Virtual Roundtable: Neue Trends im Bereich SIEM – EDR, XDR und künstliche Intelligenz bzw. automatisierte Reaktionen erwünscht?

Am 05.03.2021 lud das CYBER-Protection Magazine zum Virtual Roundtable „Artificial Intelligence in Extended Detection and Response” über eine Zoom-Konferenz ein. Der Geschäftsführer Prof. Dr. Kai-Oliver Detken der DECOIT® GmbH war als einer von vier Experten dabei und diskutierte über neue Trends im Bereich Sicherheitslückenerkennung und Monitoring. Während der deutsche Mittelstand sich noch mit dem Einsatz von SIEM-Systemen schwertut, arbeiten große Hersteller schon an intelligenten SIEM-Nachfolgern/-Ergänzungen, wie Extended Detection and Response (XDR) und Content Disarm and Reconstruction (CDR). Mit diesen Schlagworten wird mehr daraus gemacht als tatsächlich dahintersteckt, denn die meisten Funktionen erfüllen schon gängige SIEM-Systeme. Es wurde daher u.a. diskutiert inwieweit SIEM und XDR sich bereits angenähert haben.

Werfen wir einen kurzen Blick auf die Abkürzungen, um die es im Virtual Roundtable ging.

Extended Detection and Response (XDR) kombiniert Daten aus verschiedenen Quellen, wie z.B. aus dem internen Netzwerk, der Cloud, Log-Daten, mit allgemeinen Bedrohungsinformationen. Dadurch bringt es unterschiedliche Aspekte zusammen und liefert ein weitaus vollständigeres Bild eines Angriffs, der dank der integrierten Analysefunktionen schneller erkannt und besser abgeblockt werden kann. XDR soll eine Ergänzung zum SIEM-System sowie eine Weiterentwicklung von Endpoint Detection and Response (EDR) sein und das Filtern von relevanten Nachrichten erleichtern. Zudem ist XDR in der Lage, bösartigen Datenverkehr zurückzuverfolgen und einen Angriff zu rekonstruieren sowie automatisiert Bedrohungen zu beseitigen.

Content Disarm and Reconstruction (CDR) Technologie scannt hingegen Dokumente auf schädliche Inhalte. Im Gegensatz zur Malware-Analyse bestimmt oder erkennt die CDR-Technologie nicht die Funktionalität von Malware, sondern entfernt alle Dateikomponenten, die nicht innerhalb der Definitionen und Richtlinien des Systems zugelassen sind. Es wird verwendet, um zu verhindern, dass sich Sicherheitsbedrohungen im Unternehmensnetzwerk ausbreiten. CDR schützt beispielsweise E-Mail- und Webseiten-Verkehr. Auch CDR kann, wie XDR, automatisiert in die Prozesse eingreifen.  

Automatisierung durch Einsatz von künstlicher Intelligenz (KI) und ihren Nutzen waren folglich das zentrale Diskussionsthema beim Virtual Roundtable. Sollte ein Monitoring-System Prozesse automatisiert ohne menschliche Kontrolle abschalten können? In KRITIS-Infrastrukturen würde ein solches Systemverhalten mitunter zu Ausfällen führen, was keinesfalls passieren darf. Auch die generierten „False Positives“ (Falschmeldungen) darf sich nicht auf die Verfügbarkeit von Systemen auswirken.

Ein Punkt, dem wohl alle Teilnehmer zustimmten ist, dass die Menge an Daten, die mittlerweile verarbeitet und ausgewertet werden, den Einsatz automatisierter Prozesse erfordert. Um potenzielle Attacken noch besser zu erkennen, ist dabei der Einsatz künstlicher Intelligenz zwingend notwendig. Zudem scheinen sich SIEM-Systeme immer mehr XDR-Systemen zu nähern und umgekehrt. Weitere Aspekte wurden bei der interessanten Debatte kontrovers diskutiert, die unterschiedliche Standpunkte zu den Themen zeigte. Die Diskussion des Virtual Roundtable wurde auf Englisch geführt und ist über den YouTube-Kanal des CYBER-Protection Magazine verfügbar (siehe unten).

Teilnehmer am Virtual Roundtable:

Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient, verfügt über mehr als 25 Jahre Erfahrung im IT-Sektor.

Matthias Canisius, Regional Director CE von SentinelOne verfügt über mehr als 20 Jahre Erfahrung in der Unternehmensentwicklung und Sales Management diverser IT-Sicherheitsunternehmen, wie u.a. Check Point, Netscreen/Juniper and F5 Networks.

Ivan Mans, CTO von SecurityBridge, arbeitet seit 1997 mit dem SAP-System. Als Co-Founder von SecurityBridge leitet er das Produktentwicklungsteam für die SAP SecurityBridge Plattform.

Prof. Dr.-Ing. Kai-Oliver Detken, Geschäftsführer der DECOIT® GmbH und Senior IT Consultant, verfügt über mehr als 20 Jahre Erfahrung in Kunden- und Forschungsprojekten im Bereich der IT-Sicherheit. Insbesondere SIEM-Systeme stehen seit vielen Jahren im Fokus der DECOIT®-Forschungsprojekte.

Zurück