Der Aufstieg von Extended Detection and Response (XDR) ist sowohl eine Bestätigung als auch eine Anklage gegen die Security Information and Event Management (SIEM)-Technologie - die etablierte Marktkategorie, die mit der Erkennung, Untersuchung und Reaktion auf aggregierte Bedrohungen verbunden ist.
Es ist eine Bestätigung, weil es die zentrale These unterstreicht, dass die Zusammenführung mehrerer Signale über den gesamten Lebenszyklus eines Angriffs grundsätzlich richtig ist. Es ist aber auch eine Anklage, weil das Auftauchen einer zweiten Marktkategorie, die dasselbe Problem löst, uns Hinweise auf die Unzulänglichkeit des etablierten Ansatzes liefert.
Der Markt hat eindeutig großes Interesse signalisiert, aber wie viel von dem Versprechen von XDR ist nur ein Hype?
Käufer, die wissen wollen, worauf sie sich einlassen, bevor sie einen Partner zum XDR-Tanz einladen, sind gut bedient, wenn sie erkennen, dass fast jeder Anbieter im XDR-Bereich aus einem angrenzenden Markt kommt - und sie werden diesen angrenzenden Markt mitnehmen, wenn sie ihre XDR-Fahne aufstellen.
Käufer sollten sich darüber im Klaren sein, dass es eigentlich vier Hauptbereiche gibt, aus denen XDR-Anbieter kommen.
SIEM und XDR: Transformation oder kosmetische Veränderung?
Es gibt eine Menge Anreize für SIEM-Anbieter, sich in XDR-Anbieter umzuwandeln. Im offensichtlichen Fall von kleineren Anbietern, die nicht den Marktanteil der großen Jungs haben, ist dies eine Gelegenheit, sich auf den neuen Trend einzustellen und es erneut zu versuchen.
Aber selbst für marktbeherrschende Unternehmen macht ein Rebranding der etablierten Lösung viel Sinn, wenn man erkennt, dass viele SIEM-Implementierungen nur teure Protokollsammler und keine Bedrohungsdetektoren sind.
Die Tatsache, dass das Versprechen der korrelierten Erkennung von Bedrohungen nicht eingehalten werden konnte, hat zu einem gewissen Reputationsverlust geführt, und das Aufkommen von XDR bietet die Chance auf ein neues Leben - vor allem, wenn der Anbieter die zugrunde liegende Technologie wesentlich verbessert hat.
Käufer, die eine SIEM-basierte XDR-Lösung in Erwägung ziehen, müssen wirklich überlegen, ob sich etwas grundlegend geändert hat oder ob es sich nur um einen neuen Anstrich handelt. Wenn man den XDR-Weg mit einem SIEM-Anbieter beschreitet, ist es wichtig, dass man eine Lösung baut und nicht kauft.
Für gut ausgestattete Käufer, die sich die umfangreichen weichen Kosten für den Betrieb dieser Technologie leisten können oder maßgeschneiderte Anwendungsfälle haben, die von zweckmäßigeren Lösungen nicht abgedeckt werden, kann dies immer noch von Vorteil sein.
Der Einfluss von EDR in XDR: Expansion über die traditionellen Grenzen hinaus
In Anbetracht der Anreize, die bei Endpoint Detection and Response (EDR)-Anbietern und Branchenanalysten im Spiel sind, ist es verständlich, dass die Definition von XDR als EDR++ Anklang findet.
Die EDR-Unternehmen selbst müssen weiterhin Wachstum erzielen, um ihre Aktionäre zu beruhigen, und die Disqualifizierung der Konkurrenz in der Anforderungsphase erleichtert die Aufteilung dieses neuen Kuchens. In der Zwischenzeit müssen die Branchenanalysten all die nervösen, etablierten SIEM-Anbieter besänftigen, und die Schaffung einer XDR-Kategorie könnte ein vorübergehendes Mittel sein, um den Frieden zwischen dem EDR- und dem SIEM-Lager zu wahren.
Während EDR ein nützliches Signal für viele herkömmliche Bedrohungserkennungen liefert, wird das Problem der Übergewichtung von EDR in jedem XDR-Ansatz deutlich, wenn man bedenkt, dass etwa 70 % der Unternehmensressourcen und -dienste keinen EDR-Agenten ausführen. Wenn ein modernes hybrides Unternehmen mit Bedrohungen für cloud, Identität, SaaS-Anwendungen und sogar OT/IoT-Netzwerke konfrontiert ist, dann ist die Annahme, dass alle Sicherheitsverletzungen mit der Kompromittierung eines EDR-fähigen endpoint einhergehen, um etwa ein Jahrzehnt zu spät.
Käufer, die eine EDR-basierte XDR-Lösung anstreben, müssen zwei Dinge berücksichtigen: Die EDR-Leistung selbst und die Aggregation und Korrelation anderer Signale. Eine gute EDR-Leistung sollte vorrangig sein, jedoch nicht unter Ausschluss einer überzeugenden Behandlung des gesamten Signal-Ökosystems.
Wenn sich das Bild abzeichnet, dass ein EDR und etwas, das einem SIEM ähnelt, einfach zusammengeschraubt wurden, sollte Ihr Spinnensinn kribbeln und alle vorherigen Hinweise für SIEM-basierte XDR-Käufer gelten.
Dienstleistungsbasierte XDR-Lösungen: Das menschliche Element
Sie betrachteten die von XDR angestrebten Ergebnisse und stellten fest, dass es, wenn der Preis stimmt, zweitrangig ist, ob diese Ergebnisse durch Technologie oder Menschen erreicht werden.
Ehrlich gesagt macht dies sehr viel Sinn und ist einer der Gründe, warum viele Käufer eine XDR-Lösung als verwalteten Dienst anbieten. Ein kleines Problem ist die Ausführung, nicht die These.
Viele Kunden werden sich an die Zeit erinnern, als ihre Managed Security Solution Provider (MSSPs) dazu angehalten wurden, sich über Nacht in Managed Detection and Response (MDR)-Anbieter zu verwandeln, ohne dass ihre Servicequalität wesentlich verbessert wurde.
Käufer, die eine dienstleistungsbasierte XDR-Lösung mit einem kompetenten Anbieter zu einem attraktiven Preis wählen, haben unter Umständen eine Menge Vorteile vor sich - Dienstanbieter können Dinge in einem Umfang tun, der für ein Unternehmen allein nicht immer machbar ist.
Leider ist es nicht so einfach, einen kompetenten Dienstleister zu finden, indem man einen magischen Quadranten prüft, und einige der Käufer, die die Fähigkeiten eines Dienstleisters attraktiv finden, sind nicht reif genug, um die Qualität der Ergebnisse effektiv zu messen.
Die Einkäufer sollten hier in die Offensive gehen und ihre Anbieter in die Pflicht nehmen, wenn es darum geht, klar zu definieren, wie das Risiko in quantifizierbarer Form gemindert werden soll, und regelmäßige unangekündigte rote Teams als Gegenkontrolle einsetzen.
Das Netzwerk, die Identität und der Cloud Ansatz für XDR
Und schließlich gibt es eine Reihe von Anbietern, deren Plattformportfolio mehrere Bedrohungserkennungssignale umfasst und die erkannt haben, dass das Ganze mehr ist als die Summe seiner Teile.
Network Detection and Response (NDR), Cloud Detection and Response (CDR), Identity Threat Detection and Response (ITDR) und sogar die älteren Next-Gen-Firewalls (NGFW) von Unternehmen mit Intrusion Detection System (IDS) können Bedrohungssignale liefern.
Diese Kategorie hebt sich am stärksten vom herkömmlichen SIEM-basierten Ansatz ab, da diese Anbieter in der Regel über eine speziell entwickelte Bedrohungserkennung verfügen, bei der die zugrunde liegenden Daten und die Streaming-Analyse eng miteinander verbunden sind.
Käufer, die sich für eine netzwerk-, identitäts- und Cloud-basierte XDR-Lösung entscheiden, profitieren in der Regel von den Vorteilen einer umfassenden Transparenz, Benutzerfreundlichkeit und einer schnellen Wertschöpfung.
Dies steht im Gegensatz zum traditionellen SIEM, aber es gibt einen Kompromiss zu bedenken - während die häufigsten Anwendungsfälle abgedeckt werden, kann es maßgeschneiderte oder langwierige Anwendungsfälle geben, die außerhalb des Anwendungsbereichs liegen. Wenn das auf Sie zutrifft, müssen Sie möglicherweise einige dieser Fälle selbst entwickeln.
Für einige Käufer bedeutet dies, dass ein vollständiger SIEM-Ersatz nicht realisierbar ist, selbst wenn viele der Anwendungsfälle, die zuvor im SIEM verfolgt wurden, in den XDR verlagert werden können. Außerdem gibt es eine echte Unterscheidung zwischen geschlossenen und offenen Ökosystemen.
Käufer sollten nach kooperativem, offenem XDR Ausschau halten - das gesamte Ökosystem eines Anbieters zusammen mit einem zweitklassigen EDR-Agenten zu benötigen, um in den Genuss der Vorteile von XDR zu kommen, sollte für jeden ein Ausschlusskriterium sein.
Schlussfolgerung: Der Platz von XDR in der Zukunft der Cybersicherheit
Auch wenn die obigen Ausführungen einen gewissen Einblick in das geben, was auf einer XDR-Reise zu erwarten ist, gibt es noch viel zu tun, bevor die letztendlichen Schiedsrichter - die Käufer selbst - Klarheit in dieses Thema bringen.
Trotz der potenziellen Verwirrung und Uneinigkeit in der Zwischenzeit gibt es jedoch einen Punkt, der für alle, denen die Abwehr von Bedrohungen am Herzen liegt, ein Gewinn ist - der Aufstieg von XDR als Marktkategorie weist auf einen wichtigen Punkt der Reife im Streben nach Widerstandsfähigkeit durch Cybersicherheit hin.
Es ist ein Zeichen dafür, dass die teuren Fehlschläge der präventiv ausgerichteten Sicherheit überwunden sind und zum Mainstream gehören. Letztendlich ist das etwas, das jeder feiern sollte.
Erfahren Sie, wie die Plattform Vectra AI Ihre XDR-Strategie revolutionieren kann. Setzen Sie sich mit uns in Verbindung, um Widerstandsfähigkeit neu zu definieren und im Bereich der Cybersicherheit die Nase vorn zu haben.