EDR und NDR für eine präventive Cyberabwehr

Lesezeit
4 Minuten
Drucken
a- a+
Veröffentlicht Vor 6 Monaten
Zuletzt aktualisiert Vor 7 Monaten
Bis jetzt gelesen

EDR und NDR für eine präventive Cyberabwehr

04.10.2023 - 07:00
Veröffentlicht in:

Advanced Persistent Threats beginnen oft unscheinbar, bevor sie ihr Schadenspotenzial entwickeln. IT-Sicherheitsverantwortliche stehen daher vor der Aufgabe, schon zu einem frühen Zeitpunkt richtig auf die ersten Hinweise eines möglichen Angriffs zu reagieren. Eine Prävention ermöglicht eine KI-basierte Sichtbarkeit aller Vorgänge am Endpunkt und im Netzwerk. Durch den Abgleich legitimer und anomaler Prozesse lassen sich dann in der Folge weitere Maßnahmen in der IT-Abwehr starten.

KI-gestützte NDR und EDR liefern unverzichtbare Informationen beziehungsweise Tools für eine wirkungsvolle Abwehr komplexer Angriffe.

Viele Advanced Persistent Threats beginnen unscheinbar mit einer automatisierten Phishing-Mail oder einem opportunistischem Schwachstellenscan. An deren Ende stehen mitunter ein hocheffizienter Angriff durch Ransomware oder eine unbemerkt durchgeführte Cyberspionage. IT-Administratoren benötigen daher Tools, die schon die ersten Hinweise eines sich anbahnenden Angriffs melden. Network Detection and Response (NDR) und Endpoint Detection and Response (EDR) bieten die Möglichkeit, Indizien von Attacken in jeder Phase der Kill-Chain im Kontext zu erkennen und einschlägig sowie relevant zu melden. Mit dem ersten Eindringen in ein System hinterlassen Angreifer Spuren im Netzverkehr und auf unterschiedlichen Endpunkten, wie das Installieren eines ausführbaren Codes oder die erste Kommunikation mit dem Command-and-Control-Server, bevor sie minimalinvasiv mit scheinbar legitimen Seitwärtsbewegungen den eigentlichen Angriff vorbereiten. Mit Interaktion und Koordination beantworten EDR und NDR – basierend auf einer durch künstliche Intelligenz und Machine Learning geschaffenen Sichtbarkeit aller IT-Vorgange – vier zentrale Fragen für die Cyberabwehr:

Welche Komponenten umfasst die IT-Infrastruktur?
Viele IT-Administrationen können keine Abwehr starten, weil sie die angegriffenen Systeme, ihr Verhalten und ihre Konnektivitäten nicht einmal sehen. NDR, das den ganzen externen und internen Verkehr überwacht, sieht neue Verbindungen aller digitalen Entitäten mit zentral verwalteten IP-Adressen. Zudem erkennt sie, wenn Daten in unüblichen Mengen oder zu ungewöhnlichen Zeiten zwischen bekannten Systemen oder nach außen fließen. Dadurch zeigt sie auch unbekannte Assets im Netz – wie Schatten-IT oder einmal angelegte und eventuell wieder vergessene virtuelle Maschinen.

EDR wiederum sieht alle zentral verwalteten Endpunkte mit einer IP-Adresse. Auf einem solchen Arbeitsnotebook erkennt ein EDR-Agent gefährlicher Prozesse, wenn ein Mitarbeiter per Fernzugriff arbeitet. Dabei kann sie auch legitime Kompression oder Verschlüsselungen von illegitimen unterscheiden oder sieht auffällige Aktivitäten eines gekaperten Nutzerkontos mit eskalierten Privilegien. Auch eine angemietete Cloudserver-Instanz lässt sich überwachen, indem Administratoren einen Agenten dort installieren.

Welche Prozesse laufen wo ab und wie sind sie zu bewerten?
Werkzeuge zum Beobachten von Prozessen helfen dem menschlichen Beobachter, der mit der notwendigen Analyse der Aktivitäten im Netz und auf den Endpunkten überfordert ist – mit kontinuierlichem Monitoring und der zutreffenden Interpretation der IT-Vorgänge. Eine mittlerweile auch für mittelständische Unternehmen erschwingliche künstliche Intelligenz definiert die normalen Modelle des Datenverkehrs oder der Endpunktaktivitäten. Daraus abgeleitet erkennt sie zutreffend, schnell und effizient neue und damit eventuell illegitime Abläufe, die auf einen Angriff hindeuten, und kann sie präventiv abstellen.

EDR und NDR beobachten für diese Zweck komplementär ihre jeweiligen Bereiche. Durch das Erfassen von anomalen Verhalten im Kontext können sie schon kleine auffällige Muster im Datenverkehr oder in den Prozessen relevant und zutreffend melden. Wichtig ist etwa, auffällige Wege bei Seitwärtsbewegungen nachzuzeichnen – auch dann, wenn Hacker ihre Aktivitäten mit legitimen Administratortools und Diensten tarnen. Für bösartige Angriffe sprechen schon in einem frühen Angriffsstadium folgende Indikatoren im Netzverkehr:

  • Verschleierte Kontaktaufnahmen: NDR-Software mit Zugriff auf DNS-Systeme erkennt, wenn die Antwort eines unternehmenseigenen Systems auf eine scheinbar legitime Anfrage an unbekannte Server weitergeleitet wird. Das Umleiten einer Anfrage über die Log4j-Schwachstelle eines Webservers ist ein prominentes Beispiel.
  • Algorithmen-gesteuerte Generation neuer Domänen: Angreifer erzeugen mit Algorithmen regelmäßig eine große Zahl von Zufallsdomänen als Zieladressen, die an die eigentliche IP der Hacker angebunden sind.
  • Verschlüsselte Kommunikation: Command-and-Control-Server kommunizieren oft verschlüsselt. Dafür verwendete Protokolle sprechen für einen externen Zugriff.
  • Brute-Force-Attacken: Intelligente Angreifer reduzieren die Zahl der Logversuche oder führen Angriffe verteilt durch. Eine KI erkennt diese Tarnmethoden oder die atypische Dauer einer Zugriffssession, das Zusammenspiel der Protokolle und die Kommunikation des Brute-Force-Tools mit dem C&C-Server.
  • Verdächtige Bewegungsmuster: Ein legitimer Administrator oder eine legitime Applikation greifen gezielt auf die ihnen bekannten Systeme zu. Der Angreifer sucht nach Informationen und nach Ansatzpunkten für Angriffe. Dafür springt er von System zu System oder geht alle der Reihe nach ab.
  • Datendiebstahl: Das Lesen, Exportieren oder Kopien von Daten mit hoher Frequenz erkennt die KI durch den plötzlich erhöhten Datendurchsatz, den solche Prozesse verursachen.

Ein Endpunktschutz unterbindet solche Prozesse unmittelbar beim Ausführen eines Angriffs. Ein auf Grund der Analyse des Netzverkehrs durch NDR erstellter Notfallplan legt im Voraus fest, welche Systeme eine EDR dann abriegeln soll, um Infektionswege effizient abzuschneiden.

Welche Abwehr schreitet wann ein?
Schon ein fortschrittliches Antivirus in Kombination mit der Threat Intelligence einer EDR wehrt mit Schadcode implementierte Inhalte von Phishing-Webseiten in einer Mail und die durch Signaturen bekannte Malware ab. Komplexe Angriffe benötigen ein intelligentes Schutzschild: Administratoren, die auf einem Dashboard Endpunkt und Netzwerk überblicken und einen proaktiven Alarm erhalten, können unbekannte Prozesse früh überprüfen. Sind die Vorgänge durch keinen legitimen Ablauf erklärbar, lassen sich zukünftige Angriffe, zumindest offensichtlich nicht notwendige Abläufe schon im Keim ersticken. In eindeutigen Fällen laufen sofort automatisierte Blueprints von Abwehrprozessen ab.

Eine NDR sieht den Aufbau der Kommunikation zwischen einem infizierten System und einem bösartigen Command-and-Control-Server schon ab dem Moment, ab dem die Hacker erste Befehle zum Errichten einer persistenten Präsenz der externen Täter senden. Direkt im Anschluss können sie diesen Nachrichtenverkehr abschneiden.

Wer übernimmt was?
Eine NDR meldet Gefahren, sie benötigt jedoch die Durchsetzungskompetenz am Endpunkt: NDR erkennt eine Datenexfiltration am Datenverkehr, nur die EDR kann den Vorgang vor Ort stoppen. Sie zeigt damit Schwachstellen auf, deren Ausnutzen eine EDR durch virtuelle Patches blockt, bevor ein Patch eines Softwareanbieters bereitsteht oder ein Admin ihn einspielt.

Nur ein Zusammenspiel von NDR und EDR erzeugt umfassende Sicherheit – bei gleichzeitig ebenfalls wichtiger Interaktion mit anderen Abwehrtechnologien. Im Kontext interpretierte Informationen aus mehreren Quellen erfassen das Gesamtgeschehen in der IT-Infrastruktur und verknüpfen vereinzelte Spuren zu einem Ganzen. Der IT-Administrator benötigt Tools, die solche Kontexte zusammenstellen. Eine derart gestaffelte und vielbeinige Abwehr bedeutet mehr, als nur viele Auffangnetze zu spannen. Sie verbessert die Analyse von Angriffen und das Schließen einmal ausgenutzter Schwachstellen gegen zukünftige Angriffe. Sie agiert auch präventiv, in dem sie IT-Administratoren darauf hinweist, Patches einzuspielen und die Sicherheit von Endpunkten für die Zukunft zu verbessern. Sie beschleunigt für die Zukunft die Reaktionszeit der Cyberabwehr.

Fazit
KI-gestützte NDR und EDR liefern unverzichtbare Informationen beziehungsweise Tools für eine wirkungsvolle Abwehr komplexer Angriffe. Unternehmen benötigen die Hilfe, um sich vor solchen Attacken zu schützen. Letztlich bleibt der Mensch immer noch der entscheidende Kontrollfaktor. IT-Sicherheitsverantwortliche und das Management können durch ihr Unternehmenswissen aufzeigen, dass sich hinter einer neuen IP-Adresse ein Mitarbeiter im Home Office oder ein neuer Partner verbirgt, was einen neuen Prozess erklärt. Viele kleine IT-Teams haben dafür keine Zeit. Sie erkennen auch nicht branchentypische und regionale Angriffsmuster. Externe Cybersicherheitsexperten eines Managed-Detection-and-Response-Dienstes liefern daher eine unverzichtbare Hilfe, wie auch andere wichtige Sicherheitstechnologien: Ein fortschrittlicher Anti-Virus, eine Next-Gen-Firewall, ein Identity Access Management und eventuell ein Zero-Trust-Ansatz.

ln/Paul Smit, Director Professional Services bei ForeNova

Tags

Ähnliche Beiträge

Bei der Vorbereitung auf NIS-2 profitieren Firmen von klaren Handlungsanweisungen. Diese zeigen auf, welche Maßnahmen Priorität haben. (Quelle: vvetc – 123RF)

Richtig auf NIS-2 vorbereiten

Vor 2 Tagen von Redaktion IT-A…
Bis zum 17. Oktober 2024 müssen zahlreiche Unternehmen ihre Informations- und Cybersicherheitsstrategien anpassen. Dazu gehören regelmäßige Penetrationstests und Meldesysteme für Cybervorfälle. Außerdem sind umfassende Risikobewertungen erforderlich. Die NIS-2-Richtlinie stellt Unternehmen vor Herausforderungen, bietet aber auch Chancen. Sie kann Organisationen sicherer und widerstandsfähiger machen.
Planen Sie, Teile Ihrer lokalen Infrastruktur dauerhaft zu Azure auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. (Quelle: merznatalia – 123RF)

Sicherheit in Microsoft Azure (3)

Vor 1 Woche von Redaktion IT-A…
Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im letzten Teil des Workshops geht es unter anderem darum, wie Sie mit Microsoft Defender for Cloud für Sicherheit sorgen und warum Sie den Zugriff auf virtuelle Server einschränken sollten.
Planen Sie, Teile Ihrer lokalen Infrastruktur dauerhaft zu Azure auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. (Quelle: merznatalia – 123RF)

Sicherheit in Microsoft Azure (2)

Vor 2 Wochen von Redaktion IT-A…
Hybride Szenarien lassen sich je nach eingesetzter Technologie in der Cloud relativ schnell aufbauen. Dies ist etwa für Testszenarien interessant. Planen Sie aber, Teile Ihrer lokalen Infrastruktur dauerhaft auszulagern, sollten Sie die Sicherheit nicht aus den Augen verlieren. In der Cloud warten hier ganz neue Security-Aspekte – und das gleich auf verschiedenen Ebenen. Im zweiten Workshop-Teil schildern wir, wie Sie auf der Kommandozeile für den Security-Feinschliff sorgen und wie Sie den Azure-Login absichern.

Copyright © 2023, Heinemann Verlag