Cortex XDR: Mehr als Endpoint-Schutz – Integrierte Sicherheit für Ihre gesamte Infrastruktur
Cortex XDR Innovationsgrad:
Cortex XDR hebt sich durch einen ganzheitlichen und integrierten Sicherheitsansatz von anderen Lösungen ab. Es geht über traditionelle Endpunktsicherheit (EDR) hinaus, indem es Daten aus Endpunkten, Netzwerken, Cloud-Umgebungen und Drittanbieter Quellen korreliert. Dies ermöglicht eine umfassendere Verteidigung gegen vielschichtige Angriffe.
Überlegene Erkennung:
Durch die kontinuierliche Analyse ungefilterter Daten liefert Cortex XDR eine höhere Erkennungs-Qualität (100 % im MITRE ATT&CK Enterprise 2024 Evaluation, selbst nach Entfernung der Filter bzgl. verzögerter Erkennungen und Konfigurationsänderungen) und 20 % mehr Technik-Level-Erkennungen als führende Wettbewerber.
Automatisierte Ursachenketten (Causality Chains):
Die Lösung verknüpft automatisch tausende von Datenpunkten zu visuellen Ursache-Wirkungs-Ketten. Dies automatisiert die Analyse, beschleunigt Untersuchungen und liefert sofortige Einblicke in Angriffe.
Integrierte Plattform:
Sie bricht Sicherheits-Silos auf, indem sie Netzwerk-, Endpunkt- und Cloud-Sicherheit in einer einzigen Plattform vereint.
Tiered Multitenancy:
Cortex XDR-Mandantenfähigkeit ermöglicht die zentrale Verwaltung mehrerer, getrennter Sicherheitsumgebungen über eine Konsole. Die Architektur besteht aus einem Hauptmandanten und untergeordneten Mandanten, was zentrale Einblicke bei getrennter Datenhaltung erlaubt. Lizenzen können zentral vom Hauptmandanten verwaltet werden. Konfigurationen, Richtlinien und Ausnahmen können vom Hauptmandanten aus erstellt und auf untergeordnete Mandanten angewendet werden, was eine flexible und sichere Verwaltung gewährleistet. Die sicherheitsrelevanten Daten jedoch werden nie im Hauptmandanten gespeichert. Dadurch wird ein zentrales SOC in die Lage versetzt auf Alarme/Incidents zu reagieren ohne die Daten der einzelnen Tenants zentral verfügbar zu machen.
Identitätsbasierte Bedrohungserkennung:
Cortex XDR verfügt über integrierte Funktionen zur Erkennung von Bedrohungen, die auf Identitäten abzielen (z. B. Insider-Bedrohungen und anomales Nutzerverhalten), was durch das Identity Threat Detection and Response (ITDR) - Modul weiter ausgebaut werden kann.
KI-gestützte Analytik:
Machine-Learning-Algorithmen sorgen für präzise, datenwissenschaftlich fundierte Erkennungen und reduzieren das Rauschen durch Fehlalarme durch Anpassung an die konkreten Gegebenheiten innerhalb der Organisation. Das System ist hierbei in der Lage, selbst auf unbekannte Bedrohungen zu reagieren, da die Erkennung auf Anomalien basiert statt starren Regelwerken zu folgen.
Reduzierung von MTTD und MTTR:
Durch vordefinierte, quellenübergreifende und am MITRE ATT&CK-Framework ausgerichtete Erkennungsregeln, Verhaltensanalysen (UEBA) und native Reaktionstools (z. B. Live Terminal, Skriptausführung, Automatisierungen) werden die Zeiten zur Erkennung und Behebung von Bedrohungen drastisch verkürzt.
Entlastung von Sicherheitsteams:
Die Lösung reduziert die "Alert Fatigue" und den Personalmangel, indem sie Alarme intelligent korreliert und manuelle Analyseprozesse automatisiert. Insbesondere werden Zusammenhänge zwischen Alarmen aus verschiedenen Quellen (Endpunkt, Identität, Netzwerk) gebildet und der Vorfall in einem ganzheitlichen Kontext dargestellt.
Nachweis von Expertise:
Palo Alto Networks stellt mit dem Unit 42-Team weltbekannte Bedrohungsforscher und -jäger zur Verfügung. Zudem wurde der technische Support mehrfach für herausragenden Kundenservice ausgezeichnet.
Wirtschaftliche Realisierbarkeit:
Die Lösung bietet einen hohen ROI durch die Konsolidierung mehrerer Einzelprodukte, was die Betriebskosten senkt. Sie kann teure SIEM-Lösungen entlasten und bietet im Vergleich zu Wettbewerbern ein transparentes Lizenzmodell ohne versteckte Kosten.
Intuitive Oberfläche:
Eine moderne, zentrale Konsole vereinfacht Konfiguration, Untersuchung und Reaktion. Der XQL Query Builder hilft auch weniger spezialisierten Mitarbeitern bei der Erstellung komplexer Abfragen.
Visualisierung von Bedrohungen:
Alarme werden automatisch zu übersichtlichen Vorfällen (Incidents) gruppiert. Die "Causality View" stellt Angriffsketten visuell dar und ordnet sie dem MITRE ATT&CK Framework zu, was eine schnelle Einschätzung der Lage ermöglicht.
Klare Handlungsempfehlungen:
Das System liefert verständliche Handlungsempfehlungen, automatisierte Vorschläge zur Behebung und Cyber-Hygiene-Berichte.
Verfügbarkeit und Reaktionszeit:
Premium-Support und der Managed Threat Hunting Service sind 24/7 verfügbar. Palo Alto Networks garantiert schnelle Reaktionszeiten auf Supportanfragen (z. B. <1 Stunde bei kritischen Problemen).
Palo Alto Networks ist ein weltweit führendes Unternehmen im Bereich der Cybersicherheit und Anbieter einer integrierten, plattform-basierten Sicherheitsarchitektur. Das Ziel von Palo Alto Networks ist die kontinuierliche Erhöhung der digitalen Sicherheit für Unternehmen und Organisationen weltweit. Durch die Bereitstellung innovativer Lösungen in den Bereichen Netzwerksicherheit, Cloud-Sicherheit und Security Operations ermöglicht Palo Alto Networks Unternehmen und Behörden, ihre kritischen Daten und Systeme wirksam vor einer sich ständig weiterentwickelnden Bedrohungslandschaft zu schützen.
Die Gründung von Palo Alto Networks erfolgte im Jahr 2005 durch Nir Zuk, der bereits zuvor bei Checkpoint bei der Entwicklung fundamentaler Sicherheitstechnologien wie der Stateful-Inspection-Firewall und des ersten Intrusion-Prevention-Systems (IPS) federführend war. Auf dieser Grundlage entwickelte Palo Alto Networks die Next-Generation Firewall (NGFW) und etablierte damit einen neuen Industriestandard für die Applikations-, Nutzer- und Inhaltsbasierte Netzwerksicherheitskontrolle, der den traditionellen, Port basierten Ansatz ablöste.
Als börsennotiertes Unternehmen mit einer globalen Belegschaft von circa 17.000 Mitarbeitern agiert Palo Alto Networks auf allen Kontinenten. Für den deutschen Markt wurde die Palo Alto Networks (Germany) GmbH gegründet, deren Hauptniederlassung sich in München befindet. Für den öffentlichen Sektor sind in Deutschland knapp 40 Mitarbeiter zuständig, von denen ungefähr die Hälfte Techniker/Consultants sind.
Unternehmensweit sind ca. 30% der Mitarbeiter direkt in der Entwicklung tätig, was den Anspruch Palo Alto Networks unterstreicht, weiterhin ein Technologieführer im Bereich der Cyber Security zu sein. Palo Alto Networks sichert über 90.000 Organisationen weltweit ab und hält über 600 Patente im Bereich Cybersicherheit. Zudem ist Palo Alto Networks mit verschiedenen Lösungen wie Firewalls, SD-WAN, SASE, SSE und Endpoint Sicherheit im Gartner Magic Quadrant als Leader vertreten.
Analyse in Echtzeit und KI-gesteuerte Erkennung:
Die Analyse-Engine von Cortex XDR untersucht kontinuierlich Daten, die von verschiedenen Sensoren gesammelt wurden, um eine Aktivitäts-Baseline zu erstellen. Sie wendet Algorithmen des maschinellen Lernens auf Endpunkt-, Netzwerk-, Identitäts- und Cloud-Daten an, um abnormale Aktivitäten zu erkennen und Warnmeldungen auszulösen. Cortex XDR verwendet einen Multi-Methoden-Ansatz, einschließlich Behavioral Threat Protection (BTP), der die Endpunktaktivität kontinuierlich auf bösartige Kausalketten überwacht und ausgeklügelte Angriffe blockiert, die integrierte Betriebssystemprogramme und gängige Verwaltungsprogramme ausnutzen. Beispielsweise ist es für Cortex XDR nicht notwendig, eine bestimmte Ransomware-Art oder gar ein spezifisches Sample zu kennen, sondern rein das Verhalten (Verschlüsselung der Daten) führt bereits dazu, dass das Verhalten unterbunden wird.
Automatisierte Reaktion und Wiederherstellung:
Cortex XDR isoliert infizierte Systeme automatisch, indem es sämtliche Verbindungen beendet und blockiert, wodurch der Netzwerkzugang für den Endpunkt sofort gestoppt wird, während die Kommunikation mit Cortex XDR selbst weiterhin möglich ist. Diese Isolierung kann mit einer Allow List für bestimmte Anwendungen oder Prozesse angepasst werden und kann sogar automatisch wiederhergestellt werden, wenn die Verbindung zum Verwaltungsserver für einen bestimmten Zeitraum unterbrochen wird. Für die Wiederherstellung von Endpunkten bietet Cortex XDR Maßnahmen, um bösartige Dateien und Registries zu entfernen und beschädigte Dateien wiederherzustellen, ohne von externen SOAR-Lösungen abhängig zu sein. Flexible einstufige Aktionen oder benutzerdefinierte Skripte, die auf der Konfidenz von Warnungen basieren, sind nur einige der Beispiele. Weiterhin können automatisiert Malware-Scans sowie das Einsammeln von weitergehenden forensischen Beweisen umgesetzt werden, sobald ein anfängliches Verdachtsmoment vorliegt.
Integration eines MDR Services:
Cortex XDR kann auf Wunsch einen Managed Detection & Response (MDR)-Service integrieren. Der Dienst kann hierbei sowohl die Unit 42 Managed Detection and Response (MDR)-Lizenz durch Palo Alto Networks selbst, als auch via Partnern im sogenannten XMDR-Konstrukt bezogen werden. Beide Ansätze ermöglichen eine 24/7 Überwachung durch die Experten von Unit42 respektive des Partners. Unit42 bietet hierbei sowohl einen reaktiven Ansatz im Falle eines Incidents, als auch einen proaktiven Ansatz durch Treat Hunting, Red Teaming uvm. Gleichzeitig ist Unit42 ebenfalls als APT Incident Response Dienstleister beim BSI gelistet, sodass bei gleichzeitigem Bezug der IR-Dienstleistung eine nahtlose Übergabe möglich ist.
Forensik und Telemetriedaten:
Die Standardaufbewahrungsdauer für aufgenommene Daten beträgt in der Regel 31 Tage. Sollten aus den Daten Alarme generiert werden, werden diese für 180 Tage aufbewahrt. Für die Rohdaten können Kunden zusätzliche Data Retention Addons erwerben, um diese Dauer sowohl für Hot- (vollständig durchsuchbar) als auch für Cold-Storage-Optionen (kostengünstiger, begrenzte Suche) zu verlängern. Im Hinblick auf die Einhaltung der DSGVO ermöglicht Cortex XDR den Kunden, während der Aktivierung ihre geografische Region für das Tenant-Hosting zu wählen. Cortex XDR unterstützt insbesondere die Datenresidenz in Deutschland, wodurch sichergestellt wird, dass alle Protokolle und erfassten Daten innerhalb der deutschen Grenzen gehostet bleiben. Des weiteren sind sowohl die von Palo Alto Networks genutzten Datacenter, als auch die Produkte selbst BSI C5 testiert. Dies beweist, dass Palo Alto Networks die Sicherheitskontrollen des BSI in 17 Bereichen wirksam implementiert hat.
Integrationsfähigkeit in bestehende Systeme:
Cortex XDR bietet starke Integrationsmöglichkeiten für bestehende Sicherheits- und IT-Systeme sowie eine umfassende Unterstützung für hybride Infrastrukturen.
Cortex XDR erreicht eine umfassende Sichtbarkeit durch die Aufnahme von Daten aus einer Vielzahl von Quellen, darunter Palo Alto Networks-Produkte sowie verschiedene Firewalls von Drittanbietern (z. B. Check Point, Cisco ASA, Fortinet, Zscaler). Es lässt sich auch mit diversen Authentifizierungsdiensten von Drittanbietern integrieren. Daten aus diesen verschiedenen Quellen werden aggregiert und in gemeinsamen Schemata, den so genannten "Stories", für eine effiziente Untersuchung und Analyse zusammengeführt (“Stitching”). Cortex XDR unterstützt hybride Umgebungen durch die Bereitstellung von Cortex XDR-Agenten auf lokalen Endpunkten (Windows, macOS, Linux, Android) zur Datensammlung und zum mehrschichtigen Schutz. Für die Datenerfassung vor Ort fungieren Broker VMs, die den Endpunktverkehr weiterleiten und Protokolle aus verschiedenen lokalen Quellen wie Syslog, Datenbanken und Windows Event Collector sammeln. Zusätzlich sind XDR Collectors für dedizierte Datenerfassung sowie eine API zur Integration von Cortex XDR in Drittsysteme verfügbar.
