Dieser Leitfaden stellt Ihnen den XDR-Ansatz für IT-Security vor, der die Bedrohungserkennung für Endpunkte, Cloud und Netzwerk zusammenführt und so bei Cyberangriffen zu einem besseren Überblick und schnelleren Reaktionszeiten beiträgt.
Inhalt:
EDR, SIEM, IDS/IPS, WAF, NTA, UEBA – an Tools und kryptischen Abkürzungen herrscht im IT-Security-Umfeld wahrlich kein Mangel. Alle dieses Lösungen haben sicher ihre Berechtigung, aber sie führen auch zu einem gravierenden Problem: IT-Sicherheitsverantwortliche werden aus Dutzenden von Quellen mit einer Fülle von Benachrichtigungen überflutet, aus denen sie nur mit großer Mühe relevante Informationen filtern und Zusammenhänge rekonstruieren können.
Dieser Leitfaden stellt das XDR-Konzept vor, das hier Abhilfe schaffen soll. „X“ steht dabei für jede beliebige Quelle, „DR“ für „Detection and Response“. XDR-Werkzeuge analysieren also nicht separat Endpunkte, Cloud-Zugänge oder die interne Netzwerkinfrastruktur, sondern führen alle Daten zusammen, bringen sie in den richtigen Kontext und identifizieren so mögliche Cyberbedrohungen schneller und zuverlässiger.
Lesen Sie in diesem Leitfaden unter anderem:
- Welche traditionellen Technologien zur Bedrohungserkennung es gibt, und was deren Vor- und Nachteile sind.
- Was XDR im Vergleich dazu auszeichnet.
- Für welche Anwendungsbereiche XDR besonders gut geeignet ist.
- Welche Kriterien Sie bei der Wahl einer XDR-Lösung beachten sollten.
Am Ende des Leitfadens finden Sie außerdem eine Checkliste, mit der Sie XDR-Angebote vergleichen und bewerten können.
Originalauszug aus dem Dokument:
Schließlich wurde eine neue Kategorie von Sicherheitsanalysetools entwickelt, um die Herausforderungen zu bewältigen, mit denen SIEM-Systeme bei der Erkennung unbekannter Angriffe konfrontiert sind. Zu dieser neuen Kategorie gehören NTA und UEBA. Diese Tools erfassen Telemetriedaten und nutzen maschinelles Lernen, um aufgrund dieser Daten ein Modell des Normalzustands zu erstellen. Von diesem Modell abweichendes Verhalten wird als potenzieller Hinweis auf verdächtiges Verhalten betrachtet. Mit diesen Technologien können auch bisher unbekannte Angriffe anhand ungewöhnlicher Traffic-Muster entdeckt werden.
Auch diesen Tools sind jedoch Grenzen gesetzt. Netzwerkbasierte Produkte sind auf das Netzwerk beschränkt und können keine lokalen Ereignisse überwachen oder verfolgen wie beispielsweise auf Endpunkten erfasste Informationen. NTA geht außerdem nicht sehr tief: Während EDR einzelne Endpunkte sehr gründlich beobachtet, analysiert die NTA zwar großflächig, aber nur oberflächlich. UEBA-Tools sind bei ihrer Suche nach Sicherheitsbedrohungen auf Netzwerken und Endpunkten auf die Protokolldateien anderer Produkte angewiesen. Die UEBA analysiert die gemeldeten Bedrohungen und weist den einzelnen Anwendern Risikoeinschätzungen zu. Wenn die Drittprodukte jedoch bei der Erkennung versagen oder einen Teil der Infrastruktur nicht überwachen, wird die UEBA unwirksam.