In der Cybersicherheitsbranche gibt es eine Fülle von Jargon, Abkürzungen und Akronymen. Da immer mehr ausgeklügelte Angriffsvektoren zur Verfügung stehen, von Endpunkten über Netzwerke bis hin zur Cloud, wenden sich viele Unternehmen einem neuen Ansatz zu, um fortschrittlichen Bedrohungen zu begegnen: Extended Detection and Response (Erweitertes Erkennen und Reagieren), was zu einem weiteren Akronym führt: XDR. Und obwohl XDR in diesem Jahr von Branchenführern und Analysten viel Aufmerksamkeit erhalten hat, handelt es sich dabei immer noch um ein sich entwickelndes Konzept, und als solches herrscht Verwirrung rund um das Thema.

• Was ist XDR?
• Wie unterscheidet sich XDR von EDR?
• Ist es dasselbe wie SIEM & SOAR?

Als führendes Unternehmen auf dem EDR-Markt und Pionier derder aufkommenden XDR-Technologie , werden wir oft gefragt, was diese Technologie bedeutet und wie sie letztendlich zu besseren Kundenergebnissen beitragen kann.  Dieser Post soll einige häufig auftretenden Fragen rund um XDR und die Unterschiede zu EDR, SIEM und SOAR klären.

Was ist EDR?

EDR bietet einem Unternehmen die Möglichkeit, Endpunkte auf verdächtiges Verhalten zu überwachen und jede einzelne Aktivität und jedes Ereignis aufzuzeichnen. Dann setzt es Informationen in Beziehung, um wichtigen Kontext für die Erkennung von hochentwickelten Bedrohungen zu liefern. Schließlich führt es automatisierte Reaktionsmaßnahmen durch, wie die Isolierung eines infizierten Endpunkts vom Netzwerk in nahezu Echtzeit.

Was ist XDR?

XDR ist die Weiterwentwicklung von EDR, Endpoint Detection and Response. Anders als EDR, das Aktivitäten über mehrere Endpunkte hinweg sammelt und korreliert, erweitert XDR den Erkennungsbereich über die Endpunkte hinaus und bietet Erkennung, Analyse und Reaktion über Endpunkte, Netzwerke, Server, Cloud-Workloads, SIEM und vieles mehr.

Dies ermöglicht eine einheitliche Sicht über mehrere Tools und Angriffsvektoren hinweg. Diese verbesserte Sichtbarkeit bietet eine Kontextualisierung dieser Bedrohungen, um die Triage, Untersuchung und schnelle Abhilfemaßnahmen zu unterstützen.

XDR sammelt und verknüpft automatisch Daten über mehrere Sicherheitsvektoren hinweg und ermöglicht so eine schnellere Erkennung von Bedrohungen. Somit können Sicherheitsanalysten schnell reagieren, bevor sich die Bedrohung ausweitet.  Sofort einsatzbereite Integrationen und vordefinierte Erkennungsmechanismen für verschiedene Produkte und Plattformen verbessern die Produktivität, Bedrohungserkennung und Forensik.

Wie unterscheidet sich XDR von SIEM?

Wenn wir von XDR sprechen, denken manche Anwender, dass wir ein SIEM-Tool (Security Information & Event Management) auf eine andere Art und Weise beschreiben. Aber XDR und SIEM sind zwei verschiedene Dinge.

SIEM sammelt, aggregiert, analysiert und speichert große Mengen von Protokolldaten aus dem gesamten Unternehmen. SIEM begann seine Entwicklung mit einem sehr breit gefächerten Ansatz: dem Sammeln von verfügbaren Protokoll- und Ereignisdaten aus nahezu jeder Quelle im Unternehmen, um sie für verschiedene Anwendungsfälle zu speichern. Dazu gehören Governance und Compliance, regelbasierter Musterabgleich, heuristische/verhaltensbasierte Bedrohungserkennung wie UEBA und die Suche nach IOCs oder atomaren Indikatoren in Telemetriequellen.

SIEM-Tools erfordern jedoch viel Feinabstimmung und Aufwand bei der Implementierung. Sicherheitsteams können auch von der schieren Anzahl der Warnmeldungen, die von einem SIEM kommen, überfordert werden, was dazu führt, dass das SOC kritische Warnmeldungen ignoriert. Darüber hinaus ist ein SIEM, auch wenn es Daten aus Dutzenden von Quellen und Sensoren erfasst, immer noch ein passives Analysetool, das Warnmeldungen ausgibt.

Die XDR-Plattform zielt darauf ab, die Herausforderungen des SIEM-Tools für eine effektive Erkennung und Reaktion auf gezielte Angriffe zu lösen und umfasst Verhaltensanalyse, Bedrohungsdaten, Verhaltensanalysen und Analysen.

Wie unterscheidet sich XDR von SOAR?

SOAR-Plattformen (Security Orchestration & Automated Response) werden von ausgereiften Sicherheitsteams verwendet, um mehrstufige Playbooks zu erstellen und auszuführen, die Aktionen über ein API-verbundenes Ökosystem von Sicherheitslösungen automatisieren. Im Gegensatz dazu wird XDR die Integration von Ökosystemen überMarketplace ermöglichen und Mechanismen zur Automatisierung einfacher Aktionen gegen Sicherheitskontrollen von Drittanbietern bereitstellen.

SOAR ist komplex, kostspielig und erfordert ein sehr ausgereiftes SOC zur Implementierung und Pflege von Partnerintegrationen und Playbooks. XDR ist als „SOAR-lite“ gedacht: eine einfache, intuitive Zero-Code-Lösung, die von der XDR-Plattform aus mit angeschlossenen Sicherheitstools agieren kann.

Was ist MXDR?

Managed Extended Detection and Response (MXDR) erweitert die MDR-Dienste auf das gesamte Unternehmen, um eine vollständig verwaltete Lösung zu erhalten, die Sicherheitsanalysen und -abläufe, fortschrittliche Bedrohungssuche, Erkennung und schnelle Reaktion in Endpunkt-, Netzwerk- und Cloud-Umgebungen umfasst.

Ein MXDR-Dienst erweitert die XDR-Funktionen des Kunden um MDR-Dienste für zusätzliche Überwachungs-, Untersuchungs-, Bedrohungsjagd- und Reaktionsmöglichkeiten.

Warum gewinnt XDR an Attraktivität und sorgt für Aufsehen?

XDR ersetzt isolierte Sicherheitslösungen und hilft Unternehmen, die Herausforderungen der Cybersicherheit von einem einheitlichen Standpunkt aus anzugehen. Mit einem einzigen Pool von Rohdaten, der Informationen aus dem gesamten Ökosystem umfasst, ermöglicht XDR eine schnellere, tiefgreifendere und effektivere Erkennung von und Reaktion auf Bedrohungen als EDR, da Daten aus einer größeren Anzahl von Quellen gesammelt und zusammengestellt werden.

XDR sorgt für mehr Transparenz und Kontext bei Bedrohungen. Vorfälle, die sonst nicht erkannt worden wären, tauchen auf einer höheren Bewusstseinsebene auf, so dass Sicherheitsteams Abhilfemaßnahmen ergreifen und weitere Auswirkungen reduzieren sowie das Ausmaß des Angriffs minimieren können.

Ein typischer Ransomware-Angriff durchquert das Netzwerk, landet in einem E-Mail-Posteingang und greift dann den Endpunkt an. Wenn man die einzelnen Sicherheitsaspekte unabhängig voneinander betrachtet, sind die Unternehmen im Nachteil. XDR integriert unterschiedliche Sicherheitskontrollen, um automatisierte oder Ein-Klick-Reaktionsmaßnahmen im gesamten Sicherheitsbereich des Unternehmens zu ermöglichen, wie z. B. die Sperrung des Benutzerzugriffs, die Erzwingung der Multi-Faktor-Authentifizierung bei vermuteter Kontokompromittierung, die Sperrung eingehender Domänen und Datei-Hashes und vieles mehr – alles übervom Benutzer geschriebene Regeln oder über die in die Prescriptive Response Engine integrierte Logik.

Mit einem einzigen Pool von Rohdaten, der Informationen aus dem gesamten Ökosystem umfasst, ermöglicht XDR eine schnellere, tiefgreifendere und effektivere Erkennung von und Reaktion auf Bedrohungen als EDR, da Daten aus einer größeren Anzahl von Quellen gesammelt und zusammengestellt werden.

Diese umfassende Sichtbarkeit bringt mehrere Vorteile mit sich, darunter:

• Verkürzung der Mean Time to Detect (MTTD) durch Korrelation zwischen verschiedenen Datenquellen.
• Verkürzung der mittleren Untersuchungszeit (MTTI) durch Beschleunigung der Triage und Verkürzung der Zeit für die Untersuchung und den Umfang.
• Verkürzung der mittleren Reaktionszeit (MTTR) durch einfache, schnelle und relevante Automatisierung.
• Verbesserung der Transparenz im gesamten Sicherheitsbereich.

Darüber hinaus trägt XDR dank KI und Automatisierung dazu bei, den manuellen Arbeitsaufwand von Sicherheitsanalysten zu verringern. Eine XDR-Lösung kann proaktiv und schnell hochentwickelte Bedrohungen aufspüren, die Produktivität des Sicherheits- oder SOC-Teams erhöhen und dem Unternehmen einen massiven ROI-Schub verschaffen.

Abschließende Gedanken

Für viele Unternehmen ist es eine Herausforderung, sich in der Anbieterlandschaft zurechtzufinden, insbesondere wenn es um Erkennungs- und Reaktionslösungen geht. Oft besteht die größte Hürde darin zu verstehen, was die einzelnen Lösungen bieten, vor allem, wenn die Terminologie von Anbieter zu Anbieter unterschiedlich ist und verschiedene Dinge bedeuten kann.

Wie bei jeder neuen Technologie, die auf den Markt kommt, gibt es eine Menge Hype, und Käufer müssen vorsichtig sein. Tatsache ist, dass nicht alle XDR-Lösungen gleich sind. SentinelOne Singularity XDR vereinheitlicht und erweitert die Erkennungs- und Reaktionsfähigkeit über mehrere Sicherheitsebenen hinweg und bietet Sicherheitsteams eine zentralisierte End-to-End-Unternehmenstransparenz, leistungsstarke Analysen und automatisierte Reaktionen über den gesamten Technologiebereich hinweg.

Wenn Sie mehr über die SentinelOne Singularity Platform erfahren möchten, kontaktieren Sie uns oder fordern Sie eine kostenlose Demoan.

The post Der Unterschied zwischen EDR, SIEM, SOAR und XDR appeared first on SentinelOne DE.

With more than 15 years of experience in cyber security, Manuel Rodriguez is currently the Security Engineering Manager for the North of Latin America at Check Point Software Technologies, where he leads a team of high-level professionals whose objective is to help organizations and businesses meet their cyber security needs. Manuel joined Check Point in 2015 and initially worked as a Security Engineer, covering Central America, where he participated in the development of important projects for multiple clients in the region. He had previously served in leadership roles for various cyber security solution providers in Colombia.

In this insightful Cyber Talk interview, Check Point expert Manuel Rodriguez discusses “Platformization”, why cyber security consolidation matters, how platformization advances your security architecture and more. Don’t miss this!

The word “platformization” has been thrown around a lot recently. Can you define the term for our readers?

Initially, a similar term was used in the Fintech industry. Ron Shevlin defined it as a plug and play business model that allows multiple participants to connect to it, interact with each other and exchange value.

Now, this model aligns with the needs of organizations in terms of having a cyber security platform that can offer the most comprehensive protection, with a consolidated operation and easy enablement of collaboration between different security controls in a plug and play model.

In summary, platformization can be defined as the moving from a product-based approach to a platform-based approach in cyber security.

How does platformization differ from the traditional way in which tech companies develop and sell products and services?

In 2001, in a Defense in Depth SANS whitepaper, Todd McGuiness said, “No single security measure can adequately protect a network; there are simply too many methods available to an attacker for this to work.”

This is still true and demonstrates the need to have multiple security solutions for proper protection of different attack vectors.

The problem with this approach is that companies ended up with several technologies from different vendors, all of which work in silos. Although it might seem that these protections are aligned with the security strategy of the company, it generates a very complex environment. It’s very difficult to operate and monitor when lacking collaboration and automation between the different controls.

SIEM and similar products arrived to try to solve the problem of centralized visibility, but in most cases, added a new operative burden because they needed a lot of configurations and lacked automation and intelligence.

The solution to this is a unified platform, where users can add different capabilities, controls and even services, according to their specific needs, making it easy to implement, operate and monitor in a consolidated and collaborative way and in a way that leverages intelligence and automation.

My prediction is that organizations will start to change from a best-of-breed approach to a platform approach, where the selection factors will be more focused on the consolidation, collaboration, and automation aspects of security controls, rather than the specific characteristics of each of the individual controls.

From a B2B consumer perspective, what are the potential benefits of platformization (ex. Easier integration, access to a wider range of services…)?

For consumers, the main benefits of a cyber security platform will be a higher security posture and reduced TCO for cyber security. By reducing complexity and adding automation and collaboration, organizations will increase their abilities to prevent, detect, contain, and respond to cyber security incidents.

The platform also gives flexibility by allowing admins to easily add new security protections that are automatically integrated in the environment.

Are there any potential drawbacks for B2B consumers when companies move towards platform models?

I have heard concerns from some CISOs about putting all or most of their trust in a single security vendor. They have in-mind the recent critical vulnerabilities that affected some of the important players in the industry.

This is why platforms should also be capable of integration through open APIs, permitting organizations to be flexible in their journey to consolidation.

How might platformization change the way that B2B consumers interact with tech companies and their products (ex. Self-service options, subscription models)? What will the impact be like?

Organizations are also looking for new consumption models that are simple and predictable and that will deliver cost-savings. They are looking to be able to pay for what they use and for flexibility if they need to include or change products/services according to specific needs.

What are some of main features of a cyber security platform?

Some of the main features are consolidation, being able to integrate security monitoring and management into a single central solution; automation based on APIs, playbooks and scripts according to best practices; threat prevention, being able to identify and block or automatically contain attacks before they pose a significant risk for an organization…

A key component of consolidation is the use of AI and machine learning, which can process the data, identify the threats and generate the appropriate responses.

In terms of collaboration, the platform should facilitate collaboration between different elements; for example sharing threat intelligence or triggering automatic responses in the different regions of the platform.

In looking at platformization from a cyber security perspective, how can Check Point’s Infinity Platform benefit B2B consumers through platformization principles (ex. Easier integration with existing tools, all tools under one umbrella…etc)?

The Check Point Infinity platform is a comprehensive, consolidated, and collaborative cyber security platform that provides enterprise-grade security across several vectors as data centers, networks, clouds, branch offices, and remote users with unified management.

It is AI-powered, offering a 99.8% catch rate for zero day attacks. It offers consolidated security operations; this means lowering the TCO and increasing security operational efficiency. It offers collaborative security that automatically responds to threats using AI-powered engines, real-time threat intelligence, anomaly detection, automated response and orchestration, and API-based third-party integration. Further, it permits organizations to scale cyber security according to their needs anywhere across hybrid networks, workforces, and clouds.

Consolidation will also improve the security posture through a consistent policy that’s aligned with zero trust principles. Finally, there is also a flexible and predictable ELA model that can simplify the procurement process.

How does the Check Point Infinity Platform integrate with existing security tools and platforms that CISOs might already be using?

Check Point offers a variety of APIs that make it easy to integrate in any orchestration and automation ecosystem. There are also several native integrations with different security products. For example, the XDR/XPR component can integrate with different products, such as firewalls or endpoint solutions from other vendors.

To what extent can CISOs customize and configure the Check Point Infinity Platform to meet their organization’s specific security posture and compliance requirements?

Given the modular plug and play model, CISOs can define what products and services make sense for their specific requirements. If these requirements change over time, then different products can easily be included. The ELA consumption model gives even more flexibility to CISOs, as they can add or remove products and services as needed.

How can platformization (whether through Infinity or other platforms) help businesses achieve long-term goals? Does it provide a competitive advantage in terms of agility, innovation and cost-efficiency?

A proper cyber security platform will improve the security posture of the business, increasing the ability to prevent, detect, contain and respond to cyber security incidents in an effective manner. This means lower TCO with increased protection. It will also allow businesses to quickly adapt to new needs, giving them agility to develop and release new products and services.

Is there anything else that you would like to share with Check Point’s thought leadership audience?

Collaboration between security products and proper intelligence sharing and analysis are fundamental in responding to cyber threats. We’ve seen several security integration projects through platforms, such as SIEMs or SOARs, fail because of the added complexity of generating and configuring the different use cases.

A security platform should solve this complexity problem. It is also important to note that a security platform does not mean buying all products from a single vendor. If it is not solving the consolidation, collaboration problem, it will generate the same siloed effect as previously described.

The post How platformization is transforming cyber security appeared first on CyberTalk.