Übersicht

IT Security-Wissen

XDR ist ein Marketing-Begriff: Warum XDR nicht gleich XDR ist und weshalb Monitoren ohne Testen nicht zielführend ist, erklärt Stefan Betschart

10. April 2022

Viele Monitoring-Lösungen versprechen einen umfassenden Schutz, doch längst nicht alle können ihre Marketingversprechen einlösen. Worauf es bei der Wahl einer Monitoring-Lösung ankommt, warum XDR nicht gleich XDR ist und weshalb Monitoren ohne Testen nicht zielführend ist, erklärt Stefan Betschart, Senior Consultant bei Emitec Datacom.

XDR (Extended Detection and Response) erfasst und korreliert Daten automatisch auf mehreren Sicherheitsebenen.

Was muss eine Monitoring-Lösung heute leisten können?

Stefan Betschart: Es gibt viele verschiedene Monitoring-Lösungen – letztlich geht es darum, diese richtig zu konfigurieren, um Angriffe über sämtliche Vektoren erkennen und blockieren zu können. Das bedeutet die Integration von Netzwerkaktivität, Cloud-Anbindungen, Endpunkten und mehr. Das geht beispielsweise mit XDR-Lösungen.

 

Worauf gilt es bei XDR-Lösungen zu achten?

Eins vorweg: XDR ist ein Marketing-Begriff und steht offiziell für Extended Detection and Response. Viele Anbieter haben heute Lösungen unter diesem Label. Diese Lösungen können aber bloss Daten aus einer beschränkten Anzahl oder proprietären Quellen zusammenführen und korrelieren.

Ausserdem sind sie oft herstellerspezifisch und so nur mit vereinzelten anderen Lösungen kompatibel. Solche XDR-Lösungen verstehen Daten von Lösungen anderer Hersteller entweder gar nicht oder nur unter grossem Aufwand.

Wir finden, XDR sollte, analog zu XaaS, für Anything Detection and Response stehen. Und XDR in diesem Sinne gibt es nur mit Open XDR.

Open-XDR-Lösungen sind nicht anbieterspezifisch und können alle Arten von Daten aus allen möglichen Quellen lesen, normalisieren und korrelieren. Unabhängig vom Hersteller – sei es das E-Mail-Gateway, MS365, Firewall, Netzwerkdaten oder Endpunkte. Nur so können Unternehmen blinde Flecken in ihrer Abwehr eliminieren und eine holistische Ansicht ihrer Cybersecurity gewinnen.

Heute existieren nur vereinzelte Lösungen, die dazu imstande sind.

 

Welche Bedeutung hat das Zusammenspiel zwischen Monitoren und Testen?

Monitoren ohne Testen ist eigentlich sinnlos. Unternehmen hoffen darauf, dass ihre Warnsysteme einwandfrei funktionieren. Dort kommt Testen ins Spiel – durch die Simulation aktueller Bedrohungen und Gefahren können sie verifizieren, ob die Monitoringsysteme Angriffe im Ernstfall überhaupt erkennen würden.

Testen ist also ein essenzielles Puzzleteil für eine effektive Cyberabwehr.

 

Weshalb reicht es nicht aus, regelmässige Penetrationstests durchzuführen?

Sie sind ein guter Anfang. Cyberkriminelle finden jedoch täglich neue Wege, in fremde Systeme einzudringen. Sporadische Pentests oder Security-Audits reichen daher schlichtweg nicht aus – tägliche Tests sind angezeigt.

Darum empfehlen wir eine automatisierte, maschinelle Angriffssimulation mit aktuellen Bedrohungen entlang der kompletten Cybersecurity-Kill-Chain.

Dazu gehören das Finden von Schwachstellen, das Versenden von Phishing-Mails und schädlichen Links, Endpunktinfiltration, die Ausbreitung im Netzwerk bis hin zu Datenverschlüsselung und -diebstahl.

Die daraus entstehenden Benchmarks dienen dazu, die Qualität der eigenen Cybersecurity zu evaluieren. Die Ergebnisse sind zudem vergleichbar und zeigen auf, wie sich der Schutz mit der Zeit entwickelt.

 

Woher sollen KMUs die Ressourcen nehmen, um täglich ihre Security zu testen?

Es ist weniger ressourcenintensiv, als viele sich das vorstellen. Da solche Angriffssimulationen automatisiert ablaufen, können sie ohne viel Aufwand täglich durchgeführt werden. Das Problem besteht eher darin, dass Unternehmen hinsichtlich der aktuellen Bedrohungslage nicht auf dem neuesten Stand sind. Unser Hersteller wirkt dem entgegen, indem er unseren Kunden Best-Practice-Sets bereitstellt.

Diese werden regelmässig mit neuesten Bedrohungen aktualisiert. Die Enduser brauchen also nur die Tests einzuplanen, der Rest erfolgt automatisiert.

Stefan Betschart, Senior Consultant, Emitec Datacom

Monitoring verspricht umfassenden Schutz, bietet es aber nicht in allen Fällen. So hart es klingt, es ist die Realität. Und eminent wichtig, selbst die neuesten Produkte täglich zu testen. Der Sinn von Monitoring ist es, richtig zu konfigurieren, um Angriffe über sämtliche Vektoren zu erkennen. Und Integrität der Netzwerkaktivität, Cloud-Anbindungen und Endpunkten sicherzustellen. Zum Beispiel mit XDR-Lösungen.

Wie dies in der Praxis aussieht, erkläre ich Ihnen gerne in einem Gespräch oder über ein Online-Meeting. Ich freue mich auf Ihre Kontaktaufnahme

Fragen zu XDR-Lösungen?

Haben Sie weitere Fragen zu XDR-Lösungen oder ganz spezifische Herausforderungen? Gerne Beraten wir Sie persönlich oder Online.

    Könnte Sie auch interessieren