XDR, DLP, SIEM, CASB

Mehr Sicherheit versprechen sich die von com! professional befragten Experten auch von der Weiterentwicklung bekannter Lösungsansätze.

EDR:
Endpoint-Detection-&-Response-Lösungen (EDR) sorgen in Unternehmen zweifellos für ein höheres Sicherheitsniveau. Aber es besteht die Gefahr, dass Sicherheitsverantwortliche von zu vielen Informationen erschlagen werden. „Einige EDR-Lösungen konzentrieren sich tatsächlich hauptsächlich auf das Auslösen von Warnmeldungen für potenzielle Sicherheitsvorfälle. Zu viele dieser Warnmeldungen führen natürlich zu Überlastung und Desensibilisierung“, erklärt Liviu Arsene. „Die neueste Generation von EDR ist jedoch deutlich effektiver und kann Warnungen prüfen, um False Positives zu verhindern. So vermindert sich die Anzahl der Warnungen allgemein und Manager haben mehr Zeit, sich auf die wirklich wichtigen Vorfälle zu konzentrieren.“ Dennoch: Die Sicht von EDR ist auf den jeweiligen Endpoint beschränkt. Der neueste Trend ist deshalb XDR. Das X steht dafür, dass XDR im Gegensatz zu EDR Daten aus verschiedenen Quellen wie Endpoints, Netzwerk, Cloud und Log-Daten mit Bedrohungsinformationen kombinieren und so ein vollständigeres Bild eines Angriffs liefern soll. 

DLP:
Laut „Cloud Security Report 2019“ von Bitglass setzen nur 20 Prozent der Unternehmen auf Data Loss Prevention (DLP). Bitglass-Manager Scheffler hat eine Erklärung dafür: „Für die meisten Unternehmen ist es sehr schwierig, eine einfach zu bedienende DLP-Lösung zu finden.“ Auch gebe es nicht die eine zentrale Lösung - vielmehr müssten verschiedene Bereiche und Abläufe betrachtet werden und stets eine Klassifizierung der Daten stattfinden. Zudem gelte es, sich neben der technischen Lösung, die häufig aus mehreren Hardware- und Software-Komponenten besteht, auch mit Datenschutzfragen auseinanderzusetzen. „Oft versuchen Unternehmen auch, sämtliche alten Daten zu klassifizieren, und da dies sehr umfangreich erscheint, lässt man das Thema lieber ganz unbeachtet.“

SIEM: Ein System für Security Information and Event Management (SIEM) hilft, ungewöhnlichen Datenverkehr und damit potenzielle Sicherheitsvorfälle aufzudecken. Es analysiert Meldungen und Logfiles verschiedener Systeme und schlägt Alarm, wenn Anomalien auftreten. Verdächtige Ereignisse oder gefährliche Trends lassen sich so in Echtzeit erkennen. Egon Kando von Exabeam sieht auch hier Fortschritte: „Im Gegensatz zu älteren Generationen von SIEM entstand Next-Gen-SIEM im Zeitalter von Big Data und baut auf einer komplett neuen Architektur auf. Ein weiterer großer Unterschied liegt darin, dass Next-Gen-SIEM auf maschinelles Lernen setzt und damit die Log-Informationen viel schneller verarbeiten kann. Die Algorithmen passen sich an das Unternehmensnetz an und können Anomalien ohne großen Konfigurationsaufwand automatisch aufdecken.

CASB: Wenn es um Cloud-Sicherheit geht, setzen viele Unternehmen auf vertraute Security-Konzepte wie Verschlüsselung, Firewall und lokale Backups. Moderne Ansätze wie Cloud Access Security Broker (CASB) holen aber langsam auf. CASB bieten viele Funktionen, die ein SIEM sinnvoll ergänzen. Durch maschinelle Lernverfahren und kontextbezogene Nutzungskontrollen machen sie Gefahren und Sicherheitslücken transparent. Sie zeigen auf, welche Services wann, wo und von wem verwendet werden, und unterscheiden zwischen herkömmlicher und Cloud-Nutzung. Ein Szenario sieht so aus: Ein SIEM sammelt die sicherheitsrelevanten Log-Daten aus dem Unternehmen, ein CASB übernimmt die Daten, analysiert sie auf cloudspezifische Risiken und Sicherheitsvorfälle und spielt die Informationen an das SIEM zurück, das sie weiterverarbeitet. So macht der CASB das SIEM auf mögliche Vorfälle aufmerksam, die ihm sonst verborgen geblieben wären.

Die Zahl der Angriffsflächen wächst mit dem Fortschreiten der digitalen Transformation. Ob autonome Fahrzeuge oder Roboter in der Fertigungsindustrie, die Intelligenz kommt zunehmend aus der Cloud oder nutzt Edge-Computing. Angreifer werden versuchen, die Kontrolle darüber zu erlangen. Digital Twins enthalten vertrauliche Daten zu Menschen und Maschinen. Auch diese Daten sind lohnende Ziele. Analytics wird vermehrt von Cloud-Services durchgeführt, die sich womöglich von Angreifern ausspionieren oder manipulieren lassen. Und allzu oft wird auch die Sensibilisierung der Mitarbeiter noch vernachlässigt. Social Engineering dürfte daher ein Einfallstor bleiben. Zudem werden großangelegte, professionelle Cyberangriffe durch staatliche Akteure zunehmen.

Eines ist also gewiss - langweilig wird es nicht. „Das Katz-und-Maus-Spiel zwischen Cybersecurity-Branche und Kriminellen wird wohl nie enden. Aber manchmal ist ein Unentschieden auch ein Sieg“, resümiert Bitdefender-E-Threat-Analyst Liviu Arsene.