Angesichts der wachsenden Bedrohungslage wird es für Unternehmen immer wichtiger, Anzeichen für Cyberangriffe schnell zu erkennen und einzudämmen. Die meisten setzen daher bereits ein Security Information and Event Management (SIEM) ein, um Informationen verschiedener Sicherheitssysteme zu sammeln, zu untersuchen und Bedrohungen aufzuspüren. Viele betreiben zudem ein eigenes Security Operations Center (SOC) oder beziehen entsprechende Leistungen bei einem externen Dienstleister. Dort arbeiten spezialisierte Security-Analysten, die alle sicherheitsrelevanten Systeme in einem Unternehmen rund um die Uhr überwachen, Security Alerts auswerten und Auffälligkeiten untersuchen. Entdecken sie eine Schwachstelle oder einen Cybervorfall, ergreifen sie passende Gegenmaßnahmen oder alarmieren ihre Kunden und geben entsprechende Anweisungen. Neben SIEM nutzen SOC-Mitarbeiter zunehmend auch SOAR-Lösungen (Security Orchestration, Automation and Response) oder kombinierte Plattformen, um Sicherheitsprozesse zu optimieren. Ähnlich wie SIEM sammelt SOAR Sicherheitsinformationen aus verschiedenen Quellen und wertet sie aus. Die Lösung geht jedoch noch einen Schritt weiter und kann sogar automatisiert Gegenmaßnahmen anstoßen, ohne dass menschliches Eingreifen nötig ist. SIEM, SOC und SOAR sind wertvolle Mittel, um die Cybersicherheit zu erhöhen. Wozu braucht man dann noch XDR?

Wo herkömmliche Technologie an ihre Grenzen stößt

In der Praxis berichten die meisten Anwender, dass ihnen ihr SIEM zwar dabei hilft, Bedrohungen zu untersuchen, häufig haben die Systeme aber Probleme damit, Ereignisse effektiv zu korrelieren. Ein Großteil der Arbeit bleibt also an den Security-Analysten hängen. Laut ESG Research sind 57 Prozent der Unternehmen der Ansicht, dass ihr SIEM zu viele Meldungen ausgibt und sie zu viele Expertenressourcen benötigen, um es effektiv zu nutzen. Nur 42 Prozent sind wirklich glücklich damit, wie ihr SIEM Daten korreliert. Ein weiteres komplexes Problem ist die Datenerfassung und Integration. Sie verursacht bei 83 Prozent der Befragten kontinuierlichen, erheblichen Aufwand. Fast die Hälfte der Unternehmen hat zudem mit redundanten Daten im System zu kämpfen. 26 Prozent suchen aktiv nach Möglichkeiten, die Datenmenge zu reduzieren. 22 Prozent wissen schlichtweg nicht, wie. Da ein SIEM üblicherweise nach Events pro Sekunde lizensiert wird, treiben überflüssige Daten die Kosten des ohnehin schon teuren Systems in die Höhe.

XDR hebt SIEM auf das nächste Level

XDR kann viele Herausforderungen, vor denen SIEM-Nutzer stehen, lösen. Ähnlich wie ein SIEM sammelt auch XDR die Bedrohungsinformationen der angeschlossenen Systeme. Die Auswertung der Daten erfolgt mithilfe von KI unter Nutzung von Machine Learning und globaler Threat Intelligence. Dadurch funktioniert die Korrelation der Alerts viel treffsicherer. Aus Tausenden Meldungen entsteht am Ende eine überschaubare Zahl verwertbarer Warnungen. So reduziert sich die Zahl der Security-Alerts um bis zu 90 Prozent.

XDR kann mit einem SIEM zusammenarbeiten, indem es als zentrale Logquelle dient. Ins SIEM fließen dann bereits korrelierte Daten ein. Das bringt viele Vorteile. Zum einen erhöht sich die Analysegeschwindigkeit und damit die Reaktionsgeschwindigkeit auf Angriffe. Eine Datenkorrelation, für die ein SIEM im Durchschnitt fünf Minuten braucht, erfolgt mit XDR in wenigen Sekunden. Außerdem reduziert sich die Zahl der Events pro Sekunde, die Unternehmen im SIEM lizensieren müssen, und der Speicherbedarf sinkt. Beides spart Kosten. Darüber hinaus ist in XDR bereits globale Threat Intelligence enthalten. Auch das ist ein Vorteil: Security-Analysten benötigen Threat Intelligence, um Alerts zu bewerten und Zusammenhänge herzustellen. Viele Unternehmen kaufen solche Informationen daher bei externen Anbietern ein. Das sind Folgekosten, die bei einem SIEM zusätzlich anfallen. XDR bringt dagegen bereits führende Threat Intelligence mit.

Das bringt XDR für SOC und SOAR

Die Vorteile, die XDR für SIEM bringt, lassen sich nahezu eins zu eins auf SOAR und SOC übertragen. Auch hier leistet XDR mit seiner KI-gestützten Korrelation wichtige Vorarbeit, reduziert die Informationsflut, erhöht die Analysegeschwindigkeit und ermöglicht es, schneller zu reagieren. So können Unternehmen die Effizienz im SOC steigern und ihre Sicherheit weiter erhöhen. Mit Unterstützung von XDR sparen Security-Analysten viel Arbeit und können sich auf die Warnmeldungen konzentrieren, die wirklich wichtig sind. Sie gewinnen von einer zentralen Konsole einen ganzheitlichen Blick auf das Bedrohungsgeschehen in der gesamten IT-Umgebung über alle Vektoren hinweg – von den Endpunkten und Servern über E-Mail und Netzwerke bis hin zu Cloud-Services. Wie eine ESG-Studie zeigt, leistet eine XDR-Lösung so viel wie im Durchschnitt acht Vollzeit-Security-Mitarbeiter. Das ist nicht nur ein Kostenfaktor, sondern hilft Unternehmen auch, dem Fachkräftemangel zu begegnen. Denn Security-Analysten sind auf dem Arbeitsmarkt schwer zu finden.

Viel Zeit und Know-how erfordert bei SIEM- und SOC-Projekten zudem das Erstellen von Use Cases, also der Logik für die Erkennung von Sicherheitsvorfällen. Auch hier spart XDR Kosten, indem es bereits vorgefertigte Szenarien für Endpoint- und E-Mail-Security mitbringt. Die Lösung nimmt den Analysten damit aufwändige, anspruchsvolle Aufgaben ab, die sie sonst händisch erledigen müssten.

Ein starkes Team

XDR will die bestehenden Sicherheitssysteme nicht ersetzen, sondern um wertvolle Automatisierungsfunktionen erweitern. Die meisten Unternehmen werden ihr SIEM auch weiterhin als Sammelpunkt nutzen, um historische Daten zu betrachten – etwa für die digitale Forensik oder um Compliance-Vorgaben zu erfüllen. SOAR ergänzt SIEM um automatisierte Reaktion. XDR wiederum bringt durch die KI-gestützte Korrelation einen Mehrwert für beide Plattformen und kann die Effizienz im SOC insgesamt steigern. Indem Unternehmen die technischen Möglichkeiten der modernen Detection und Response ausschöpfen und sich maximal durch Automatisierung und KI unterstützen lassen, können sie sich am besten vor der wachsenden Bedrohung durch Cyberangriffe schützen.