. Anschließend kann XDR alle Prozesse stoppen, die die Verbreitung der Bedrohung fördern würden. In einer Cloud-Umgebung mit vielen Verbindungspunkten lassen sich durch das Anhalten von Prozessen große Datenverluste oder sogar die vollständige Unterbrechung wichtiger Betriebsbereiche vermeiden.

Ein XDR-System kann Informationen in einen Data Lake– ein zentrales Repository für Rohdaten– einspeisen und sterilisieren. XDR beginnt mit einem Cross-Layer-Sweeping, um Bedrohungen zu erkennen. Dann werden die Bedrohungen gezielt verfolgt und beseitigt.

Im Gegensatz zu einer herkömmlichen Bedrohungserkennung kann XDR Probleme lösen, die durch isolierte Sicherheitsbereiche entstehen. XDR kann z.B. getrennte Systeme zusammenführen, indem Angriffsflächen in mehrere Hauptkategorien unterteilt werden. Sie erhalten damit eine relativ umfassende Lösung für E-Mail-Systeme, Netzwerke, Server und Cloud-Workloads.

Ein weiterer Unterschied besteht darin, dass XDR nicht nur Bedrohungen erkennt und identifiziert, sondern auch darauf reagieren kann. Manche Bedrohungserkennungen melden lediglich gefundene Bedrohungen, eliminieren sie jedoch nicht. Abhängig von Ihren Anforderungen ist dieser Aspekt von XDR für Sie vielleicht nicht notwendig, insbesondere wenn Sie mehr Spielraum für die Reaktion auf Bedrohungen haben möchten.

XDR kann auch ein nützliches Tool für das Alert-Management sein. Oft wird ein Security-System von einer Flut von Warnungen überschwemmt, deren Sichtung und Bearbeitung manchmal genauso aufwendig ist wie die Bekämpfung der Bedrohungen selbst. Ein XDR-System kann z.B. die Warnungen konsolidieren, die zwar wissenswerte Informationen liefern, aber nicht direkt ein Eingreifen erfordern. Administratoren können sich so leichter auf die Warnungen konzentrieren, bei denen Handlungsbedarf besteht.

Da XDR Bedrohungen nicht nur erkennt, sondern auch auf sie reagiert, spart das Security-Team mit der XDR-Implementierung Zeit und Ressourcen. Weiß das IT-Team beispielsweise, wie es auf jede Bedrohung reagieren möchte, und die XDR-Lösung bietet diese Funktion, lassen sich mehrere Aspekte gleichzeitig abdecken. XDR erledigt dann alles „in einem Rutsch“: Bedrohungen identifizieren und isolieren sowie das Beenden der damit verbundenen problematischen Prozesse.

Der Unterschied zeigt sich schon in den Abkürzungen: Bei EDR steht das „E“ für „Endpunkte“, bei XDR bezieht sich das „X“ darauf, dass auch Netzwerk- und Cloud-Daten berücksichtigt werden.

Sollten Sie bereits eine Sicherheitslösung für Ihre Netzwerk- und Cloud-Infrastruktur haben, empfiehlt sich eventuell eher eine EDR-Lösung wie FortiEDR. Es kann schwierig sein, ein XDR-System mit Ihrer aktuellen Netzwerk-Security-Lösung zu verbinden, und die Redundanz kann zu mehr Problemen als Vorteilen führen.

Sowohl XDR als auch NTA können Bedrohungen erkennen. NTA konzentriert sich auf die Mustererkennung und kann dadurch sofort auf Datenpakete reagieren, die vom erwarteten Muster abweichen. Erhält ein Server z.B. normalerweise Datenverkehr aus den USA, Kanada und Brasilien, empfängt dann aber plötzlich Traffic aus Russland, lässt sich mit einem NTA-System eine potenzielle Bedrohung ausschließen.

Sollten die Bedrohungen für Ihr Unternehmen mit einer solchen Mustererkennung isoliert werden können, ist NTA für Sie möglicherweise eine bessere Lösung als XDR.

Im Gegensatz zu SIEM kann XDR auf Sicherheitsprobleme auch reagieren. Obwohl SIEM mit einer solchen „Reaktionslösung“ zusammenarbeiten kann, liegt der Schwerpunkt von SIEM dennoch auf der Bedrohungserkennung, nicht auf der Abwehr. Wenn Sie die Reaktion auf Bedrohungen individuell gestalten möchten, ist eine SIEM-Lösung wie FortiSIEM u.U. die bessere Wahl.

Es kann vorkommen, dass XDR eine Bedrohung erkennt und automatisch darauf reagiert, auch wenn sie keine echte Gefahr darstellt. Eine solche vorauseilende Abwehr könnte Ihrem Unternehmen schaden. Mit SIEM können Sie dagegen frei entscheiden, wie Sie auf jede Bedrohung reagieren. So lassen sich z.B. unnötige Betriebsunterbrechungen vermeiden.

Während XDR gut in der Bedrohungserkennung und -abwehr innerhalb seines eigenen Ökosystems ist, kann SOAR ähnliche Aufgaben übernehmen und zugleich noch die Sicherheitsrichtlinien und Berichterstellung abstimmen.

Wenn die Reaktion auf Bedrohungen bei Ihnen gut klappt, Sie aber ein System brauchen, das bei der allgemeinen Implementierung von Sicherheitsrichtlinien hilft, kann eine Lösung wie FortiSOAR eine bessere Wahl als XDR sein. Die Implementierung einer XDR-Lösung zusätzlich zu einem vorhandenen, effektiven Threat-Response-System kann extrem zeitaufwendig sein, ohne dass bessere Ergebnisse als bei Ihrer existierenden Lösung garantiert werden.

Mit FortiClient können Sie Risiken erkennen, überwachen und die Gefährlichkeit einschätzen. Abgedeckt werden unterschiedlichste Arten von Endpunkten, damit Sie Ihren Sicherheitsansatz flexibel an die Anforderungen Ihres Unternehmens anpassen können.

Zudem schützt FortiClient vor fortgeschrittenen Bedrohungen und kann als zentrale Komponente Ihrer Telemetrie automatisch Informationen über beseitigte Bedrohungen übermitteln. Dank der nahtlosen Integration in die Fortinet Security Fabric können Sie eine richtlinienbasierte Automatisierung integrieren, die Bedrohungen eindämmen und ihre Verbreitung verhindern kann. Wenn Sie bereits über eine Fabric-Ready-Security-Lösung verfügen, kann FortiClient damit zusammenarbeiten, um die Sicherheitslösung Ihres Unternehmens zusätzlich zu stärken. Ganz gleich, ob die Corona-Pandemie Ihr Unternehmen etwas ausgebremst hat oder ob Sie längst Versäumtes nachholen wollen: Jetzt ist ein guter Zeitpunkt, sich für die integrierte Erkennung und Reaktion mit FortiClient zu entscheiden.