Extended Detection and Response (XDR) ist eine offene Cybersicherheits-Architektur, die Sicherheitstools integriert und Sicherheitsoperationen auf allen Sicherheitsebenen vereinheitlicht – Benutzer, Endgeräte, E-Mails, Anwendungen, Netze, Cloud-Workloads und Daten. Mit XDR können Sicherheitslösungen, die nicht unbedingt aufeinander abgestimmt sind, bei der Verhinderung, Erkennung, Untersuchung und Abwehr von Bedrohungen nahtlos zusammenarbeiten.

XDR beseitigt Sichtbarkeitslücken zwischen Sicherheitstools und -ebenen und ermöglicht es überlasteten Sicherheitsteams, Bedrohungen schneller und effizienter zu erkennen und zu beseitigen und vollständigere, kontextbezogene Daten zu erfassen, um bessere Sicherheitsentscheidungen zu treffen und zukünftige Cyberangriffe zu verhindern.

XDR wurde erstmals 2018 definiert, aber die Art und Weise, wie Sicherheitsexperten und Branchenanalysten über XDR sprechen, hat sich seither rasant weiterentwickelt. Viele Sicherheitsexperten beschreiben XDR als besonders intensives Endpoint Detection and Response (EDR), die auf alle Sicherheitsebenen des Unternehmens ausgedehnt ist. Doch heute sehen Experten das Potenzial von XDR als viel mehr als die Summe der Tools und Funktionen, die es integriert. Sie betonen Vorteile wie die durchgängige Sichtbarkeit von Bedrohungen, eine einheitliche Schnittstelle und optimierte Workflows für die Erkennung, Untersuchung und Reaktion auf Bedrohungen.

Außerdem haben Analysten und Anbieter XDR-Lösungen entweder als natives XDR kategorisiert, das nur die Sicherheitstools des Lösungsanbieters integriert, oder als offenes XDR, das alle Sicherheitstools im Sicherheitsökosystem eines Unternehmens unabhängig vom Anbieter integriert. Es wird jedoch immer deutlicher, dass Sicherheitsteams in Unternehmen und Security Operations Centers (SOCs) erwarten, dass selbst native XDR-Lösungen offen sind und die Flexibilität bieten, Sicherheitstools von Drittanbietern zu integrieren, die sie bereits nutzen oder in Zukunft nutzen möchten.

Heutzutage werden Unternehmen von hochentwickelten Bedrohungen (auch fortschrittliche persistente Bedrohungen genannt) bombardiert. Diese Bedrohungen schleichen sich an den Schutzmaßnahmen für Endgeräte vorbei und lauern wochen- oder monatelang im Netzwerk – sie bewegen sich, verschaffen sich Berechtigungen, stehlen Daten und sammeln Informationen aus den verschiedenen Schichten der IT-Infrastruktur, um sich auf einen groß angelegten Angriff oder eine Datenschutzverletzung vorzubereiten. Viele der schädlichsten und kostspieligsten Cyberangriffe und Datenschutzverletzungen – Ransomware-Angriffe, Kompromittierung von Geschäfts-E-Mails (BEC), Distributed Denial-of-Service (DDoS)-Angriffe, Cyberspionage – sind Beispiele für fortgeschrittene Bedrohungen.

Unternehmen haben sich mit einer Vielzahl von Cybersicherheits-Tools und -Technologien bewaffnet, um diese Bedrohungen zu bekämpfen und die Angriffsvektoren oder -methoden zu schließen, die Cyberkriminelle für ihre Angriffe nutzen. Einige dieser Tools konzentrieren sich auf bestimmte Infrastrukturebenen, andere sammeln Protokoll- und Telemetriedaten über mehrere Ebenen hinweg.

In den meisten Fällen sind diese Tools isoliert – sie kommunizieren nicht miteinander. So müssen die Sicherheitsteams die Warnmeldungen manuell korrelieren, um die tatsächlichen Vorfälle von den Fehlalarmen zu unterscheiden, und die Vorfälle nach Schweregrad einstufen – und manuell koordinieren, um die Bedrohungen abzuschwächen und zu beseitigen. Laut der IBM's Cyber Resilient Organization Study 2021 gaben 32 % der Unternehmen an, 21 bis 30 einzelne Sicherheitstools als Reaktion auf jede Bedrohung einzusetzen; 13 % gaben an, 31 oder mehr Tools zu verwenden.

Daher dauert es zu lange, bis fortschrittliche Bedrohungen erkannt und eingedämmt sind. Der Bericht Cost of a Data Breach 2022  von IBM zeigt, dass die durchschnittliche Datenverletzung 277 Tage dauerte, um sie zu erkennen und zu beheben. Auf der Grundlage dieses Durchschnitts würde ein Verstoß, der am 1. Januar stattfand, erst am 4. Oktober behoben sein.

Durch das Aufbrechen der Silos zwischen schichtenspezifischen Einzellösungen verspricht XDR überlasteten Sicherheitsteams und SOCs die End-to-End-Transparenz und -Integration, die sie benötigen, um Bedrohungen schneller zu erkennen, schneller darauf zu reagieren und sie schneller zu beseitigen – und um den Schaden zu minimieren, den sie verursachen.

In der relativ kurzen Zeit seit seiner Einführung hat XDR bereits einiges bewirkt. Laut Cost of a Data Breach 2022 haben Unternehmen, die XDR bereitstellen, den Lebenszyklus von Datenschutzverletzungen um 29 Jahre verkürzt und die Kosten für Datenschutzverletzungen im Vergleich zu Unternehmen ohne XDR um durchschnittlich 9 % gesenkt.

XDR wird in der Regel als cloudbasierte oder Software-as-a-Service (SaaS)-Lösung genutzt; ein Branchenanalyst, Gartner, definiert XDR als „SaaS-basiert“. Es kann auch die Kerntechnologie sein, die das MDR-Angebot (Managed Detection and Response) eines Anbieters von Cloud- oder Sicherheitslösungen antreibt.

XDR-Sicherheitslösungen können Folgendes integrieren:

• Einzelne Sicherheitstools (oder Punktlösungen) wie Antivirus, Analyse des Benutzer- und Entitätsverhaltens (User and Entity Behavior Analytics, UEBA) oder Firewalls;
  
  
• Layer-spezifische Sicherheitslösungen wie EDR, Endgeräte-Schutzplattformen (Endpoint Protection Platforms, EPPs), Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) oder Netzwerkverkehrsanalyse (Network Traffic Analysis, NTA);
  
  
• Lösungen, die Daten sammeln oder Arbeitsabläufe über Sicherheitsschichten hinweg koordinieren, einschließlich Security Information and Event Management (SIEM) oder Security Orchestration, Automation and Response (SOAR).
   

Kontinuierliche Datenerfassung

XDR sammelt Protokolldaten und Telemetriedaten von allen integrierten Sicherheitstools und erstellt so eine fortlaufend aktualisierte Aufzeichnung aller Vorgänge in der Infrastruktur - erfolgreiche und erfolglose Anmeldungen, Netzwerkverbindungen und Verkehrsflüsse, E-Mail-Nachrichten und -Anhänge, erstellte und gespeicherte Dateien, Anwendungs- und Geräteprozesse, Konfigurations- und Registrierungsänderungen. XDR sammelt auch spezifische Warnmeldungen, die von den verschiedenen Sicherheitsprodukten generiert werden. 

Offene XDR-Lösungen sammeln diese Daten in der Regel über eine offene Anwendungsprogrammierschnittstelle oder API. (Native XDR-Lösungen erfordern möglicherweise ein schlankes Datenerfassungstool oder einen Agenten, der auf Geräten und Anwendungen installiert wird.) Alle gesammelten Daten werden normalisiert und in einer zentralen cloudbasierten Datenbank oder einem Data Lake gespeichert. 

Analyse und Erkennung von Bedrohungen in Echtzeit

XDR verwendet fortschrittliche Analysen und Algorithmen des maschinellen Lernens, um Muster, die auf bekannte Bedrohungen oder verdächtige Aktivitäten hindeuten, in Echtzeit zu erkennen, während sie sich entwickeln.

Dazu korreliert XDR Daten und Telemetrie über die verschiedenen Infrastrukturebenen hinweg mit Daten aus Threat-Intelligence Services, die kontinuierlich aktualisierte Informationen zu neuen und jüngsten Cyberbedrohungstaktiken, Vektoren und mehr liefern. Threat-Intelligence-Services können proprietär (vom EDR-Anbieter betrieben), von Drittanbietern oder Community-basiert sein. Die meisten XDR-Lösungen ordnen die Daten auch dem MITRE ATT&CK zu, einer frei zugänglichen globalen Wissensbasis über die Taktiken und Techniken von Hackern bei Cyberbedrohungen.

XDR-Analysen und Algorithmen für maschinelles Lernen können auch eigene Nachforschungen anstellen und Echtzeitdaten mit historischen Daten und etablierten Basisdaten vergleichen, um verdächtige Aktivitäten, abweichendes Endbenutzerverhalten und alles, was auf einen Cybersicherheitsvorfall oder eine Bedrohung hinweisen könnte, zu identifizieren. Außerdem können sie die „Signale“, also die legitimen Bedrohungen, vom „Rauschen“ der Falschmeldungen trennen, sodass sich die Sicherheitsanalysten auf die wirklich wichtigen Vorfälle konzentrieren können. Am wichtigsten ist vielleicht, dass die maschinellen Lernalgorithmen kontinuierlich aus den Daten lernen, um Bedrohungen mit der Zeit immer besser zu erkennen.

XDR fasst wichtige Daten und Analyseergebnisse in einer zentralen Verwaltungskonsole zusammen, die gleichzeitig als Benutzeroberfläche (User Interface, UI) für die Lösung dient. Von der Konsole aus erhalten die Mitglieder des Sicherheitsteams einen vollständigen Überblick über alle Endgeräte und Sicherheitsprobleme im gesamten Unternehmen und können Untersuchungen, Reaktionen auf Bedrohungen und Abhilfemaßnahmen überall in der erweiterten Infrastruktur einleiten.
 

Automatisierte Erkennungs- und Antwortfunktionen

Automatisierung stellt die schnelle Reaktion in XDR dar. Auf der Grundlage vordefinierter Regeln, die vom Sicherheitsteam festgelegt werden – oder die im Laufe der Zeit von Algorithmen des maschinellen Lernens „gelernt“ werden – ermöglicht XDR automatisierte Reaktionen, die dazu beitragen, die Erkennung und Behebung von Bedrohungen zu beschleunigen, so dass sich die Sicherheitsanalysten verstärkt auf wichtigere Aufgaben konzentrieren können. XDR kann folgende Aufgaben automatisieren:

• Sortierung und Priorisierung von Alarmen nach Schweregrad;
  
  
• Trennen oder Herunterfahren der betroffenen Geräte, Abmelden der Benutzer vom Netzwerk, Anhalten von System-/Anwendungs-/Geräteprozessen und Abschalten von Datenquellen;
  
  
• Antivirus-/Anti-Malware-Software starten, um andere Endgeräte im Netzwerk auf dieselbe Bedrohung zu scannen;
  
  
• Auslösen relevanter SOAR-Playbooks zur Reaktion auf Vorfälle (automatisierte Workflows, die mehrere Sicherheitsprodukte als Reaktion auf einen bestimmten Sicherheitsvorfall orchestrieren).  

XDR kann auch die Untersuchung und Beseitigung von Bedrohungen automatisieren (siehe nächster Abschnitt). All diese Automatisierung hilft den Sicherheitsteams, schneller auf Vorfälle zu reagieren und den Schaden zu verhindern oder zu minimieren.
 

Untersuchung und Sanierung von Sicherheitsbedrohungen

Sobald eine Sicherheitsbedrohung isoliert ist, bieten XDR-Plattformen Funktionen, die Sicherheitsanalysten zur weiteren Untersuchung der Bedrohung nutzen können. So helfen forensische Analysen und Rückverfolgungsberichte den Sicherheitsanalysten, die Ursache einer Bedrohung zu ermitteln, die verschiedenen betroffenen Dateien zu identifizieren und die Schwachstelle oder die Schwachstellen zu identifizieren, die der Angreifer ausgenutzt hat, um in das Netzwerk einzudringen, sich Zugang zu Authentifizierungsdaten zu verschaffen oder andere bösartige Aktivitäten durchzuführen.

Anhand dieser Informationen können Analysten Abhilfemaßnahmen koordinieren, um die Bedrohung zu beseitigen. Die Sanierung kann Folgendes umfassen:

• Vernichtung bösartiger Dateien und deren Löschung von Endgeräten, Servern und Netzwerkgeräten;
  
  
• Wiederherstellung beschädigter Geräte- und Anwendungskonfigurationen, Registry-Einstellungen, Daten und Anwendungsdateien;
  
  
• Anwenden von Updates oder Patches zur Beseitigung von Schwachstellen, die zum Vorfall geführt haben;
  
  
• Aktualisierung der Erkennungsregeln, um ein erneutes Auftreten zu verhindern.
   

Unterstützung bei der Bedrohungsjagd

Die Bedrohungsjagd (auch Cyberthreat Hunting genannt) ist eine proaktive Sicherheitsübung, bei der ein Sicherheitsanalyst das Netzwerk nach noch unbekannten Bedrohungen oder bekannten Bedrohungen durchsucht, die noch nicht von den automatisierten Cybersicherheits-Tools des Unternehmens erkannt oder beseitigt wurden.

Auch hier gilt, dass fortschrittliche Bedrohungen monatelang lauern können, bevor sie entdeckt werden, und sich auf einen groß angelegten Angriff oder eine Sicherheitsverletzung vorbereiten. Eine effektive und rechtzeitige Suche nach Bedrohungen kann die Zeit verkürzen, die benötigt wird, um diese Bedrohungen zu finden und zu beseitigen, was den Schaden durch den Angriff begrenzen oder verhindern kann.

Bedrohungsjäger verwenden eine Vielzahl von Taktiken und Techniken, von denen sich die meisten auf dieselben Datenquellen, Analysen und Automatisierungsfunktionen stützen, die auch XDR für die Erkennung von Bedrohungen, die Reaktion darauf und die Sanierung von Problemen nutzt. Ein Analyst, der auf der Suche nach Bedrohungen ist, könnte zum Beispiel nach einer bestimmten Datei, einer Konfigurationsänderung oder einem anderen Artefakt auf der Grundlage forensischer Analysen oder MITRE ATT&CK-Daten suchen, die die Methoden eines bestimmten Angreifers beschreiben.

Um diese Bemühungen zu unterstützen, stellt XDR seine Analyse- und Automatisierungsfunktionen Sicherheitsanalysten über die Benutzeroberfläche oder programmgesteuert zur Verfügung, so dass diese Ad-hoc-Suchen, Datenabfragen, Korrelationen zu Bedrohungsdaten und andere Untersuchungen durchführen können. Einige XDR-Lösungen enthalten Tools, die speziell für die Bedrohungsjagd entwickelt wurden, wie z. B. einfache Skriptsprachen (zur Automatisierung gängiger Aufgaben) und sogar Tools zur Abfrage natürlicher Sprache.