Die Herausforderung für Unternehmen liegt darin, ihre digitalisierten Prozesse, Daten und Informationen effektiv und wirkungsvoll zu schützen. Ausserdem befinden sich viele Unternehmen mitten in der digitalen Transformation. Dazu gehören Herausforderungen wie:
-
- Shift der Prozesse in die Cloud
- Vermehrtes Homeoffice und Zugang zu Firmendaten von überall
- Vermehrter Einsatz von IoT
- Datenschutzrichtlinien
Zudem werden die Cyber-Angriffe immer raffinierter und können die Geschäftsprozesse eines Unternehmens für lange Zeit beeinträchtigen oder gar verunmöglichen (zum Beispiel Ransomware- Attacken) oder es fliessen unbemerkt über lange Zeit wertvolle Daten und Informationen ab. Damit nun ein effektiver und wirkungsvoller Schutz sowie die Einhaltung der Datenschutzrichtlinien realisiert werden kann, setzen Unternehmen auf einen mehrschichtigen Ansatz bei der Verteidigung gegen Cyber-Angriffe. Diesen Ansatz nennt man auch Defence in Depth. Grundsätzlich ist das eine gute Idee. Dieser Ansatz erhöht die Sicherheit und kann gegen vielfältige Angriffsvektoren effizient schützen. Meist setzen Unternehmen dafür Security Produkte unterschiedlicher Hersteller ein, da oft ein Hersteller alleine nicht für jeden Use Case die beste Lösung anbietet, respektive die Anforderungen nicht gut genug abdecken kann.
All diese Technologien sammeln Daten und arbeiten meist noch für sich alleine, ohne miteinander zu kommunizieren, und die Daten (Logs) werden isoliert gespeichert. Der typische Arbeitstag von Security Analysten gestaltet sich dadurch komplex und erfordert, dass sie zwischen vielen verschiedenen Tools, Benutzeroberflächen, Query Languages etc. wechseln müssen, um Bedrohungen im gesamten Unternehmen zu erkennen, zu verstehen und darauf zu reagieren.
Mancher Leser mag jetzt denken, dass man die Daten zentral auf einem SIEM speichern kann und dies Unternehmen auch tun. Doch Speicherplatz und Events pro Sekunde (EPS) beim SIEM sind immer noch sehr teuer und daher wird oft darauf verzichtet, die Log-Daten zentral abzulegen. Ein Beispiel stellt eine Endpoint Detection und Response Lösung dar. Die Telemetriedaten der Clients werden in der Cloud gespeichert und dort verarbeitet und ausgewertet. Die meisten Unternehmen senden lediglich die Alarme zum SIEM. Ein Security Analyst muss demnach nach wie vor, um herauszufinden, was den Vorfall verursacht hat, dies bei der EDR Lösung anhand der dort liegenden Daten evaluieren.
Es besteht die Notwendigkeit, den Arbeitsablauf von Security Analysten zu vereinfachen und die Time to Respond zu verkürzen und, wenn möglich, die Gegenmassnahmen zu automatisieren.
Mögliche Lösungsansätze
Aus meiner Sicht existieren dazu folgende zwei Lösungsansätze:
Hybrides XDR
Dies bezieht sich auf eine heterogene Umgebung, die aus vielen verschiedenen Technologien von unterschiedlichen Herstellern besteht, aber mit einer offenen XDR-Plattform, die sie alle durch die Integration von Drittanbietern (SIEM, EDR, NDR, Cloud-Infrastruktur etc.) zusammenbringt und mehr Flexibilität und Interoperabilität bietet.
Ein Application Programing Interface (API) ermöglicht es, Softwareanwendungen unterschiedlicher Hersteller miteinander zu interagieren. Sie ist ein grundlegender Bestandteil moderner Security Produkte. So können wichtige Informationen zwischen den einzelnen Technologien ausgetauscht werden und erhöhen dadurch die Detection-Rate sowie die Sichtbarkeit und das Verständnis eines Angriffs und ermöglichen Zugang zu integrierten Dashboards. Die Integration hilft auch bei den Gegenmassnahmen von Bedrohungen (Time to Respond, Automatisierung), da der Security Analyst die Informationen nicht von unterschiedlichen Technologien beziehen und diese mühsam korrelieren muss. Inzwischen bieten die meisten Security Hersteller solche Technologie-Partnerschaften an.
Bei der Wahl der Security Technologien sollte deshalb darauf geachtet werden, welche Hersteller in welcher Form eine solche Integration anbieten, um diese dann effizient einsetzen zu können. AVANTEC arbeitet u. a. mit CrowdStrike als EDR Lösung und Vectra als NDR Lösung zusammen und profitiert von der starken Partnerschaft und Integration zwischen den beiden Herstellern.
Link: content.vectra.ai/hubfs/downloadable-assets/ProductIntegration_Crowdstrike.pdf
Native XDR
Ein Hersteller bietet verschiedene SIEM-, EDR- und NDR-Produkte an, die in die eigene XDR-Plattform des Herstellers integriert werden, um Telemetriedaten über die Umgebung bereitzustellen.
Native XDR haben den Vorteil, dass sie keine Integration via API unterschiedlicher Hersteller brauchen. Die XDR-Komponente lässt sich mit den übrigen Security Produkten dieses Herstellers integrieren. Sicherheitsteams müssen sich demnach nicht um Integrationen kümmern, da eine Plattform alle Analysen und die Erkennung von Cyber Bedrohungen übernimmt.
Fazit
Wie eingangs erwähnt, kann es schwierig sein, sich für einen einzigen Security Hersteller zu entscheiden, daher macht es Sinn, sich mit den besten Partnern zusammenzuschliessen und API-Integrationen für eine erweiterte Cyber-Abwehr zu nutzen.
Weiterführende Information
Info über XDR von CrowdStrike: www.crowdstrike.com/cybersecurity-101/what-is-xdr/
Der Beitrag Time to Respond verkürzen mit XDR erschien zuerst auf Tec-Bite.