Extended Detection and Response (XDR) ist eine offene Architektur für Cybersicherheit, die Sicherheitstools integriert und Sicherheitsvorgänge über alle Sicherheitsebenen hinweg vereinheitlicht – Benutzer, Endpunkte, E-Mail, Anwendungen, Netze, Cloud-Workloads und Daten. Mit XDR können Sicherheitslösungen, die nicht zwangsläufig für eine Zusammenarbeit ausgelegt sind, bei der Prävention, Erkennung, Untersuchung und Reaktion auf Bedrohungen nahtlos ineinandergreifen.

XDR beseitigt Transparenzlücken zwischen Sicherheitstools und -ebenen und ermöglicht es überlasteten Sicherheitsteams, Bedrohungen schneller und effizienter zu erkennen und zu beheben sowie vollständigere, kontextbezogene Daten zu erfassen, um bessere Sicherheitsentscheidungen zu treffen und zukünftige Cyberangriffe zu verhindern.

Der Begriff XDR wurde bereits 2018 definiert, doch seitdem wird das Thema XDR von Sicherheitsexperten und Branchenanalysten in immer neuen Facetten betrachtet. So beschrieben viele Sicherheitsexperten XDR zunächst als „gedoptes“ Endpoint Detection and Response (EDR), das alle Sicherheitsebenen des Unternehmens abdeckt. Inzwischen sind Experten jedoch der Meinung, dass das Potenzial von XDR weit über die Summe der integrierten Tools und Funktionen hinausgeht. Sie verweisen auf Vorteile wie die durchgängige Transparenz von Bedrohungen, eine einheitliche Schnittstelle und optimierte Workflows für die Erkennung, Untersuchung und Reaktion auf Bedrohungen.

Darüber hinaus haben Analysten und Anbieter XDR-Lösungen entweder als natives XDR kategorisiert, das nur die Sicherheitstools des Lösungsanbieters integriert, oder als offenes XDR, das alle Sicherheitstools im Sicherheitsökosystem eines Unternehmens unabhängig vom Anbieter integriert. Allerdings wird immer deutlicher, dass Sicherheitsteams und Security Operations Centers (SOCs) in Unternehmen erwarten, dass selbst native XDR-Lösungen offen sind und die Flexibilität bieten, Sicherheitstools von Drittanbietern zu integrieren, die sie bereits nutzen oder in Zukunft nutzen möchten.

Heutzutage werden Unternehmen von hochentwickelten Bedrohungen (auch Advanced Persistent Threats genannt) regelrecht überrollt. Diese Bedrohungen sind in der Lage, Endpunkt-Präventionsmaßnahmen zu umgehen und sich wochen- oder monatelang im Netz zu verstecken – sie wandern hin und her, verschaffen sich Berechtigungen, stehlen Daten und sammeln Informationen aus den verschiedenen Schichten der IT-Infrastruktur, um einen groß angelegten Angriff oder eine Datenverletzung vorzubereiten. Viele der schädlichsten und kostspieligsten Cyberangriffe und Datenschutzverletzungen – Ransomware-Angriffe, Kompromittierung von Geschäfts-E-Mails (BEC), DDoS-Angriffe (Distributed Denial of Service), Cyberspionage – sind Beispiele für hochentwickelte Bedrohungen.

Unternehmen haben sich mit einer Vielzahl von Cybersicherheits-Tools und -Technologien ausgestattet, um diesen Bedrohungen entgegenzuwirken und die von Cyberkriminellen genutzten Angriffsvektoren bzw. -methoden zu unterbinden. Einige dieser Tools sind auf bestimmte Infrastrukturebenen ausgerichtet, andere sammeln Protokolldaten und Telemetrie über mehrere Ebenen hinweg.

In den meisten Fällen sind diese Tools isoliert – sie kommunizieren nicht miteinander. Die Sicherheitsteams müssen daher die Warnmeldungen manuell korrelieren, um tatsächliche Vorfälle von Fehlalarmen zu unterscheiden, und die Vorfälle nach Schweregrad einzustufen  – und sie manuell zu koordinieren, um Bedrohungen abzuschwächen und zu beseitigen. Laut der IBM Cyber Resilient Organization Study 2021 gaben 32 % der Unternehmen an, 21 bis 30 einzelne Sicherheitstools als Reaktion auf jede Bedrohung zu verwenden; 13 % der Unternehmen berichteten, 31 oder mehr Tools zu verwenden.

Daher dauert die Erkennung und Eindämmung hochentwickelter Bedrohungen zu lange. Aus dem IBM Bericht „Cost of a Data Breach 2022“ geht hervor, dass es im Durchschnitt 277 Tage dauerte, bis eine Datenschutzverletzung entdeckt und behoben war. Ausgehend von diesem Durchschnittswert würde eine Sicherheitsverletzung, die am 1. Januar auftrat, erst am 4. Oktober behoben sein.

Durch das Aufbrechen der Silos zwischen schichtenspezifischen Lösungen bietet  XDR überlasteten Sicherheitsteams und SOCs die End-to-End-Transparenz und -Integration, die sie benötigen, um Bedrohungen schneller zu erkennen, auf sie zu reagieren und sie schneller zu beheben – und um den von ihnen verursachten Schaden zu minimieren.

In der relativ kurzen Zeit seit seiner Einführung hat XDR bereits einiges bewirkt. Laut „Cost of a Data Breach 2022“ haben Unternehmen, die XDR einsetzen, den Lebenszyklus von Datenschutzverletzungen um 29 % verkürzt und die Kosten für Datenschutzverletzungen im Vergleich zu Unternehmen ohne XDR um durchschnittlich 9 % senken können.

XDR wird normalerweise als cloudbasierte oder Software-as-a-Service(SaaS)-Lösung genutzt; der Branchenanalyst Gartner definiert XDR als „SaaS-basiert“. XDR kann auch die Kerntechnologie eines Anbieters von Cloud- oder Sicherheitslösungen sein, der Managed Detection and Response (MDR) anbietet.

XDR-Sicherheitslösungen können integrieren:

• Einzelne Sicherheitstools (oder Punktlösungen) wie Antivirus, User and Entity Behaviour Analytics (UEBA) oder Firewalls;
  
  
• Layerspezifische Sicherheitslösungen wie EDR, Endpoint Protection Platforms (EPPs), Network Detection and Response (NDR) oder Network Traffic Analysis (NTA);
  
  
• Lösungen, die Daten sammeln oder Workflows über Sicherheitsschichten hinweg koordinieren, einschließlich Security Information and Event Management (SIEM) oder Security Orchestration, Automation and Response (SOAR).
   

Kontinuierliche Datenerfassung

XDR sammelt Protokolldaten und Telemetriedaten von allen integrierten Sicherheitstools und erstellt so eine fortlaufend aktualisierte Aufzeichnung aller Vorgänge in der Infrastruktur: (erfolgreiche und erfolglose) Anmeldungen, Netzverbindungen und Verkehrsflüsse, E-Mail-Nachrichten und -Anhänge, erstellte und gespeicherte Dateien, Anwendungs- und Geräteprozesse sowie Konfigurations- und Registryänderungen. XDR sammelt zudem spezifische Warnmeldungen, die von den verschiedenen Sicherheitsprodukten erzeugt werden. 

Offene XDR-Lösungen erfassen diese Daten normalerweise mithilfe einer offenen Anwendungsprogrammierschnittstelle (API). (Native XDR-Lösungen erfordern möglicherweise ein einfaches Datenerfassungstool oder einen Agenten, der auf Geräten und Anwendungen installiert wird.) Alle gesammelten Daten werden normalisiert und in einer zentralen cloudbasierten Datenbank oder einem Data-Lake gespeichert. 

Echtzeitanalyse und Bedrohungserkennung

XDR verwendet erweiterte Analyse und Algorithmen für maschinelles Lernen, um Muster zu identifizieren, die auf bekannte Bedrohungen oder verdächtige Aktivitäten in Echtzeit hinweisen, sobald diese auftreten.

Zu diesem Zweck korreliert XDR Daten und Telemetriedaten über die verschiedenen Infrastrukturebenen hinweg mit Daten von Threat Intelligence Services, die kontinuierlich aktualisierte Informationen über neue und jüngste Cyberbedrohungen, Vektoren und mehr liefern. Bei den Threat Intelligence Services kann es sich um proprietäre (vom  XDR-Anbieter betriebene), Drittanbieter- oder Community-basierte Dienste handeln. Die meisten XDR-Lösungen verknüpfen die Daten auch mit MITRE ATT&CK, einer frei zugänglichen globalen Wissensdatenbank zu Cyberbedrohungstaktiken und -techniken von Hackern.

XDR-Analysen und Algorithmen für maschinelles Lernen können auch eigene Untersuchungen durchführen, indem sie Echtzeitdaten mit historischen Daten und etablierten Baselines vergleichen, um verdächtige Aktivitäten, abweichendes Verhalten von Endbenutzern und alles, was auf einen Vorfall oder eine Bedrohung der Cybersicherheit hinweisen könnte, zu identifizieren. Sie können außerdem die „Signale“ oder legitimen Bedrohungen vom „Rauschen“ der Fehlalarme trennen, sodass sich Sicherheitsanalysten auf die wirklich wichtigen Vorfälle konzentrieren können. Der vielleicht wichtigste Aspekt ist, dass die maschinellen Lernalgorithmen kontinuierlich aus den Daten lernen, um Bedrohungen im Laufe der Zeit immer besser zu erkennen.

XDR fasst wichtige Daten und Analyseergebnisse in einer zentralen Verwaltungskonsole zusammen, die auch als Benutzeroberfläche (UI) der Lösung dient. Von der Konsole aus haben die Mitglieder des Sicherheitsteams einen vollständigen Überblick über alle sicherheitsrelevanten Vorgänge im gesamten Unternehmen und können überall in der erweiterten Infrastruktur Untersuchungen, Reaktionen auf Bedrohungen und Abhilfemaßnahmen einleiten.
 

Automatisierte Erkennungs- und Reaktionsmöglichkeiten

Dank der Automatisierung ist XDR in der Lage, schnell zu reagieren. Basierend auf vom Sicherheitsteam vordefinierten Regeln – oder im Laufe der Zeit von maschinellen Lernalgorithmen erlernt – ermöglicht XDR automatisierte Reaktionen, die zur schnelleren Erkennung und Behebung von Bedrohungen beitragen, während sich die Sicherheitsanalysten auf wichtigere Aufgaben konzentrieren können. XDR kann z. B. folgende Aufgaben automatisieren:

• Einstufung und Priorisierung von Alarmen nach Schweregrad;
  
  
• Trennen oder Herunterfahren betroffener Geräte, Abmelden von Benutzern vom Netz, Anhalten von System-/Anwendungs-/Geräteprozessen und Abschalten von Datenquellen;
  
  
• Antiviren- oder Anti-Malware-Software auslösen, um andere Endpunkte im Netz auf dieselbe Bedrohung zu scannen;
  
  
• Auslösen von entsprechenden SOAR-Playbooks zur Reaktion auf einen Vorfall (automatisierte Workflows, die mehrere Sicherheitsprodukte als Reaktion auf einen bestimmten Sicherheitsvorfall koordinieren).  

XDR kann auch die Untersuchung von Bedrohungen und Abhilfemaßnahmen automatisieren (siehe nächster Abschnitt). All diese Automatisierungen helfen den Sicherheitsteams, schneller auf Vorfälle zu reagieren und den Schaden abzuwenden oder zu begrenzen.
 

Untersuchung und Behebung von Bedrohungen

Sobald eine Bedrohung isoliert ist, bieten XDR-Plattformen Funktionen, mit denen Sicherheitsanalysten die Bedrohung weiter untersuchen können. Beispielsweise helfen forensische Analysen Sicherheitsanalysten dabei, die Ursache einer Bedrohung zu lokalisieren, die verschiedenen betroffenen Dateien zu ermitteln und die Schwachstelle(n) zu identifizieren, die der Angreifer ausgenutzt hat, um in das Netz einzudringen und sich im Netz zu bewegen, Zugriff auf Authentifizierungsdaten zu erhalten oder andere böswillige Aktivitäten durchzuführen.

Ausgestattet mit diesen Informationen können Analysten Tools zur Behebung abstimmen, um die Bedrohung zu beseitigen. Behebung könnte Folgendes beinhalten:

• Zerstörung schädlicher Dateien und deren Löschung von Endpunkten, Servern und Netzgeräten;
  
  
• Wiederherstellung beschädigter Geräte- und Anwendungskonfigurationen, Registrierungseinstellungen, Daten und Anwendungsdateien;
  
  
• Anwenden von Updates oder Patches zur Beseitigung von Schwachstellen, die zu dem Vorfall geführt haben;
  
  
• Aktualisierung von Erkennungsregeln, um eine Wiederholung des Vorfalls zu verhindern.
   

Unterstützung für die Bedrohungssuche

Bedrohungssuche bzw. Threat Hunting (auch Cyberthreat Hunting genannt) ist eine proaktive Sicherheitsmaßnahme, bei der ein Sicherheitsanalyst das Netz nach noch unbekannten Bedrohungen oder bekannten Bedrohungen durchsucht, die noch von den automatisierten Cybersicherheitstools des Unternehmens erkannt oder behoben werden müssen.

Nochmals sei darauf hingewiesen, dass sich hochentwickelte Bedrohungen monatelang verstecken können, bevor sie entdeckt werden, und sich auf einen breit angelegten Angriff oder einen Sicherheitsverstoß vorbereiten. Eine effektive und rechtzeitige Bedrohungssuche kann die Zeit verkürzen, die zum Erkennen und Beheben dieser Bedrohungen benötigt wird, und den durch den Angriff verursachten Schaden begrenzen oder verhindern.

Sicherheitsspezialisten für Cyberbedrohungen verwenden eine Vielzahl von Taktiken und Techniken, von denen die meisten auf denselben Datenquellen, Analyse-und Automatisierungsfunktionen beruhen, die XDR für die Erkennung, Beantwortung und Behebung von Bedrohungen verwendet. Beispielsweise möchte ein Sicherheitsspezialist für Cyberbedrohungen basierend auf forensischen Analysen oder MITRE ATT&CK-Daten, die die Methoden eines bestimmten Angreifers beschreiben, nach einer bestimmten Datei, Konfigurationsänderung oder einem anderen Artefakt suchen.

Zur Unterstützung dieser Bemühungen stellt XDR seine Analyse- und Automatisierungsfunktionen Sicherheitsanalysten über UI-gesteuerte oder programmatische Methoden zur Verfügung, damit sie Ad-hoc-Suchdatenabfragen, Korrelationen zu Bedrohungsinformationen und andere Untersuchungen durchführen können. Manche XDR-Lösungen enthalten Tools, die speziell für die Bedrohungssuche entwickelt wurden, wie z. B. einfache Scriptsprachen (für die Automatisierung allgemeiner Aufgaben) und sogar Tools für Abfragen in natürlicher Sprache.