Einführung von einer XDR-Lösung

Zukunftssicherer Schutz vor Cyberangriffen vom Endgerät bis überall

Im letzten Jahr hat sich die Dynamik eines typischen Unternehmensnetzwerks vermutlich massiv verändert. Aktuelle Umfragen gehen davon aus, dass fast die Hälfte der Arbeitgeber beabsichtigen, Mitarbeitern die Möglichkeit zu geben, dauerhaft von zu Hause aus zu arbeiten

Mitarbeiter und Mitarbeiterinnen benötigen von überall aus und jederzeit Zugriff auf Unternehmensdaten, während gleichzeitig die Zahl und Komplexität von Cyberangriffen weiter zunimmt. Das gilt für Ransomware-Attacken ebenso wie für Angriffe, bei denen Daten abgezogen werden sowie für Cryptomining-Angriffe auf Cloud-Dienste und -Infrastruktur.

Anzeige

Geht es um einen singulären Angriff auf ein einzelnes Asset, sind aktuelle Endpoint Detection and Reaction (EDR)-Tools dieser Aufgabe überwiegend gewachsen. Aber ist eine Endpunkt-Technologie auch in der Lage, SIEM-Angriffe gegen sämtliche Benutzeridentitäten, Geräte und Endpunkte zu korrelieren und, was noch wichtiger ist, Angriffe dieser Art zu stoppen? 

XDR-Technologien sollten ausgeklügelte Angriffe problemlos erkennen, korrelieren und beenden, wo immer sie im Netzwerk auftreten. Herkömmliche Lösungen liefern Warnmeldungen, die möglicherweise einige Aspekte der Angriffsoperation erkennen. Warnungen allein zeigen allerdings nur einzelne Aspekte der gesamten Angriffsfolge. Teile eines Angriffs zu erkennen, mag den Angreifer zwar aufhalten, beendet aber nicht unbedingt den Angriff.

Ein rein alarmorientierter, isolierter Ansatz zum Schutz komplizierter Netzwerkinfrastrukturen mit lokalen, Hybrid-, Cloud- und mobilen Assets, erlaubt es Angreifern sich in den „Zwischenräumen“ einzunisten. Diese Tatsache macht es fast unmöglich, Angreifer aufzuspüren, zu verfolgen und unschädlich zu machen. Der Schlüssel einer leistungsfähigen XDR-Lösung liegt darin, dass sie betriebszentriert statt alarmorientiert funktionieren sollte. Über diesen Ansatz lassen sich unterschiedliche Angriffsindikatoren aus dem gesamten Netzwerk korrelieren, anstatt nur Warnungen oder Alarme zu generieren, denen der erforderliche Kontext fehlt, wenn man einen böswilligen Prozess oder Malop (malicious operation) aufdecken will. 

Worauf man bei einer XDR-Lösung achten sollte:

  • Verständnis von Bedrohungen über den Endpunkt hinaus: Eine XDR-Lösung ermöglicht es Analysten aller Qualifikationsstufen, sich schnell in die Details eines Angriffs einzuarbeiten, ohne erst komplizierte Abfragen zu erstellen. XDR ist geeignet, herkömmliche Endpoint Detection and Reaction (EDR)-Tools bis hin zu kritischen SaaS-Diensten, E-Mail und Cloud-Infrastrukturen zu erweitern.
     
  • Bedrohungen von morgen erkennen: XDR-Lösungen schaffen zum einen Transparenz und liefern zum anderen Korrelationen zwischen den Indicators of Compromise (IOCs) und wichtigen Indicators of Behavior (IOBs), die subtilere Anzeichen einer Netzwerkkompromittierung liefern. XDR erkennt so verdächtige Benutzerzugriffe und identifiziert Insider-Bedrohungen. Im Gegensatz zu SIEM- und UEBA-Korrelationen sollte die Erkennungsrate mittels XDR eine deutlich höhere korrekte Positiv-Rate zeigen und die Einschätzung eines SOC-Teams verbessern.
     
  • Automatisierte und geführte Reaktionsoptionen: XDR-Lösungen machen es Analysten einfacher, den gesamten Angriffsverlauf unmittelbar zu verstehen. Maßnahmen zur Abhilfe, wie das Beenden eines Prozesses, ein Verschieben in die Quarantäne und die Remote Shell eines Assets, sollten automatisiert ablaufen oder remote mit nur einem Klick möglich sein. Im Idealfall bietet eine XDR-Lösung robuste Automatisierungsoptionen, um aktive Bedrohungen zu beheben und kontinuierliches Threat Hunting.

www.cybereason.com
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.