Bedrohungen erkennen und abwehren XDR komplettiert die klassische Bedrohungsabwehr

Von William Jasbec

Anbieter zum Thema

Herkömmliche Sicherheitslösungen vermögen fortschrittliche Cyberattacken oft nicht ausreichend zu erkennen, weil sich die Angreifer lange unauffällig verhalten und erst sichtbar zuschlagen, wenn sie sich zu wirklich relevanten Systemen vorgearbeitet haben. Lösungen für Extended Detection and Response (XDR) helfen, Eindringlinge frühzeitig aufzuspüren – entfalten aber nur im Zusammenspiel mit erfahrenen Security-Analysten ihre Wirkung.

Angreifern kommt es nicht auf die Firmengröße an! Auch KMU sollten sich intensiv mit Themen wie XDR und MDR auseinandersetzen.
Angreifern kommt es nicht auf die Firmengröße an! Auch KMU sollten sich intensiv mit Themen wie XDR und MDR auseinandersetzen.
(Bild: photon_photo - stock.adobe.com )

Corona, unterbrochene Lieferketten, Naturkatastrophen und internationale Konflikte – Unternehmen hatten und haben fraglos mit zahlreichen Herausforderungen zu kämpfen. Dennoch bereiten ihnen Cybergefahren die größten Sorgen, wie aus dem aktuellen „Allianz Risk Barometer 2022“ hervorgeht. Das liegt vor allem daran, dass Unternehmen aufgrund der schnell voranschreitenden Digitalisierung in zunehmendem Maße von der Verfügbarkeit ihrer IT-Infrastrukturen, Anwendungen und Daten abhängen. Legen Angreifer kritische Systeme lahm oder verschlüsseln wichtige Daten, geraten Geschäftsprozesse ins Stocken und es drohen Umsatzausfälle, Reputationsverluste und hohe Kosten.

Dazu kommt, dass die Bedrohungslage sich immer weiter verschärft, denn nicht nur die Zahl der Angriffe nimmt seit Jahren kontinuierlich zu, sondern auch ihre Qualität. Cyberkriminelle agieren immer professioneller, da sie insbesondere mit Erpressung enorme Summen verdienen. Fortschrittliche Angriffswerkzeuge, die früher nur großen Hacker-Gruppierungen oder Staaten zur Verfügung standen, sind heute auch für durchschnittlich begabte Kriminelle problemlos erhältlich – inklusive Service und Support. Die meisten Unternehmen haben daher aufgerüstet und neue Sicherheitslösungen wie Next-Gen Antivirus angeschafft, welche durch die Kombinationen von fortschrittlichen Erkennungstechnologien – darunter Machine Learning und Verhaltensanalysen – einen mehrschichtigen Schutz bieten.

Angreifer bleiben unter dem Radar

Raffinierte Attacken, die sich gegen einzelne Unternehmen richten, erkennen aber auch die modernen Security-Tools häufig nicht oder nicht im kompletten Kontext. Die Angreifer nutzen weder auffällige Malware noch weit verbreitete Angriffsmuster – stattdessen dringen sie etwa mithilfe entwendeter Zugangsdaten oder über Sicherheitslücken in die IT-Infrastruktur ein. Dort setzen sie sich fest und tasten sich langsam voran, indem sie sich weitere Zugriffsrechte verschaffen und andere Systeme infiltrieren. Die einzelnen Aktionen sind für sich genommen oft unverdächtig, sodass Sicherheitstools nichts bemerken und alle Rechner und Server zunächst normal weiterarbeiten. Erst wenn die Eindringlinge die wirklich wichtigen Systeme erreicht haben, schlagen sie zu und ziehen Daten ab, verschlüsseln diese oder kontrollieren wichtige Systeme – oft sogar alles zusammen, um ein größeres Erpressungspotenzial aufzubauen.

Wollen Unternehmen solche Angriffe stoppen, müssen sie die klassische Bedrohungsabwehr um Detection und Response erweitern. Hier geht es darum, Eindringlinge möglichst frühzeitig aufzuspüren und wieder auszusperren, bevor sie große Schäden verursachen können. Die entsprechenden Sicherheitslösungen firmieren unter Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) und tragen große Mengen an Status- und Aktivitätsdaten zusammen. Das reicht von der Anmeldung an Systemen und dem Zugriff auf Daten über Funktionsaufrufe und Konfigurationsänderungen bis hin zu den aufgebauten Netzwerkverbindungen und Speicherzugriffen. Während sich EDR-Tools dabei auf Endpoints beschränken, beziehen XDR-Tools auch Informationen von Netzwerkkomponenten und Cloud-Plattformen sowie von anderen Sicherheitslösungen wie Firewalls und Intrusion-Detection-Systemen mit ein. Mithilfe dieser umfassenden Telemetriedaten aller relevanten Systeme lassen sich nicht nur aktuelle Angriffsversuche feststellen, sondern auch vorbereitende Aktionen und Entwicklungen aufzeigen, welche möglicherweise bereits weit in der Vergangenheit liegen. Fortschrittliche Systeme sammeln diese Telemetriedaten über einen Zeitraum von beispielsweise 365 Tagen. Erst dadurch steht Security-Analysten ein umfassendes Lage- und Bewegungsbild zur Verfügung.

Ohne menschliche Expertise geht es nicht

XDR-Plattformen liefern Sicherheitsspezialisten wertvolle Informationen für die Analyse von Bedrohungen und deren Abwehr.
XDR-Plattformen liefern Sicherheitsspezialisten wertvolle Informationen für die Analyse von Bedrohungen und deren Abwehr.
(Bild: Dell Technologies )

EDR- und XDR-Lösungen analysieren und korrelieren die gesammelten Daten, stufen verdächtige Aktivitäten nach dem Schweregrad der Bedrohung ein und liefern wertvolle Kontextinformationen. Dabei orientieren sie sich im besten Fall am MITRE Att&ck Framework, welches die Techniken und Taktiken von Cyberkriminellen herstellerunabhängig und standardisiert abbildet. Letztlich braucht es aber erfahrene Security-Analysten, sowohl um die Alarmmeldungen zu bewerten und detailliert nachzuvollziehen, was passiert ist und welche Systeme betroffen sind, als auch um Gegenmaßnahmen einzuleiten. Algorithmen unterstützen hierbei sehr stark, aber in vielen Fällen ist eine abschließende Bewertung durch einen Analysten sinnvoll beziehungsweise notwendig. So könnte beispielsweise das automatische Isolieren wichtiger Systeme allein durch Algorithmen weitreichende und negative Folgen für das Unternehmen haben. Zudem ist es möglich, dass Angreifer bekannte Automatismen bewusst ausnutzen oder sogar manipulativ einsetzen.

Für Unternehmen bedeutet das, dass es allein mit der Anschaffung einer XDR-Lösung oder dem Einsatz eines NextGen Antivirus mit EDR-Funktionen nicht getan ist – auch wenn die Marketingbotschaften einiger Anbieter oft etwas anderes suggerieren. Im Prinzip haben Unternehmen zwei Möglichkeiten: Entweder ein eigenes Security Operations Center (SOC) aufzubauen, in dem Sicherheitsexperten rund um die Uhr bereitstehen, um zeitnah auf alle Alarme und Warnmeldungen zu reagieren, oder diese Dienste in Form von Managed Detection and Response (MDR) zu beziehen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Der Aufbau und Betrieb eines SOC ist personalintensiv und teuer. Zudem sind die benötigten Security-Analysten sehr gefragt und somit schwer zu bekommen – und noch schwieriger langfristig an das eigene Unternehmen zu binden. Aus diesen Gründen überdenken selbst größere Unternehmen den eigenen SOC-Betrieb und tendieren oft in Richtung MDR.

Threat Hunting und Threat Intelligence verbessern MDR-Services

SOC-Services sind sehr vielfältig und umfassen weit mehr als die Überwachung der Infrastruktur und die Abwehr von Cyberbedrohungen.
SOC-Services sind sehr vielfältig und umfassen weit mehr als die Überwachung der Infrastruktur und die Abwehr von Cyberbedrohungen.
(Bild: Gartner )

Bei MDR-Services überwachen spezialisierte Dienstleister rund um die Uhr (24/7/365) die Kundeninfrastruktur und untersuchen mögliche Sicherheitsvorfälle. Sie leiten Sofortmaßnahmen wie die Isolation betroffener Maschinen und User ein, erarbeiten schnell und den SLA entsprechend konkrete Maßnahmen zur Abwehr und Eindämmung des Angriffs und übernehmen die Wiederherstellung von Daten und Systemen.

Das Spektrum eines MDR-Anbieters kann dabei sehr vielfältig sein (siehe Bild). Neben den klassischen Services wie Monitoring, Angriffsanalysen sowie Incident Response und Recovery gibt es auch Schwerpunkte wie Forensik, Threat Hunting und Cyber Threat Intelligence Services. Analog zu Geheimdiensten beschäftigen führende MDR-Anbieter beispielsweise global operierende Teams zur Beobachtung von Cyberkriminellen. Diese identifizieren neue Bedrohungsszenarien und Angriffsvektoren, um ein möglichst genaues Bild der aktuellen Aktivitäten zu erhalten und frühzeitig auf Angriffe vorbereitet zu sein. Diese Tätigkeiten reichen von einfachem Social Engineering über Darknet-Aktivitäten bis hin zur gezielten Infiltration von Hacker-Gruppierungen, umfassen aber auch die Zusammenarbeit mit Sicherheitsbehörden und Geheimdiensten.

Bei vielen großen und etablierten MDR-Anbietern lassen sich die MDR-Services leicht um weitere Services wie Security-Assessments (Audits, Compliance-Checks, Risiko- und Resilienz-Bewertungen) oder Penetrationstest (automatisiert, individuell oder Red Team) ergänzen. Ein weiterer Vorteil global operierender MDR-Anbieter liegt im sogenannten Netzwerkeffekt beziehungsweise der kollektiven Intelligenz. Weltweit verteilte Analystenteams können sich permanent untereinander austauschen. Dadurch lassen sich etwa Erkenntnisse zu einer aktuell stattfindenden Angriffswelle in Asien frühzeitig in Europa und den USA nutzen oder die Erfahrung aus einem Angriff auf einen Kunden bei allen anderen.

Bei der Anbieterwahl zählen Expertise und Integrationen

Bei der Auswahl eines MDR-Anbieters sollten Unternehmen vor allem auf dessen Expertise achten, etwa die Zertifizierungen seiner Mitarbeiter, die Zahl der erfolgreichen Incident-Response-Maßnahmen pro Jahr und ob er überregional aktiv ist und ein eigenes Threat-Intelligence-Team beschäftigt. Ebenso spielt die Leistungsfähigkeit seiner XDR-Plattform eine entscheidende Rolle: Welche Use Cases deckt sie ab und wie gut funktioniert ihre Anomalie-Erkennung? Lässt sie sich einfach in die eigenen IT- und Sicherheitssysteme integrieren und ist eine Anbindung an das interne IT-Service-Management (ITSM) möglich? Arbeitet sie nach dem MITRE Att&ck Framework und wie lange hält sie Telemetriedaten vor?

Natürlich sollte der Anbieter transparente Kosten, flexible Vertragslaufzeiten und verständliche Lizenzmodelle bieten. Normalerweise gehören beispielsweise feste Zeitkontingente für die Incident Response zu den MDR-Services, in deren Rahmen die Experten des Dienstleisters dem Sicherheitsteam des Unternehmens bei der Reaktion auf den Angriff beratend zur Seite stehen. Häufig sind auch Zeitkontingente für proaktive Sicherheitsmaßnahmen wie Threat Hunting inkludiert, um bereits im Vorfeld die Angriffsfläche beispielsweise durch das Schließen von Schwachstellen und das Beheben von Fehlkonfigurationen zu minimieren.

Ist die Entscheidung für einen MDR-Anbieter gefallen, folgt nach einem eventuellen PoC das Onboarding. Hier werden ein Threat Engagement Manager oder ein Customer Success Manager als Ansprechpartner beim Dienstleister benannt und alle Prozesse, Kommunikationswege und Meldeketten festgelegt. Auch SLA und Reportings werden in dieser Phase vereinbart und Sofortmaßnahmen für den Ernstfall ausgearbeitet. Anschließend erfolgt die Einbindung der bestehenden EDR- oder XDR-Lösungen – oder alternativ die Einrichtung eines Agenten für die Sammlung der Telemetrie-Daten auf den Endpoints – und die Integration von Firewalls, Netzwerkkomponenten und Cloud-Services. Die Anbindung eine ITSM-Lösung wie ServiceNow stellt dann sicher, dass bei möglichen Angriffen automatisch ein Ticket generiert und die Bearbeitung der Vorfälle dokumentiert wird. Abgerundet wird das Onboarding durch Probeläufe und das Training der Mitarbeiter.

Bei einem Alarm erstellen die Security-Analysten des MDR-Anbieters einen Untersuchungsbericht, der weitreichende Informationen zum Sicherheitsvorfall – unter anderem den Schweregrad, technische Details, das Vorgehen der Angreifer sowie die betroffenen Systeme und User – enthält. Das passiert sehr schnell und innerhalb der vertraglich vereinbarten SLA. Je nach vertraglichen Vereinbarungen und Notwendigkeit kann der MDR-Anbieter bereits erste Sofortmaßnahmen einleiten und beispielsweise kompromittierte Systeme oder User-Accounts vom Netzwerk isolieren, um größeren Schaden zu verhindern. Im Rahmen dieses Untersuchungsberichtes erhält das Unternehmen konkrete und detaillierte Handlungsanweisungen zur Abwehr und Eindämmung des Angriffs.

Selbstverständlich steht der Anbieter während der Incident Response mit dem Unternehmen in Kontakt und unterstützt durchgängig.

Im Idealfall beschäftigen sich Unternehmen nicht erst bei einem konkreten Angriff mit solchen Themen, sondern haben bereits im Vorfeld einen Incident-Response-Plan aufgestellt. Was dieser alles berücksichtigen sollte, listet das SANS Institute in einer kompakten Checkliste auf, die sich in sechs Abschnitte gliedert: Angefangen bei Vorbereitungsmaßnahmen wie der Schulung von Mitarbeitern und der Klärung von Zuständigkeiten über die Bestimmung, ob es sich bei einem Alarm tatsächlich um einen für das Unternehmen relevanten Sicherheitsvorfall handelt, bis zur Eindämmung der Schäden und der Beseitigung der Angreifer beziehungsweise des Auslösers. Anschließend folgt die Wiederherstellung der betroffenen Systeme und die Analyse, welche Erkenntnisse sich aus dem Sicherheitsvorfall und dem Ablauf der Gegenmaßnahmen sich für künftige Vorfälle gewinnen lassen.

Gerade KMU sind attraktive Ziele für Angreifer

Da MDR-Dienstleister mehrere Kunden betreuen, bringen sie nicht nur sehr umfangreiche Erfahrung bei der Erkennung und Beseitigung von Angriffen mit, sondern skalieren auch sehr gut. Sie können ihre Services daher zu Konditionen offerieren, die mittlerweile auch für kleine und mittelständische Unternehmen interessant sind. Diese Unternehmen unterschätzen ihre Cyberrisiken oft massiv, weil sie glauben, im Vergleich zu Großkonzernen nicht interessant genug für Cyberkriminelle zu sein. Eine schwerwiegende Fehleinschätzung, denn den Angreifern kommt es nicht auf die Firmengröße oder die Art der gespeicherten Daten an – allein, dass diese Daten für das Unternehmen wichtig sind, ist entscheidend und macht sie zu einem attraktiven Ziel. Auch KMU sollten sich daher intensiv mit Themen wie XDR und MDR auseinandersetzen und ihre Daten, welche die Grundlage für Prozesse und Geschäftsmodelle darstellen, besser schützen.

Über den Autor: William Jasbec ist Senior Systems Engineer IT-Security, DACH & CEE bei Dell Technologies.

(ID:48482409)