So kommen IT-Teams Hackern und Schwachstellen frühzeitig auf die Spur

Erfolgreiche Cyberangriffe auf Unternehmen erfolgen in den seltensten Fällen "Knall auf Fall", sondern sind das Resultat längerer und vor allem aufwendiger Vorbereitungen aufseiten der Hacker. Je besser das anzugreifende Netzwerk jedoch abgesichert ist, desto intensiver müssen Cyberkriminelle nach Schwachstellen suchen. Das bedeutet für sie, vorab geeignete Wege zu finden, um in der Zielorganisation eine Basis für einen Angriff schaffen zu können. Insbesondere, wenn Advanced Persistent Threats und Zero-Day-Exploits ins Spiel kommen, stossen jedoch klassische Sicherheitsprodukte an ihre Grenzen. Diese Gefahren können zwar selten direkt, wie beispielsweise Malware, aber umgehend als Anomalie im Netzwerk erkannt werden.

Endpoint Detection and Response

Abhilfe schaffen Endpoint-Detection- and Response-Lösungen, die das Schutzniveau deutlich erhöhen und IT-Security-Verantwortlichen eine umfassende Innensicht ihres Netzwerks ermöglichen. Aber was bedeutet Detection und Response eigentlich in der Praxis? Zum einen soll damit der Endpoint geschützt werden ("Detection"), auf dem die meisten Hacker-Aktivitäten stattfinden. Dort liegt ein Grossteil der schutzwürdigen Daten vor, beziehungsweise werden am Gerät zum Beispiel Passwörter oder Bankdaten eingegeben. Zum anderen beschreibt "Response", dass auf Anomalien sofort reagiert werden kann.

Alle Aktivitäten innerhalb der IT-Infrastruktur (Nutzer-, Datei-, Prozess-, Registry-, Speicher- und Netzwerkvorgänge) können dank EDR in Echtzeit überwacht und bewertet werden. Bei Bedarf kann der IT-Verantwortliche sofort manuell handeln oder es greifen automatische, zuvor definierte Verhaltensweisen ein. Nur auf diese Weise lassen sich erste Spuren von Hackern identifizieren, Fehlverhalten von Mitarbeitenden bestimmen und Sicherheitsmängel ausfindig machen. Oder die Einfallstore finden, die bei einem erfolgreichen Hackerangriff auf das eigene Netzwerk zu weit offenstanden.

Die Auswertung aller Endpoint-Daten in einem Netzwerk lässt Rückschlüsse auf die Validität einzelner Abläufe zu. Eine genaue Erfassung von alltäglichen Vorgängen wie das Kopieren von Dateien, User-Zugriffe auf bestimmte Bereiche im Netzwerk, aber auch An- und Abmeldungen von Anwendern erlaubt bei entsprechender Auswertung ein Herausfiltern bösartiger Aktivitäten.

Zudem bieten Endpoint- und Response-Lösungen eine weitere wichtige Einsatzmöglichkeit: Mit ihrer Hilfe können nach einer Cyberattacke forensische Untersuchungen vorgenommen ­werden. Ähnlich einem Mordfall in bekannten Krimis werden ­möglichst viele Informationen gesammelt und Alibis, in diesen Fällen die ordnungsgemässen Arbeitsweisen, überprüft. Administratoren erkennen dann zuverlässig, wie der Angriff ablief, welche Schwachstellen konkret ausgenutzt und welche Ver­änderungen im Netzwerk vorgenommen wurden. Dazu kann der Verantwortliche auf Informationen von Reputationssystemen zurückgreifen und/oder anhand des "MITRE ATT&CK"-­Frameworks die einzelnen Phasen einer Attacke umgehend einordnen.

EDR-Lösungen ersetzen dabei keine Endpoint-Protection- oder Antiviren-Lösungen, sondern ergänzen sie um eine wichtige Komponente: die Erkennung von Verhaltensanomalien, die im Netzwerk und auch auf den Endpoints auftreten. Diese Erkennung basiert auf vordefinierten Regeln in einem Rechnerverbund, die alle legalen Aktivitäten abbilden. Basierend auf diesen Angaben analysiert die EDR-Anwendung die Datenströme. Darüber hinaus werden auch Informationen der eingesetzten Endpoint Protection in die Bewertung einbezogen.

Managed Detection and Response als lukrative ­Dienstleistung

Aufgrund der Vielschichtigkeit und der Komplexität der Materie kamen EDR-Lösungen bislang nur in Grosskonzernen zum Einsatz, in denen die IT-Abteilungen entsprechende Ressourcen und Know-how mitbringen. Dies ändert sich gerade gravierend: Mittelständische Unternehmen nutzen verstärkt die Möglichkeit, EDR in ihren Netzen einzusetzen. Sie greifen dabei auf eine stetig wachsende Anzahl von Dienstleistern zurück, die mit dem sogenannten Managed Detection and Response (MDR) ihre Expertise als Service anbieten. Dieser Bereich steht noch am Anfang und bietet gerade deshalb viel Potenzial für den Channel.

Extended Detection and Response für Security-Profis

Sicherheitsexperten schwören auf die erweiterte Form von Endpoint Detection and Response: Extended Detection and Response (XDR). Diese besondere Variante bezieht Daten nicht nur von Endpoints, sondern auch von vielen weiteren Informationsquellen in seine Analysen mit ein. Dies können im "einfachen" Fall Daten aus Netzwerken, E-Mails oder der Cloud-Sandbox sein. Besonders wertvoll wird XDR dann, wenn Telemetriedaten aus weiteren Quellen wie Cloud-Anwendungen, SIEM (Security Information and Event Management), SOAR (Security Orchestration and Response) oder RMM (Remote Monitoring and Management) verarbeitet werden.

Für die gewinnbringende Auswertung aller Daten benötigt XDR zum einen eine leistungsfähige EDR-Lösung und zum anderen eine Security-Plattform, die mit der nötigen Performance und einem ausgefeilten Know-how aus Einzelinformationen Übersichten, Problemlösungen und Security-Aktionen generieren kann. Hierauf sollten Unternehmen bei der Auswahl der Sicherheits­lösungen besonders achten.

Fazit

Alle Detection-&-Response-Lösungen haben eine grosse Gemeinsamkeit: Sie schaffen Sichtbarkeit der Vorgänge in einer Organisation. Nichts ist schwieriger, als einen unsichtbaren Feind bekämpfen zu wollen. Aber selbst, wenn es Angreifern möglich wird, einige der automatisierten Verteidigungsmassnahmen zu durchdringen, können EDR-/XDR-/MDR-Lösungen in der forensischen Arbeit von unschätzbarem Wert sein. Anhand deren Daten und Ergebnisse wird sichtbar, wie Cyberkriminelle ins Netzwerk eindrangen und es können daraus ableitend Massnahmen ergriffen werden, um die eigene IT-Sicherheitsarchitektur weiter zu verbessern.