XDR: Neue Möglichkeiten im Kampf gegen Cyber Angriffe

Bei der Überwachung von Netzwerken geht es hin und wieder zu, wie bei der Suche nach der Nadel im Heuhaufen. Es wird eine riesige Anzahl an Daten gesammelt, die schwierig auszuwerten ist, um eine aktuelle Bedrohung zu finden. Mit XDR (Extended Detection and Response) hält eine Technologie in die Cyber-Abwehr Einzug, die mithilfe einer KI, die Daten analysiert und auf Bedrohungen aufmerksam macht.

 

Die klassische Endpoint-Protection-Lösung

 

Seit über 40 Jahren liefert Antivirensoftware einen Schutz vor Computerviren. Während dieser Zeit wurde sie ständig weiterentwickelt, um gegen die APTs (Advanced Persistent Threats) aus dem Netz mitzuhalten. Der Schutz besteht im Wesentlichen aus einer Plattform, die Virenscanner, Firewall und DLP (Data Loss Prevention) zur Verfügung stellt.

 

Die Programme bedienen sich dabei des EDRs (Endpoint Detection and Response), um eingehende Bedrohungen abzuwehren. Durch die Unterstützung der technischen Lösung durchsuchen die Programme die Endpunkte, um Anomalien im Prozess aufzudecken. Dies kommt besonders den Administratoren eines Netzwerks zugute, die frühzeitig eingreifen können, wenn eine Abweichung vorliegt.

 

Atera bietet eine solche cloudbasierte Plattform, die über Remote Monitoring & Management (RMM), Professional Service Automation (PSA) und IT-Fernzugriff verfügt. Auf diese Weise kann ein Unternehmen bei Anzeichen einer Gefahr direkt auf die Quelle zugreifen und seine Daten schützen. Dieser Schutz wird durch die XDR-Technologie erweitert.

 

Wie die XDR-Technologie funktioniert

 

Im Grunde erhöht XDR die Sichtbarkeit in einem Netzwerk, indem es die Daten nicht nur analysiert, sondern auch bewertet. Zusätzlich zieht es IoT, VM, Server und Container in die Beobachtung mit ein. Die größte Herausforderung dabei ist, normales Verhalten von anomalen zu unterscheiden. Für diese Parameter fehlt es allerdings an genügend Daten, um 100-prozentig sicher zu sein.

 

In der Cyberkriminalität ändern sich ständig die Daten, was es schwierig macht, sie zu bewerten. Eine Malware wird beispielsweise an seiner Signatur erkannt und verschwindet nach einem Update wieder von der Bildoberfläche. Daran kann XDR nicht viel ändern, aber die Technologie ist in einem Punkt besser als EDR. Sie sammelt Daten und „lernt“ aus dem Verhalten des Systems.

 

Die KI sammelt, verbindet und sichert die Daten, die sie von der IT-Umgebung erhält. Daraus lassen sich Berichte erstellen, die erkennen, wie ein System arbeitet. Zusätzlich bezieht sie aus anderen Quellen, wie aus dem Bereich des Open Source und der kommerziellen Anbieter, Informationen über Bedrohungen. Die Merkmale der Gefahren liefern der KI eine bessere Einschätzung über die Anomalien.

 

Die Unterschiede zwischen XDR und EDR

 

XDR unterscheidet sich hauptsächlich von EDR darin, dass es bei der Abwehr nicht nur die Endpunkt-Ebene berücksichtigt – viel eher beobachtet es das gesamte IT-System. Zusammengefasst reagiert es auf Bedrohungen, die im Endpunkt, Netzwerk und der Cloud vorkommen und dadurch einen umfassenderen Schutz als EDR bietet.

 

Ein weiterer Punkt in dem Erkennen von Gefahren ist die Reconnaissance-Phase. In ihr werden so viele Informationen wie möglich über einen bevorstehenden Angriff gesammelt. Dies erledigt XDR durch das Abfragen von Datenbanken, die von Dritten stammen. So können Angriffe, die auf andere Unternehmen passiert sind, mit denen verglichen werden, die im eigenen passiert sind. Leider reicht der bloße Vergleich nicht aus, auch wenn er der Gefahrenabwehr ein Stückchen näher kommt.

 

Hier kommt die KI ins Spiel, die den größten Vorteil gegenüber des EDR-Konzepts ausmacht. Es gilt nämlich zu verstehen, wie ein spezifischer Angriff ausgeführt wird und nicht, wie er aussieht. Die KI kann durch Machine-Learning die Algorithmen im IT-System besser einschätzen und auf diese Weise eine Abweichung feststellen. Eindringlinge, die früher unentdeckt blieben, werden automatisch erkannt.

 

Fazit

 

Es steht außer Frage, dass XDR als neues Konzept sich in der IT-Sicherheit etablieren wird. Sie ist eine Weiterentwicklung einer bewährten Technologie und findet Antworten auf Probleme, die bisher nicht lösbar waren. Was den Schein etwas trübt, ist der Umstand, dass auch die Gegenseite sich entwickelt und nie eine Maßnahme gefunden wird, die alles sicher macht. Hier zeigt sich auch, dass XDR etwas hinterherhinkt und die Vernetzung verbessert werden muss, um auf die zukünftigen Gefahren vorbereitet zu sein.