Das Thema XDR (eXtended Detection & Response) beschäftigt immer mehr Unternehmen, da die Bedrohungslage gefühlt jeden Tag unübersichtlicher und weniger handhabbar wird. Das liegt vor allem an der zunehmenden Komplexität der möglichen Angriffspunkte, bestehend aus der Cloud-Infrastruktur, sämtlichen Endpunkten eines Unternehmens (Router, Firewall, Notebook, Server, etc.) sowie der Zunahme an IoT-Gerätschaften, von denen viele immer noch ein Eigenleben führen.
Bis zu 22.000 sicherheitsrelevante Ereignisse – pro Sekunde!
Da stellt sich vielen Sicherheitsbeauftragten immer häufiger diese eine entscheidende Frage: Wie zur Hölle kann ich mit dieser anschwellenden Flut an Daten und Ereignissen überhaupt noch angemessen verfahren? So gehen Schätzungen von SolarWinds davon aus, dass Unternehmen mit 1.o00 Anwendern mit bis zu 22.000 Events konfrontiert werden – pro Sekunde! Diesen ungeheuren Wust an Daten zu analysieren, zu bewerten und zu verstehen, das ist eine enorme Aufgabe, mit denen sich viele SOC-Teams zunehmend überfordert fühlen.
XDR-Plattformen wie Singularity entdecken Malware – automatisiert
Genau an dieser Stelle kommt das besagte Thema XDR ins Spiel. Denn dieser technologische Ansatz soll Unternehmen helfen, die täglichen Angriffe besser bewerten und korrelieren zu können, die auf sie einprasseln. Dass dabei eine simple Software allein nicht mehr hilft, dürfte anhand der Komplexität schnell klar werden. Doch an welchen Stellen greift ein XDR-System wie Singularity von SentinelOne ein und welche Hürden gilt es dabei immer noch zu überwinden?
Zunächst einmal ist festzuhalten, dass mit Singularity eine Sicherheitsplattform bereit steht, die nahezu sämtliche Bedrohungen erkennt, analysiert und aus dem angegriffenen Netzwerk entfernt. Hierfür kommen KI-Algorithmen zum Einsatz, die SentinelOne Static AI und Behavioral AI nennt und die das Erkennen von möglichen Bedrohungen automatisieren soll. Das funktioniert innerhalb von lokalen Netzwerken genauso wie über Netzwerkgrenzen hinweg, indem auch Cloud-Container und IoT-Netzte überwacht werden.
SentinelOne und Scalyr observieren Daten im Petabyte-Bereich
Hinzu kommt eine neue Technologie, die SentinelOne aufgrund der Zusammenarbeit mit dem Sicherheitsexperten Scalyr nutzen kann. Damit steht eine cloud-basierte Datenanalyseplattform zur Verfügung, die selbst riesige Datenmengen im Petabyte-Bereich aus unterschiedlichen Quellen nahezu in Echtzeit analysiert, bewertet und bearbeitet. Und das wiederum vollkommen automatisiert, was das Erkennen von möglichen Bedrohungen deutlich vereinfacht.
Matthias Canisius im Podcast über XDR und deren Notwendigkeit
Und was sagt SentinelOne selbst zu dem Thema? Nun, hierzu habe ich schon im vergangenen Dezember mit Matthias Canisius einen Podcast aufgezeichnet. Darin spricht er ab Minute 16:00 über das Thema XDR und was das für Unternehmen bedeutet.
So lautete seine Prognose Ende 2020, dass sich SOC-Teams mit XDR mehr und mehr beschäftigen müssen. Denn nur so gelangen Daten von den unterschiedlichen Quellen in einem gemeinsamen Data Lake, wo sie gemeinsam und ausführlich analysiert und bewertet werden können. Damit lassen sich laut Matthias Reaktionzeiten und -muster verfeinern und verbessern – was die globale Sicherheit über sämtliche Plattformen und Geräte hinweg erhöht.
SentinelOne Marketplace verbindet Singularity mit externen Sicherheitslösungen
Hinzu kommt eine weitere Verbesserung des XDR-basierten Schutzes durch das Eröffnen des Singularity Marketplace. Damit lässt sich mithilfe vorhandener Schnittstellen und Add-ons das SentinelOne-Ökosystem mit relativ geringem Aufwand mit anderen Sicherheitslösungen verbinden. Ein recht einfacher Weg, Security-Lösungen von Okta, Netskope, Recorded Future und anderen in den Sicherheitsgenuss einer XDR-Plattform zu bringen. Für noch mehr Sicherheit und Abwehrmöglichkeiten gegen Bedrohungen wie Sunburst und Co.