Viele Advanced Persistent Threats beginnen unscheinbar mit einer automatisierten Phishing-Mail oder einem opportunistischem Schwachstellenscan. An deren Ende stehen mitunter ein hocheffizienter Angriff durch Ransomware oder eine unbemerkt durchgeführte Cyberspionage. IT-Administratoren benötigen daher Tools, die schon die ersten Hinweise eines sich anbahnenden Angriffs melden. Network Detection and Response (NDR) und Endpoint Detection and Response (EDR) bieten die Möglichkeit, Indizien von Attacken in jeder Phase der Kill-Chain im Kontext zu erkennen und einschlägig sowie relevant zu melden. Mit dem ersten Eindringen in ein System hinterlassen Angreifer Spuren im Netzverkehr und auf unterschiedlichen Endpunkten, wie das Installieren eines ausführbaren Codes oder die erste Kommunikation mit dem Command-and-Control-Server, bevor sie minimalinvasiv mit scheinbar legitimen Seitwärtsbewegungen den eigentlichen Angriff vorbereiten. Mit Interaktion und Koordination beantworten EDR und NDR – basierend auf einer durch künstliche Intelligenz und Machine Learning geschaffenen Sichtbarkeit aller IT-Vorgange – vier zentrale Fragen für die Cyberabwehr:

Welche Komponenten umfasst die IT-Infrastruktur?
Viele IT-Administrationen können keine Abwehr starten, weil sie die angegriffenen Systeme, ihr Verhalten und ihre Konnektivitäten nicht einmal sehen. NDR, das den ganzen externen und internen Verkehr überwacht, sieht neue Verbindungen aller digitalen Entitäten mit zentral verwalteten IP-Adressen. Zudem erkennt sie, wenn Daten in unüblichen Mengen oder zu ungewöhnlichen Zeiten zwischen bekannten Systemen oder nach außen fließen. Dadurch zeigt sie auch unbekannte Assets im Netz – wie Schatten-IT oder einmal angelegte und eventuell wieder vergessene virtuelle Maschinen.

EDR wiederum sieht alle zentral verwalteten Endpunkte mit einer IP-Adresse. Auf einem solchen Arbeitsnotebook erkennt ein EDR-Agent gefährlicher Prozesse, wenn ein Mitarbeiter per Fernzugriff arbeitet. Dabei kann sie auch legitime Kompression oder Verschlüsselungen von illegitimen unterscheiden oder sieht auffällige Aktivitäten eines gekaperten Nutzerkontos mit eskalierten Privilegien. Auch eine angemietete Cloudserver-Instanz lässt sich überwachen, indem Administratoren einen Agenten dort installieren.

Welche Prozesse laufen wo ab und wie sind sie zu bewerten?
Werkzeuge zum Beobachten von Prozessen helfen dem menschlichen Beobachter, der mit der notwendigen Analyse der Aktivitäten im Netz und auf den Endpunkten überfordert ist – mit kontinuierlichem Monitoring und der zutreffenden Interpretation der IT-Vorgänge. Eine mittlerweile auch für mittelständische Unternehmen erschwingliche künstliche Intelligenz definiert die normalen Modelle des Datenverkehrs oder der Endpunktaktivitäten. Daraus abgeleitet erkennt sie zutreffend, schnell und effizient neue und damit eventuell illegitime Abläufe, die auf einen Angriff hindeuten, und kann sie präventiv abstellen.

EDR und NDR beobachten für diese Zweck komplementär ihre jeweiligen Bereiche. Durch das Erfassen von anomalen Verhalten im Kontext können sie schon kleine auffällige Muster im Datenverkehr oder in den Prozessen relevant und zutreffend melden. Wichtig ist etwa, auffällige Wege bei Seitwärtsbewegungen nachzuzeichnen – auch dann, wenn Hacker ihre Aktivitäten mit legitimen Administratortools und Diensten tarnen. Für bösartige Angriffe sprechen schon in einem frühen Angriffsstadium folgende Indikatoren im Netzverkehr:

• Verschleierte Kontaktaufnahmen: NDR-Software mit Zugriff auf DNS-Systeme erkennt, wenn die Antwort eines unternehmenseigenen Systems auf eine scheinbar legitime Anfrage an unbekannte Server weitergeleitet wird. Das Umleiten einer Anfrage über die Log4j-Schwachstelle eines Webservers ist ein prominentes Beispiel.
• Algorithmen-gesteuerte Generation neuer Domänen: Angreifer erzeugen mit Algorithmen regelmäßig eine große Zahl von Zufallsdomänen als Zieladressen, die an die eigentliche IP der Hacker angebunden sind.
• Verschlüsselte Kommunikation: Command-and-Control-Server kommunizieren oft verschlüsselt. Dafür verwendete Protokolle sprechen für einen externen Zugriff.
• Brute-Force-Attacken: Intelligente Angreifer reduzieren die Zahl der Logversuche oder führen Angriffe verteilt durch. Eine KI erkennt diese Tarnmethoden oder die atypische Dauer einer Zugriffssession, das Zusammenspiel der Protokolle und die Kommunikation des Brute-Force-Tools mit dem C&C-Server.
• Verdächtige Bewegungsmuster: Ein legitimer Administrator oder eine legitime Applikation greifen gezielt auf die ihnen bekannten Systeme zu. Der Angreifer sucht nach Informationen und nach Ansatzpunkten für Angriffe. Dafür springt er von System zu System oder geht alle der Reihe nach ab.
• Datendiebstahl: Das Lesen, Exportieren oder Kopien von Daten mit hoher Frequenz erkennt die KI durch den plötzlich erhöhten Datendurchsatz, den solche Prozesse verursachen.

Ein Endpunktschutz unterbindet solche Prozesse unmittelbar beim Ausführen eines Angriffs. Ein auf Grund der Analyse des Netzverkehrs durch NDR erstellter Notfallplan legt im Voraus fest, welche Systeme eine EDR dann abriegeln soll, um Infektionswege effizient abzuschneiden.

Welche Abwehr schreitet wann ein?
Schon ein fortschrittliches Antivirus in Kombination mit der Threat Intelligence einer EDR wehrt mit Schadcode implementierte Inhalte von Phishing-Webseiten in einer Mail und die durch Signaturen bekannte Malware ab. Komplexe Angriffe benötigen ein intelligentes Schutzschild: Administratoren, die auf einem Dashboard Endpunkt und Netzwerk überblicken und einen proaktiven Alarm erhalten, können unbekannte Prozesse früh überprüfen. Sind die Vorgänge durch keinen legitimen Ablauf erklärbar, lassen sich zukünftige Angriffe, zumindest offensichtlich nicht notwendige Abläufe schon im Keim ersticken. In eindeutigen Fällen laufen sofort automatisierte Blueprints von Abwehrprozessen ab.

Eine NDR sieht den Aufbau der Kommunikation zwischen einem infizierten System und einem bösartigen Command-and-Control-Server schon ab dem Moment, ab dem die Hacker erste Befehle zum Errichten einer persistenten Präsenz der externen Täter senden. Direkt im Anschluss können sie diesen Nachrichtenverkehr abschneiden.

Wer übernimmt was?
Eine NDR meldet Gefahren, sie benötigt jedoch die Durchsetzungskompetenz am Endpunkt: NDR erkennt eine Datenexfiltration am Datenverkehr, nur die EDR kann den Vorgang vor Ort stoppen. Sie zeigt damit Schwachstellen auf, deren Ausnutzen eine EDR durch virtuelle Patches blockt, bevor ein Patch eines Softwareanbieters bereitsteht oder ein Admin ihn einspielt.

Nur ein Zusammenspiel von NDR und EDR erzeugt umfassende Sicherheit – bei gleichzeitig ebenfalls wichtiger Interaktion mit anderen Abwehrtechnologien. Im Kontext interpretierte Informationen aus mehreren Quellen erfassen das Gesamtgeschehen in der IT-Infrastruktur und verknüpfen vereinzelte Spuren zu einem Ganzen. Der IT-Administrator benötigt Tools, die solche Kontexte zusammenstellen. Eine derart gestaffelte und vielbeinige Abwehr bedeutet mehr, als nur viele Auffangnetze zu spannen. Sie verbessert die Analyse von Angriffen und das Schließen einmal ausgenutzter Schwachstellen gegen zukünftige Angriffe. Sie agiert auch präventiv, in dem sie IT-Administratoren darauf hinweist, Patches einzuspielen und die Sicherheit von Endpunkten für die Zukunft zu verbessern. Sie beschleunigt für die Zukunft die Reaktionszeit der Cyberabwehr.

Fazit
KI-gestützte NDR und EDR liefern unverzichtbare Informationen beziehungsweise Tools für eine wirkungsvolle Abwehr komplexer Angriffe. Unternehmen benötigen die Hilfe, um sich vor solchen Attacken zu schützen. Letztlich bleibt der Mensch immer noch der entscheidende Kontrollfaktor. IT-Sicherheitsverantwortliche und das Management können durch ihr Unternehmenswissen aufzeigen, dass sich hinter einer neuen IP-Adresse ein Mitarbeiter im Home Office oder ein neuer Partner verbirgt, was einen neuen Prozess erklärt. Viele kleine IT-Teams haben dafür keine Zeit. Sie erkennen auch nicht branchentypische und regionale Angriffsmuster. Externe Cybersicherheitsexperten eines Managed-Detection-and-Response-Dienstes liefern daher eine unverzichtbare Hilfe, wie auch andere wichtige Sicherheitstechnologien: Ein fortschrittlicher Anti-Virus, eine Next-Gen-Firewall, ein Identity Access Management und eventuell ein Zero-Trust-Ansatz.

ln/Paul Smit, Director Professional Services bei ForeNova