Über unsMediaKontaktImpressum
Stefan Strobel 13. Juni 2023

EDR, NDR und XDR – Trends in der IT-Sicherheit

IT-Sicherheit muss sich ständig weiterentwickeln. In kaum einem anderen Bereich ist die Geschwindigkeit der Entwicklung so groß und die Notwendigkeit der Weiterentwicklung so dringend wie hier. Dafür gibt es mehrere Gründe: Einerseits ist die IT insgesamt schon ein sehr dynamischer Bereich und IT-Sicherheit muss sich den Weiterentwicklungen der IT anpassen. Neue Techniken bringen immer auch neue Schwachstellen und Angriffsmöglichkeiten mit sich und leider sind wir noch weit davon entfernt, dass neue IT-Techniken von vornherein sicher konzipiert sind.

Vor allem aber hat man in der IT-Sicherheit Angreifer, die Millionen damit verdienen, in Unternehmen einzubrechen, Daten zu stehlen, zu verschlüsseln und die Betroffenen zu erpressen. Für die Angreifer ist es lohnend, Defizite in der Sicherheit auszuloten und selbst neue Werkzeuge zu entwickeln, um bestehende Sicherheitsmaßnahmen zu umgehen. Dadurch ändert sich die Wirksamkeit etablierter Sicherheitsmaßnahmen ständig, weshalb sie regelmäßig hinterfragt, erneuert oder ergänzt werden müssen.

Derzeit sind viele Unternehmen dabei, ihre Malwareschutz-Strategie zu überarbeiten. Klassische Virenscanner reichen schon lange nicht mehr aus und ergänzend haben sich sogenannte Endpoint Detection and Response (EDR)-Produkte etabliert, die den Fokus nicht auf eine statische Analyse von Dateien legen, sondern das Verhalten aller Prozesse auf den Arbeitsplätzen der Mitarbeiter analysieren. Sie schlagen beispielsweise Alarm, wenn ein Programm aus einem Internet-Browser heraus gestartet wird, selbst Code aus dem Internet nachlädt und danach Systemdateien oder die Registry manipuliert. Selbstverständlich werden dabei zur Erkennung auch moderne Techniken aus der künstlichen Intelligenz verwendet.

EDR steht für Endpoint Detection and Response und der Name deutet schon darauf hin, dass es nicht nur um die erste Erkennung, sondern auch um die darauffolgende Reaktion geht. Die meisten Produkte bieten dafür Möglichkeiten, Alarme direkt auf den Endgeräten zu verifizieren und ersetzen damit eigenständige Produkte für Live-Forensik. Vom zentralen Management aus kann man die aktuell laufenden Prozesse, offene Netzwerkverbindungen, Dateien oder Registry-Einträge abfragen oder sich interaktiv auf dem verdächtigen System bewegen. Falls tatsächlich Schadcode auf einem Endpunkt identifiziert wurde, ist es wichtig, die eventuell bereits erfolgte weitere Ausbreitung der Infektion zu ermitteln. Dafür bieten viele Lösungen sogenannte Hunting-Funktionen, mit denen gezielt nach bestimmten Dateien, Netzwerkverbindungen oder Einträgen in der Registry gesucht werden kann. Man spricht dabei von Indicators of Compromise (IoCs). Solche IoCs ergeben sich entweder aus der ersten erkannten Infektion oder sie können von externen Informationsquellen, kostenlosen oder auch kommerziellen "Threat Intelligence"-Quellen bezogen werden.

Einsatz von KI: (Un-)supervised Machine Learning

Neben den Sensoren auf Endgeräten versuchen auch die Hersteller von Sensoren im Netzwerk vom Erfolg der EDR-Produkte zu profitieren und nennen ihre Lösungen inzwischen Network Detection and Response (NDR). Meist arbeiten auch diese Produkte mit modernen KI-Methoden. Beispielsweise wird mit Unsupervised Machine Learning im Netzwerk des Kunden gelernt, welche Kommunikationsbeziehungen und welches Verhalten im Netzwerk "normal" ist. Abweichungen davon werden als Anomalien oder Alarme dargestellt. Um nicht bereits vorhandene Kompromittierungen als normal zu lernen, verwenden einige Hersteller auch Supervised Machine Learning, mit dem sie ihr Produkt im eigenen Labor mit vielen normalen und zahlreichen bösartigen Beispielen trainieren, so dass später beim Einsatz im Kundennetzwerk auch in der dortigen Trainingsphase schon offensichtlich bösartiges Verhalten erkannt und als nicht normal gelernt werden kann.

Neben Endgeräten und dem Netzwerk spielt auch das Active Directory eine wichtige Rolle bei der Erkennung von laufenden Angriffen. Oft nutzen Hacker Schwachstellen in der Konfiguration des Active Directory (AD), fehlendes AD-Tiering und zwischengespeicherte Credentials auf Endgeräten aus, um ihre Rechte innerhalb der Domäne schrittweise zu erweitern. Die Erkennung solcher Aktivitäten ist vor allem durch detaillierte Beobachtung der Abfragen an das AD möglich. Allerdings geht dies kaum in einem Netzwerk, denn die Kommunikation erfolgt weitgehend verschlüsselt. Der typische Weg besteht darin, spezielle Sensoren als Agenten auf den Domänencontrollern zu platzieren, die so direkt an der Quelle alle Abfragen und Aktivitäten sehen können.

Mit einer XDR-Lösung kann die Qualität der Erkennung spürbar verbessert werden.

Wenn mehrere Arten von Erkennungstechniken beziehungsweise Sensoren wie zum Beispiel für das AD oder im Netzwerk zusammen mit EDR in einem gemeinsamen Management integriert werden, nennen die Hersteller dies meist XDR für Extended Detection and Response.

Im Gegensatz zu SIEM-Lösungen, die in der Vergangenheit Events beziehungsweise Alarme von verschiedenen Sicherheitsprodukten an zentraler Stelle gesammelt und korreliert haben, integriert eine XDR-Lösung meist das Management verschiedener Sensoren, so dass die kompletten Rohdaten und damit weit mehr Kontext für die Erkennung zur Verfügung stehen als bei einzelnen Events. Die Qualität der Erkennung kann damit spürbar verbessert werden.

Diese Entwicklung hat natürlich deutliche Auswirkungen auf die Architektur von Security Operations Centern (SOC). Ursprünglich hat man in einem SOC vor allem die Events der vorhandenen IT-Systeme sowie verschiedener eigenständiger Sicherheitslösungen an zentraler Stelle gesammelt und dann in einem SIEM-System versucht, den Kontext dieser Events mit Regeln zu rekonstruieren und daraus bösartige Aktivitäten zu erkennen. Dies hat zu überwältigend vielen Alarmen geführt und die Klärung dieser Alarme, die sich in der Regel als Falsch-Alarme herausstellten, beschäftigte die SOC-Analysten einen Großteil ihres Tages. Um Alarme besser verifizieren zu können, benötigen die Analysten oft einen Zugriff auf die potentiell kompromittierten Endgeräte und alleine für die bessere Sichtbarkeit auf Endgeräte wurden in den letzten Jahren EDR-Systeme angeschafft. Danach fällt oft auf, dass die EDR-Systeme sich zu den wichtigsten Informationsquellen und Sensoren für die Erkennung von Angriffen entwickeln.

Entsprechend stellen immer mehr Organisationen den Aufbau eines SIEMs zurück und beginnen zunächst mit der Einführung von EDR- oder XDR-Lösungen. Für die Überwachung und Verifikation der Alarme greift man dann auf die Managed Detection and Resonse (MDR)-Services von Dienstleistern zurück, die vollen Zugriff auf die meist cloud-basierten EDR- bzw. XDR-Lösung ihres Kunden bekommen und auch keine SIEM-Lösungen mehr benötigen.

Am Beispiel der Defender-Produkte von Microsoft kann man dies gut beobachten. Bereits der kostenlos im Betriebssystem enthaltene Defender Antivirus wird typischerweise über die Microsoft-Cloud verwaltet. Defender for Endpoint übernimmt bei Microsoft die Funktion eines EDR-Systems und auch dessen Management findet komplett in der Cloud statt. Defender for Identity als Sensor, der unter anderem das Active Directory überwacht, und einige weitere Defender integrieren sich in die gemeinsame Defender-Verwaltung in der Microsoft-Cloud und haben zusammen oft schon eine detailliertere Sicht auf sicherheitsrelevante Vorgänge einer Unternehmensinfrastruktur, als dies mit klassischen log-basierten SIEM-Konzepten in der Praxis zu finden ist. Externe Dienstleister können vom Kunden Zugriffsrechte auf dessen Defender-Management bekommen und darüber einen MDR-Service anbieten, dessen technische Infrastruktur weitgehend im Tenant des Kunden liegt.

Schutzmaßnahmen und Zero Trust

Aber nicht nur die Welt der Angriffserkennung ist in Bewegung, auch im Kontext der Prävention findet ein Wandel statt. Prominente Vorfälle wie der Einbruch bei der Firma Solarwinds haben gezeigt, dass bisherige Schutzmaßnahmen vor allem bei Angriffen über die Lieferkette an ihre Grenzen kommen. Unternehmen vertrauen in der Regel den Softwareprodukten, die sie von etablierten Herstellern kaufen. Im Fall von Solarwinds hat dies im Jahr 2020 dazu geführt, dass Tausende von großen Unternehmen mit IT-Management-Lösungen gearbeitet haben, die Hintertüren von russischen Staatshackern enthielten.

In der Konsequenz sehen immer mehr Unternehmen, dass man sich von dem impliziten Vertrauen in ein sicheres internes Netz, sichere Firmenendgeräte oder Firmen-Accounts verabschieden muss. Nur weil das interne Netz mit einer Firewall vom Internet abgetrennt ist, kann man nicht davon ausgehen, dass kein Schadcode über eingesetzte Software oder Zugriffe von externen Dienstleistern hereinkommen kann. Diese Ideen werden in den letzten Jahren unter dem Überbegriff "Zero Trust" zusammengefasst. Dabei ist Zero Trust kein Produkt, das man kaufen kann, sondern eine Menge von Paradigmen, die man bei der Weiterentwicklung der IT-Architektur berücksichtigen sollte.

Geht man davon aus, dass das interne Netzwerk nicht mehr sicher ist, viele Services schon gar nicht mehr in einem internen Netz, sondern in der Cloud betrieben werden und auch die Mitarbeiter oft zu Hause arbeiten oder unterwegs sind, dann relativiert sich die Bedeutung des früheren Perimeters und der komplexen Firewall-Strukturen, mit denen man dieses Perimeter aufgebaut hat. Genau hier setzen die Ideen von Zero Trust an.

Man findet heute bei fast jedem Hersteller Argumente, warum sein Produkt wichtiger Baustein für Zero Trust ist.

Statt einem angemeldeten Benutzer im internen Netzwerk ungeprüft Zugriffe auf alle internen Systeme zu geben, würde man seine Zugriffsmöglichkeiten soweit es geht auf das Nötige einschränken. Man würde alle Zugriffe verschlüsseln und alle Anzeichen einer Kompromittierung überwachen. Im Verdachtsfall werden dann Zugriffsrechte weiter eingeschränkt oder eine erweiterte Authentisierung abgefragt.

EDR- und XDR-Lösungen passen damit ebenso gut zu Zero Trust wie dynamische risikobasierte Authentisierungssysteme. Natürlich lässt kein Hersteller die Gelegenheit aus, seine Produkte als Lösungen für Zero Trust zu vermarkten. So findet man heute bei fast jedem Hersteller Argumente, warum gerade sein Produkt ein wichtiger Baustein für Zero Trust ist oder nach Zero-Trust-Prinzipien entwickelt wurde.

Im Kontext der Authentisierung bieten nahezu alle führenden Hersteller Produkte, die nicht nur verschiedene Authentisierungsverfahren und Tokens unterstützen, sondern auch abhängig vom Schutzbedarf des Zielsystems die Stärke der nötigen Authentisierung auswählen. Darüber hinaus können sie das Anmeldeverhalten der Benutzer bewerten und bei ungewöhnlichen Aktivitäten eine weitere stärkere Authentisierung anfordern, wenn es so aussieht, als ob der Account von einem Angreifer übernommen wurde. Wenn sich ein Mitarbeiter beispielsweise um 10:00 Uhr von München aus an seinem PC anmeldet und 5 Minuten später ein Anmeldeversuch am VPN mit seinem Account aus Singapur stattfindet, dann ist offensichtlich, dass etwas nicht stimmen kann. Es ist daher naheliegend, einen Alarm auszulösen oder automatisch einen weiteren Authentisierungsfaktor abzufragen. Dieses Szenario wird meist als "impossible travel" bezeichnet. Viele Unternehmen haben in der Vergangenheit SIEM-Systeme verwendet, um dieses Szenario durch Korrelation von Anmelde-Events mit Geolocation-Daten zu erkennen. Heute ist diese Erkennung oft schon in den Authentisierungssystemen integriert.

Dynamische und risikobasierte Authentisierung ist eine natürliche Weiterentwicklung der Authentisierungsprodukte, die sehr gut in den Kontext Zero Trust passt, aber in der Regel nicht speziell dafür entwickelt wurde.

Eine andere naheliegende Maßnahme zur Verbesserung der Sicherheit in Unternehmensnetzen ist schon lange die stärkere Segmentierung der Netze. Malware auf einem Arbeitsplatz eines Mitarbeiters hat leichtes Spiel, wenn das Netzwerk flach ist und man von jedem Arbeitsplatz aus nahezu jeden Server beliebig erreichen kann. In solchen Fällen ist es nicht verwunderlich, wenn ein Ransomware-Affiliate es schafft, innerhalb weniger Stunden von der ersten Infektion das gesamte Netzwerk zu kontrollierten, die Daten zu kopieren und danach zu verschlüsseln. Wenn aber nur die tatsächlich benötigten Services erreichbar sind und auch innerhalb des Rechenzentrums fast alles durch Firewall-Regeln beschränkt ist, dann hat es der Angreifer schwerer.

Projekte zur stärkeren Segmentierung waren in der Vergangenheit oft wenig erfolgreich, da man mit der klassischen Herangehensweise auf zahlreiche Probleme gestoßen ist. Wenn man beispielsweise herkömmliche Firewall-Appliances in gewachsene Rechenzentrumsnetze integrieren möchte, dann kann meist niemand sagen, welche Firewall-Regeln benötigt werden, damit alle in der Produktion benötigten Kommunikationsbeziehungen weiter funktionieren. Dies muss erst mühsam analysiert werden und führt oft zu Regelbasen, die der Einfachheit halber fast alles erlauben. Zudem ist die nötige Performance einer Firewall im Rechenzentrum nicht zu unterschätzen.

Eine Verbesserung versprechen moderne Mikrosegmentierungsansätze. Die führenden Anbieter verwenden dafür oft Agenten auf allen Endgeräten, die entweder die auf dem Gerät vorhandene Firewall des Betriebssystems ansteuern oder selbst eine Firewall auf den Endgeräten implementieren. Im ersten Schritt erfassen diese Agenten den tatsächlich benötigten Datenverkehr und machen daraus an zentraler Stelle eine grafische Gesamtdarstellung, auf deren Grundlage man die weitere Segmentierung deutlich eleganter gestalten kann. Zudem fällt das Performance-Problem weg, da jetzt jedes Gerät seinen eigenen Verkehr filtern kann und keine Appliances mit Mulit-Gigabit-Interfaces mehr benötigt werden.

Solche Lösungen für Mikrosegmentierung passen natürlich auch gut zur Denkweise von Zero Trust, auch wenn die Produkte wiederum nicht für Zero Trust entwickelt wurden, sondern als natürliche Weiterentwicklung der Segmentierungstechnik entstanden sind. Bei den einschlägigen Analysten landen diese Produkte in der Regel auf führenden Plätzen im Kontext Zero Trust.

Wenn man den Markt der Sicherheitsprodukte betrachtet, die besonders laut mit dem Begriff Zero Trust werben, dann fallen vor allem so genannte Zero Trust Network Access (ZTNA)-Produkte auf. Sie erheben oft den Anspruch, die modernere und bessere Alternative zu VPN-Produkten zu sein. Dabei argumentieren die Hersteller, dass klassische VPNs nach einer einmaligen Authentisierung das gesamte interne Netz öffnen und eben keine Zero-Trust-Paradigmen berücksichtigen, während ein ZTNA-Produkt nur einzelne Ziel-Applikationen individuell freischaltet und dabei den Kontext etc. berücksichtigt. Bei dieser Argumentation wird ignoriert, dass auch VPN-Lösungen feingranularer konfiguriert werden können und schon lange Optionen mitbringen, mit denen der Sicherheitsstatus des Endgeräts in die Zugriffsentscheidung einfließen kann. Zudem erinnern viele ZTNA-Produkte stark an frühere SSL-VPN-Lösungen, die damals offenbar ihrer Zeit voraus waren und oft von anderen Herstellern aufgekauft wurden. Aber auch mit etablierten Konzepten auf Basis von Terminalservern können ähnliche Architekturen aufgebaut werden wie mit den ZTNA-Produkten. Ein überhastetes Austauschen von VPNs durch ZTNA ist damit meist keine gute Idee und man sollte sich darauf besinnen, dass es bei Zero Trust nicht um einzelne Produkte, sondern um Paradigmen geht, die man oft auch mit bestehenden Techniken umsetzen kann.

Fazit

Der ständige Wandel in der IT-Sicherheitswelt ist für viele Sicherheitsverantwortliche ein Auslöser von Stress und es fällt oft schwer, der Führung eines Unternehmens zu erklären, warum man regelmäßig neue und zusätzliche Konzepte und Sicherheitsprodukte benötigt. Der Hauptgrund für die nötige Weiterentwicklung ist die ständige Änderung der Bedrohungslage, aber natürlich leben auch die Hersteller von Sicherheitsprodukten davon, dass sie keinen neuen Trend und kein neues Buzzword ungenutzt lassen, um den Bedarf für ihre Produkte anzupreisen. Hier sollte man sich nicht vom Markt treiben lassen, sondern das eigene Risikomanagement in den Vordergrund stellen und daraus ableiten, wo tatsächlich Verbesserungsbedarf besteht. Selbstverständlich kann dies aber auch nur dann funktionieren, wenn die Personen, die Risiken erkennen und bewerten, die dafür notwendige Kompetenz und Erfahrung besitzen, was den Bedarf an kontinuierlicher Weiterbildung in der Security unterstreicht. Egal, wie man es betrachtet: Es wird keinen Stillstand geben.

Autor

Stefan Strobel

Stefan Strobel ist geschäftsführender Gesellschafter der cirosec GmbH. Er verfügt über eine 25-jährige Erfahrung in der Beratung großer Firmen mit sehr hohem Sicherheitsbedarf.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben