Skip to main content

EDR und XDR

11 August 2021

Steigende Komplexität in der Informationsverarbeitung eröffnet Cyberkriminellen immer wieder Optionen, sich Zugang zu Daten und Systemen zu verschaffen. Die aktuelle Antwort der Cybersecurity auf diese Bedrohung ist XDR (Extended Detection and Response) sowie EDR (Endpoint Detection and Response).

Der klassische Perimeter um die IT-Infrastruktur hat nicht ausgedient, aber aufgrund der Vermaschung der Prozesse und Daten mit Cloud-Services, Partnerfirmen sowie der kontinuierlichen Weiterentwicklung der Services müssen die Perimeterthemen wie Schutz, Erkennung, Nachvollziehbarkeit und Kontrolle auf die Endpoints ausgeweitet werden.
Die klassischen Endpoint-Protection-Plattformen wurden nicht konzipiert, um Zusammenhänge in Angriffsketten zu korrelieren oder Gegenmassnahmen auf Endpoints einzuleiten, die im Homeoffice die Verbindung zum Firmennetz verloren haben. Dies versprechen XDR- und EDR-Lösungen – doch was ist das?
Eine EDR-Lösung analysiert laufend die Aktivitäten des Endpoints. Prozesse, DLL, Netzwerk, Disk etc. werden jederzeit ausgewertet und in Kontext gesetzt. Die EDR-Lösungen setzen den Fokus auf Erkennen, Aufzeichnen und Reagieren auf einen Angriff, während die älteren, teilweise noch signaturbasierten Endpoint-Protection-Lösungen ausschliesslich auf Angriffsverhinderung ausgelegt sind. Während die klassische Lösung eine Malware blockiert und einfach alarmiert, liefern moderne EDR-Lösungen detaillierte Reports über den Angriffsverlauf, IoC (Indicator of Compromise) und eine Einschätzung der Kritikalität. Damit unterstützt das Tool die Prozesse der Security Operation Center unmittelbar und entlastet die Mitarbeitenden.

„Wie unterscheidet sich XDR von EDR?“

Beim EDR steht der Endpunkt im Zentrum der Analyse. Werden mehrere hundert oder tausend Endpunkte betrieben, kann es zu einer Vielzahl von Alarmen führen, die von SOC-Analysten einzeln unter Anwendung von spezifischem Fachwissen zeitaufwändig analysiert werden müssen. XDR, Extended Detection and Response verknüpfen die Endpunkte mit Netzelementen und Cloud-Anwendungen mit dem Ziel, die Analysen weiter zu korrelieren und zu automatisieren. Zusammenhänge, beispielsweise der Empfang einer E-Mail, die Malware enthält, die darauf folgende Infektion, das Nachladen des Payloads, eine mögliche laterale Ausbreitung und eine Kommunikation mit einem Command-and-Control-System wird im XDR zu einem aggregierten Incident zusammengefasst und kann als solcher von den SOC-Spezialisten effizient bearbeitet werden. Neben dem klaren Lagebild hilft das XDR beim Einleiten
und Durchsetzen der Gegenmassnahmen und damit der Beseitigung des Vorfalls.

Integration des XDR in die Systemlandschaft

Damit die XDR-Lösung alle relevanten Informationen korrelieren kann, ist eine vollständige Integration in die Systemlandschaft erforderlich. Logdaten von (Cloud-) Applikationen, Infrastruktursystemen wie Gateways und Proxies sowie externe Threat-Intelligence-Informationen müssen bei der Evaluation berücksichtigt und bei der Inbetriebnahme angebunden werden. Die Investitionen in die bestehenden Massnahmen werden durch XDR nicht obsolet – durch die Zusammenführung der Daten ist der Nutzen der Investitionen deutlich grösser.

XDR vs. SIEM

Während bei der Datenaggregation grosse Parallelen von SIEM und XDR bestehen, unterscheiden sie sich bei der automatisierten Erkennung und der Reaktion auf Angriffe. SIEM-Systeme erfordern in der Regel eine manuelle Bearbeitung von Vorfällen. Nur wenige Use-Case werden automatisiert beantwortet. Ist ein SIEM bereits eingeführt, können dessen Daten durch XDR-Systeme verwendet werden und vervollständigen dadurch die Korrelation.

Künstliche Intelligenz und Machine Learning in XDR

Künstliche Intelligenz (KI) und Machine Learning (ML) sind in den Marketingfolien der Anbieter von IT-Lösungen omnipräsent. Tatsächlich liegt in der Verarbeitung von Logdaten ein sehr hohes Potenzial dieser Technologien. Der erste Grund hierfür ist, dass diese in einer schier endlosen Anzahl zum Training der Modelle vorliegen, was diese treffsicher macht. Zweitens ist der Mensch aufgrund der Datenmenge und der Variation kaum in der Lage in einer grossen Organisation mittels klassischer Filteralgorithmen den «False Positive»-Warnungen Herr zu werden. Und drittens findet in den Bereichen KI und ML eine starke Weiterentwicklung seitens Forschung und Industrie statt, was die künftigen Möglichkeiten positiv beeinflusst.

Fazit

Die Angriffsoberfläche unserer IT-Systeme wird durch Cloud, Homeoffice sowie höhere Komplexität stetig grösser, während die Abhängigkeit auf eben diese ebenfalls zunimmt. Diese Risiken müssen kontinuierlich beurteilt und mit geeigneten Massnahmen kompensiert werden. Mit Endpoint Detection and Response oder Extended Detection and Response haben wir Werkzeuge in der Hand, die auf die geänderten Voraussetzungen angepasst sind und die Effizienz und Effektivität der bestehenden SOC- und IT- Security-Spezialisten sowie der bestehenden IT-Security-Massnahmen grundlegend steigern.

Dieser Beitrag wurde am im März im Cybersecurity Special publiziert. Hier geht’s zum Beitrag