Extended Detection and Response XDR ist nach wie vor verwirrend

Foto: ra2 studio – shutterstock.com

Wir diskutieren schon seit Jahren über Extended Detection and Response (XDR), aber eine grundlegende Frage bleibt bestehen: Wovon zum Teufel reden wir überhaupt? Erschreckenderweise ist dies nach wie vor eine relevante Frage. Laut einer ESG-Studie geben 62 Prozent der Sicherheitsexperten an, mit dem Begriff XDR “sehr vertraut” zu sein – im Jahr 2020 waren es nur 24 Prozent. Das ist zwar eine Steigerung, aber noch immer sind 29 Prozent nur einigermaßen, nicht sehr oder gar nicht mit XDR vertraut. Trotz den Behauptungen in der Branche hat also fast jeder fünfte Sicherheitsexperte die Botschaft noch nicht verstanden.

Keine einheitliche Definition von XDR

Was ist XDR nach Ansicht von Sicherheitsexperten? An dieser Stelle wird es interessant. Die Mehrheit (62 Prozent) derjenigen, die behaupten, mit XDR “sehr vertraut” zu sein, sagen, dass XDR eine Erweiterung der EDR-Technologie (Endpoint Detection and Response) ist. 21 Prozent halten XDR für eine Produktsuite eines einzelnen Technologieanbieters, und 16 Prozent behaupten, dass XDR eine integrierte und heterogene Sicherheitstechnologiearchitektur ist. Erstaunlich ist, dass ein Prozent derjenigen, die mit XDR “sehr vertraut” sind, mit “weiß nicht” antworteten. Das bedeutet, dass “sehr vertraut” relativ ist; Sicherheitsprofis sind mit der XDR-Definition, an die sie sich halten, “sehr vertraut”.

Bei der Untersuchung potenzieller Bereitstellungsmodelle wird das Wasser noch trüber. Von denjenigen, die angaben, mit XDR “sehr vertraut” zu sein,

• glauben 61 Prozent, dass XDR bestehende Sicherheitstechnologien ergänzen wird,

• während 37 Prozent sagen, dass XDR dazu beitragen wird, Security-Anwendungen auf einer gemeinsamen Plattform zu konsolidieren.

Bei den Sicherheitsexperten, die mit XDR nur “einigermaßen vertraut” sind, ergibt sich ein ähnliches Bild:

• 58 Prozent dieser Gruppe gehen davon aus, dass XDR die bestehenden Sicherheitstechnologien ergänzen wird,

• während 37 Prozent damit rechnen, dass XDR Security-Lösungen in einer gemeinsamen Plattform zusammenführt.

Man könnte also zu dem Schluss kommen, dass XDR die aktuellen Technologien ergänzen und konsolidieren wird, aber es bleibt die Frage, welche Technologien ergänzt und welche konsolidiert werden und in welchem Zeitrahmen.

Als ob XDR nicht schon verwirrend genug wäre, stellte die ESG auch fest, dass die Definitionen und Meinungen zu XDR je nach Unternehmens-/Organisationsgröße variieren. Von den Sicherheitsexperten, die in Unternehmen mit mehr als 10.000 Mitarbeitern arbeiten,

• sehen 34 Prozent in XDR eine Erweiterung der EDR-Technologie,

• für 24 Prozent stellt XDR eine Produktsuite eines einzelnen Technologieanbieters dar.

• 41 Prozent wiederum behaupten, dass XDR eine integrierte und heterogene Sicherheitstechnologiearchitektur ist.

Möglicherweise betrachten größere Unternehmen XDR demnach als eine Architektur, weil sie bereits über eine Vielzahl von Tools und Technologien verfügen und nicht danach streben, bestehende Investitionen zu “zerreißen und zu ersetzen”. Sie wollen einen Klebstoff, kein Lösungsmittel.

Konzentration auf den XDR-Sicherheitsprozess

Es gibt keine starre Definition von XDR. Einige XDR-Angebote sammeln Daten von E-Mail-Sicherheitstechnologien, andere enthalten Cyber-Risiko-Telemetrie von Tools wie Attack Surface Management (ASM), wieder andere basieren auf EDR-Technologien oder SIEM (Security Information and Event Management). Trotz der Debatten und Dogmen in der Branche hat man allmählich das Gefühl, dass XDR alles sein kann.

Die Definition ist jedoch nicht wirklich wichtig. Wie der Security-Experte und Autor Bruce Schneier vor Jahren schrieb: “Sicherheit ist ein Prozess, kein Produkt”. Wenn man davon überzeugt ist, sind Diskussionen über die Definition von XDR kontraproduktiv. Anstatt darüber zu streiten, in welche Schublade XDR gehört, sollten wir über die Ergebnisse sprechen, die Unternehmen erreichen wollen.

Die ESG-Studie zeigt,

• dass 36 Prozent der Organisationen mit XDR die Erkennung von Bedrohungen über die gesamte hybride IT hinweg ausweiten und verbessern wollen.

• Während 33 Prozent der Unternehmen damit die Zuverlässigkeit und Priorisierung von Sicherheitswarnungen verbessern möchten,

• wollen 29 Prozent, dass XDR als zentrale Sicherheitszentrale fungiert,

• und 25 Prozent, dass XDR bei der Erkennung unbekannter Bedrohungen hilft.

Gespräche über XDR sollten damit beginnen und enden, wie diese Anforderungen erfüllt werden können.

XDR deckt ein tieferes Problem auf. Satte 85 Prozent der Unternehmen planen, in den nächsten 12 bis 18 Monaten ihre Ausgaben für Technologien zur Erkennung von und Reaktion auf Bedrohungen zu erhöhen. Das ist ein Hinweis darauf, dass die heute verwendeten Tools und Technologien unzureichend sind. Vielleicht sind sie zu schwierig in der Anwendung oder nicht skalierbar. XDR wird entweder zu diesem Morast beitragen oder helfen, die Probleme zu lösen. Auch diesen Aspekt sollten Anbieter und Nutzer bei XDR-Diskussionen auf dem Schirm haben.

Fazit

Während die Branche nach wie vor von XDR schwärmt, singen CISOs ein anderes Lied. Wenn ich mit Sicherheitsverantwortlichen über Bedrohungserkennung und -abwehr spreche, lenken sie das Gespräch auf die Modernisierung des Security Operations Center (SOC). Kann XDR hier eine Rolle spielen? Ja, wenn wir uns von der akademischen XDR-Doktrin verabschieden und herausfinden, wie das SOC durch Skalierung, Intelligenz, Analyse und Automatisierung erweitert werden kann. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Tipp: Sie möchten mehr über XDR und Co. erfahren? In unserem täglichen Newsletter informieren wir Sie über alles Wichtige rund um das Thema IT-Sicherheit.