Entwicklungen bei der Gefahrenabwehr

Von EDR zu XDR

29. November 2022, 7:00 Uhr | Matthias Schmauch/wg
© Wolfgang Traub

Die meisten Cyberangriffe lassen sich durch präventive Sicherheitslösungen abwehren. Hochmotivierte Angreifer finden jedoch immer wieder Wege, Schutzmaßnahmen zu überwinden. Deshalb ist es so wichtig, Angreifer zu erkennen, bevor sie die Umgebung gefährden können. Die gute Nachricht: Vor diesem Hintergrund entwickeln sich die Lösungen zur Erkennung von Angriffen (Detection) und zur Reaktion darauf (Response) stetig weiter.

Den Unternehmen steht heute eine breite Palette von Detection-and-Response-Lösungen zur Verfügung. Allerdings ist viel Bewegung auf dem Markt. Einige Technologien haben sich in den letzten Jahren etabliert, während andere noch versuchen, Fuß zu fassen oder sich weiterzuent­wickeln. Das aktuelle Spektrum dessen, was früher einfach Threat Detection and Response (TDR) hieß, umfasst heute viele Varianten, darunter Endpoint Detection and Response (EDR), Network Detection and Response (NDR), Cloud Detection and Response (CDR), Identity Threat Detection and Response (ITDR), Managed Detection and Response (MDR) als extern verwaltete Variante verschiedener „DR“-Techniken sowie übergreifend Extended Detection and Response (XDR). Das „DR“ im Namen ist die Gemeinsamkeit in einem breiten Spektrum, aber warum so viele Varianten, so viele Einzellösungen? Was ist der Auslöser für den DR-Wildwuchs? Die Antwort lautet wohl SIEM (Security-Information- und Event-Management).

Lange haben sich Unternehmen zum Schutz vor Cyberangriffen vor allem auf SIEM verlassen. Angesichts zunehmend ausgefeilter und immer kreativerer Vorgehensweisen bei Angriffen (Tactics, Techniques, and Procedures, TTPs) hat sich gezeigt, dass SIEM nicht dafür ausgelegt ist, Angriffe in Echtzeit zu erkennen. Eine SIEM-Plattform empfängt Security-Ereignisprotokolle von einer Vielzahl von Systemen, von Desktop-PCs bis zu Servern, Authentifizierungssystemen, Firewalls etc. Da ein SIEM-System nur vorhandene Protokollquellen nutzt, entstehen für jedes Unternehmen unterschiedliche Lücken. Der Big-Data-Ansatz – erst alle Daten sammeln, um dann etwas daraus zu erschließen – ist gut für die Forensik, aber zu langsam und komplex für eine schnelle Erkennung. Genau das ist es, was modernes DR von SIEM unterscheidet: Es unterstützt die Cyberdefense-Teams besser, idealerweise unter Berücksichtigung des Mitre Att&ck Frameworks. Die Teams müssen so nicht mehr aufwendig Datenquellen zusammensuchen und verfügbar machen, sondern können sich auf die Auswertung der durch die Lösungen bereitgestellten Hinweise konzentrieren.

EDR-Lösungen zielen darauf ab, unbekannte Aktivitäten zu erkennen, während die klassische Antivirenlösung und das IDS (Intrusion Detection System) die bekannten Angriffe mit Hilfe von Signaturen und anderen Mitteln identifizieren. EDR erleichtert die Erkennung und Untersuchung, identifiziert Angriffe und gibt Anleitungen zur Behebung. Zu diesem Zweck muss die Lösung alle Benutzer-, Prozess- und Systemaktivitäten analysieren und die Gerätekonfiguration überwachen. Die Erkennung von Bedrohungen wird mit der Beseitigung von Bedrohungen aus der Ferne kombiniert, die Reaktionsmaßnahmen sind in der Regel automatisiert. Cloud-basierte EDR-Dienste sind weit verbreitet, aber einige Anbieter stellen die Software auch On-Premises bereit.

Anbieter zum Thema

zu Matchmaker+

  1. Von EDR zu XDR
  2. Erweiterung

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Vectra Networks GmbH

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu Bedrohungserkennung

Weitere Artikel zu Blueliv

Weitere Artikel zu HUMAX-Digital GmbH

Matchmaker+