Forrester definiert XDR

Forrester Research versucht sich an einer Abgrenzung von XDR: Der Begriff „Extended Detection and Response“ oder XDR wurde 2018 geprägt, aber die Definitionen variieren weiterhin stark. Es gab keine verlässliche, unvoreingenommene Erklärung dafür, was XDR ist und wie es sich von einer Security-Analytics-Plattform unterscheidet. Das hat zu Verwirrung geführt, sodass es als nichts weiter als ein weiteres Cybersecurity-Marketing-Buzzword abgetan wurde.

Um hier Klarheit zu schaffen, hat Forrester eine Studie darüber veröffentlicht, was XDR ist, was XDR nicht ist und worauf Kunden bei der Evaluierung von XDR-Lösungen achten sollten. Diese Studie ist eine rigorose Aufschlüsselung dessen, was von XDR-Lösungen zu erwarten ist, basierend auf Interviews und Umfrageergebnissen von XDR-Endanwendern und über 40 Sicherheitsanbietern.

Im Folgenden finden Sie einen kurzen Auszug aus dem Bericht, der XDR definiert und seine Ursprünge erklärt. Der vollständige Bericht geht deutlich mehr in die Tiefe und enthält hilfreiche Empfehlungen.

XDR entwickelt sich aufgrund des Wertes, den Endpoint Detection and Response (EDR) für die Reaktion auf Vorfälle bringt, und aufgrund des Wunsches, EDR-Daten mit zusätzlichen Telemetriedaten zu kombinieren, die von Endpunkten allein nicht erfasst werden können. Forrester definiert XDR als die Weiterentwicklung von EDR, die die Erkennung, Untersuchung, Reaktion und Jagd auf Bedrohungen in Echtzeit optimiert.

XDR vereint sicherheitsrelevante Endpunkt-Erkennungen mit Telemetrie von Sicherheits- und Business-Tools wie Netzwerkanalyse und -sichtbarkeit (NAV), E-Mail-Sicherheit, Identitäts- und Zugriffsmanagement, Cloud-Sicherheit und mehr. Es handelt sich um eine Cloud-native Plattform, die auf einer Big-Data-Infrastruktur aufbaut und Sicherheitsteams Flexibilität, Skalierbarkeit und Möglichkeiten zur Automatisierung bietet.

Der Wert von XDR wird durch seine Sicherheitsanalysefunktionen, die Integration von Drittanbietern und die Reaktionsmaßnahmen bestimmt.

EDR war der Proof of Concept für XDR. Der bemerkenswerte Erfolg von EDR diente als Bestätigung dafür, dass seine Erkennungs- und Reaktionsfunktionen es Sicherheitsanalysten ermöglichen, Bedrohungen zu erkennen, Untersuchungen durchzuführen und in Echtzeit zu reagieren. Während EDR eine effektive Endpunkt-Erkennung und -Reaktion bietet, benötigen Sicherheitsteams mehr Telemetrie als nur den Endpunkt.

Sicherheitsteams haben Security-Analytics-Plattformen, SIEM-Lösungen (Security Information and Event Management), NAV und selbst entwickelte Data Lakes eingesetzt, um Endpunkt-Telemetrie mit Sicherheitsdaten aus anderen Teilen der Umgebung abzugleichen. Diese Bemühungen waren mehr oder weniger erfolgreich, litten aber unter extremem Ressourcenverbrauch, einer hohen Rate an Fehlalarmen und großen Datenmengen.

XDR wird oft als offen oder geschlossen kategorisiert, was verwirrend ist, da offen „Open Source“ impliziert, was etwas ganz anderes ist als das, was mit „offenem XDR“ gemeint ist. Daher beschreibt Forrester XDR als „nativ“ oder „hybrid“.

Forrester definiert hybrides XDR als eine XDR-Plattform, die auf Integrationen mit Drittanbietern für die Sammlung anderer Formen von Telemetrie und die Ausführung von Antwortaktionen in Bezug auf diese Telemetrie angewiesen ist.

Forrester definiert natives XDR als eine XDR-Suite, die mit anderen Sicherheitstools aus ihrem Portfolio integriert ist, um andere Formen von Telemetrie zu sammeln und darauf bezogene Reaktionsmaßnahmen auszuführen.

XDR befindet sich auf einem Kollisionskurs mit Security Analytics und Security Orchestration, Automation und Response (SOAR). XDR und SIEM konvergieren nicht, sondern kollidieren.

XDR wird mit Security-Analytics-Plattformen (und SIEMs) bei der Erkennung, Untersuchung, Reaktion und Jagd auf Bedrohungen Kopf an Kopf konkurrieren. Sicherheitsanalyseplattformen verfügen über mehr als ein Jahrzehnt an Erfahrung in der Datenaggregation, die sie auf diese Herausforderungen anwenden, aber sie haben noch keine Incident-Response-Fähigkeiten, die im Unternehmensmaßstab ausreichend sind, was Unternehmen dazu zwingt, alternative Lösungen zu priorisieren. XDR ist angetreten, diese Lücke durch einen deutlich anderen Ansatz zu füllen, der in Endpunkt und Optimierung verankert ist.

Der Hauptunterschied zwischen XDR und SIEM besteht darin, dass XDR-Erkennungen in Endpunkt-Erkennungen verankert bleiben, im Gegensatz zum nebulösen Ansatz der Anwendung von Sicherheitsanalysen auf einen großen Satz von Daten. Mit der Weiterentwicklung von XDR wird sich auch die Definition des Endpunkts durch den Anbieter weiterentwickeln, je nachdem, wo sich das Ziel des Angreifers befindet, unabhängig davon, ob es sich um einen Laptop, eine Workstation, ein mobiles Gerät oder die Cloud han