Extended Detection and Response - kurz XDR - hat in letzter Zeit für viel Aufmerksamkeit in den Medien und bei den Analysten, aber auch bei Kunden gesorgt. Schließlich ist das Versprechen von weniger Komplexität und geringeren Kosten bei gleichzeitiger Optimierung der Erkennung und Reaktion durchaus verlockend. Insbesondere für Sicherheitsteams, die im Rahmen der Modernisierung ihrer Sicherheitstools gezielt nach Lösungen für einige ihrer größten Herausforderungen suchen. Aber ist XDR wirklich die Lösung? Was genau verbirgt sich hinter XDR und wie lässt sich feststellen, ob es für euer Unternehmen das Richtige ist? Finden wir es heraus.
Endpoint Detection and Response (EDR) galt fast ein Jahrzehnt lang als Goldstandard. Ursprünglich gedacht als Weiterentwicklung der Antivirustechnologie, um Bedrohungen zu bekämpfen, welche die Fähigkeiten der herkömmlichen datei- und heuristikbasierten Malware-Erkennung gezielt umgehen konnten. Diese neue Dimension an Sicherheitsverstößen sorgte schließlich dafür, dass der Bedarf an EDR stetig zunahm. Durch innovative Einbindung moderner Technologien wie Machine Learning und Verhaltensanalyse ermöglichte EDR es den Sicherheitsanalysten, die Transparenz und Erkennung am Endpunkt zu verbessern, forensische Untersuchungen in Echtzeit durchzuführen und schneller bzw. effizienter auf mögliche Bedrohungen reagieren zu können. Da die Zahl an Bedrohungen in jüngster Vergangenheit allerdings enorm angestiegen ist, verlor EDR aufgrund seiner Fokussierung auf die Endpunkte zunehmend an Effektivität. Vielmehr braucht es Kontextdaten seitens der Netzwerkerkennung, Threat Intelligence und andere Sicherheitstools, um die Erkennungsleistung zu verbessern und die Reaktionszeiten zu beschleunigen. Womit wir bei Extended Detection and Response (XDR) wären.
Eines ist klar, XDR entwickelte sich aus EDR heraus. Weniger klar ist aber, dass es für eine XDR-Lösung eine ganze Reihe allgemeingültiger Anforderungen braucht: So muss diese „offen“, „geschlossen“, „nativ“ und „hybrid“ sein. Zwar existieren verschiedenste Ansätze, doch alle verbindet eine grundlegende Eigenschaft: XDR führt Endpunkt-, Cloud-, Netzwerk-, E-Mail-, Threat Intelligence- und andere Datenquellen sowie Kontrollinstrumente an einem Ort zusammen. Das Ziel: mögliche Bedrohungen besser erkennen und analysieren und dadurch schneller bekämpfen zu können. Für diejenigen von euch, die mit Splunk vertraut sind, klingt das sicher ziemlich stark nach dem, was wir bereits seit langem tun. Denn schließlich sind wir mit unseren Lösungen in den Bereichen Security Information and Event Management (SIEM), Security Orchestration sowie Automation and Response (SOAR) seit Jahren Marktführer im Bereich Security Operations. Bleibt also die Frage: Worin besteht nun eigentlich der Unterschied zwischen XDR- und SIEM/SOAR-Lösungen?
XDR eignet sich hervorragend, um mit Hilfe einer begrenzten Menge an Datenquellen eine begrenzte Anzahl an Use Cases zu überwachen und auf mögliche Bedrohungen zu reagieren. Doch was passiert eigentlich dann, wenn die Threats den fest definierten Rahmen dieser Use Cases und Datenquellen sprengen? Für dieses Szenario kann Splunk dieselben Vorteile wie XDR bieten. Mit dem Unterschied, dass Splunk ohne die Beschränkung auf bestimmte Use Cases und Datenquellen auskommt und auch sonst keine weiteren Produkte, Portale und Datenmodelle in den ohnehin schon ausufernden Technologie-Stack integriert werden müssen. Über die Erkennung, Analyse und Bekämpfung von Bedrohungen (TDIR) hinausgehend, bietet Splunk aber auch die Möglichkeit, sämtliche Daten zu indizieren und zu durchsuchen. So führen wir nicht nur die Qellen für Sicherheitsdaten, sondern ebenso die von IT Ops, DevOps oder aller anderen erdenklichen Bereiche zusammen. Immer mit dem Ziel, ein größtmögliches Niveau an Transparenz zu schaffen. Denn dieser Faktor ist entscheidend bei der Ermittlung von Kernursachen für die hochkomplexen Angriffe der heutigen Zeit. Kurz gesagt: Splunk bietet Unternehmen genau die Flexibilität, die sie benötigen, um den aktuellen Herausforderungen gewachsen zu sein. Und macht sie agil genug, um sich optimal auf zukünftige Bedrohungen und Herausforderungen einstellen zu können.
Außerdem sind wir davon überzeugt, dass der Vergleich zwischen XDR und SIEM bzw. XDR und SOAR hinkt. Denn unserer Ansicht nach ist XDR in erster Linie eine Datenquelle bzw. ein Kontrollpunkt, der in diese Tools integriert werden sollte. Genauso wie EDR. Manche unserer Kunden haben ihre XDR-Lösung bereits in Splunk integriert So hilft XDR, einen Teil des Rauschens zu beseitigen, mit dem Analysten in der Regel konfrontiert sind während Splunk es Teams ermöglicht, auch Lösungen für Use Cases zu finden, die über den Endpunkt hinausgehen. Eine klassische Win-Win-Situation also.
Schlussendlich will niemand noch mehr Produktkategorien und Tools lernen bzw. integrieren müssen. Vielmehr soll die überbordende Tool-Landschaft vereinfacht und der Integrationsrückstau abgebaut werden. Und braucht es dringend Erleichterung für die Teams an hochqualifizierten Mitarbeiter, die immer stärker mit monotonen Datenpflegeaufgaben überlastet, unproduktiv und ausgebrannt sind.
Und genau deshalb haben wir kürzlich Splunk Security Cloud ins Leben gerufen. Eine Security-Operations-Plattform für agile Unternehmen. Denn das Erfolgsrezept für moderne Sicherheitsprozesse ist die zentrale Verwaltung aller Daten. Mit dem Ziel, leistungsfähige Analysen bereitstellen und Prozesse durch Automatisierung und Orchestrierung optimieren zu können - unter konsequenter Einbindung stetig wachsender und vielfältiger Ökosysteme aller Partner.
Der Nordstern, von dem wir uns bei Splunk leiten lassen, ist die Produktivitätssteigerung der Analysten. Hierfür optimieren wir Workflows im gesamten SOC – sei es bei der Erkennung, Analyse, Bekämpfung und Verfolgung von Bedrohungen oder beim Austausch von Erfahrungswerten und darüber hinaus. Dabei sind wir offen für jede Art der von euch bevorzugten Endgeräte, Clouds, E-Mail-Clients, Netzwerk-Lösungen oder beliebige andere Tools - einschließlich XDR.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Demystifying the Hype Around XDR.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.