Was sind XDR-­Sicherheitsebenen?

XDR ermöglicht die Erkennung, Untersuchung und Reaktion durch Verwendung einer umfangreichen Reihe von Datenquellen auf mehreren Sicherheitsebenen. XDR bricht Sicherheitssilos auf, um die komplette Historie eines Angriffs in einer einzigen Ansicht zu identifizieren und aufzudecken.

XDR – die ganze Geschichte

Bei der Bedrohungserkennung muss der Analyst des Security Operations Centers (SOC) die Zusammenhänge zwischen der anfänglichen Infiltrierung und lateralen Bewegungen bis hin zur Exfiltrierung nachvollziehen. Durch diesen Prozess lassen sich die Auswirkungen und die erforderlichen Reaktionsmaßnahmen schneller verstehen.

Je mehr Datenquellen und Sicherheitsvektoren Sie in einer einzelnen, integrierten XDR-Plattform konsolidieren, desto besser können Sie diese korrelieren und desto umfangreicher verlaufen die Untersuchung und die Reaktion.

Analysten setzen heute zum Beispiel ein EDR-Tool (Endpoint Detection and Response) ein, um verdächtige Aktivitäten auf gemanagten Endpunkten transparent zu machen. Für Netzsicherheitswarnungen und Analysen des Datenverkehrs haben sie eine eigene, isolierte Ansicht. Bei Cloud-Workloads wiederum sind die Erkenntnisse des Analysten wahrscheinlich eingeschränkt, wenn es darum geht, verdächtige Aktivitäten zu identifizieren.

Alle Bereiche der Umgebung generieren irrelevante Warnungen, die wahrscheinlich an ein SIEM (Security Information and Event Management) gesendet werden. Der Analyst kann die Warnungen anzeigen. Ihm fehlt jedoch ein ausführlicher Datensatz mit allen Aktivitäten zwischen den Warnungen. Ohne zusätzliche Korrelation entgehen dem Analysten wichtige Angriffsdetails. Er sieht nur Angriffswarnungen ohne Kontext oder eine Möglichkeit, verwandte Ereignisse miteinander zu verbinden. 

XDR kombiniert die Ebenen. So können Sicherheitsanalysten das große Ganze sehen und schnell erfahren, was im Unternehmen vor sich geht. Auf diese Weise lässt sich unter anderem nachvollziehen, wie der Anwender infiziert wurde, was die erste Eintrittsstelle war und was oder wer sonst noch am selben Angriff beteiligt ist.

Endpunkt

Eine effiziente Aufzeichnung der Endpunktaktivitäten ist notwendig, um zu analysieren, wie eine Bedrohung möglicherweise eingegangen ist, sich verändert und über verschiedene Endpunkte verbreitet hat. Mit XDR können Sie nach Indikatoren für Gefährdung (Indicators of Compromise, IoC) suchen und Bedrohungen auf der Basis von Indicators of Attack (IoAs) verfolgen.

Erkennung: Suchen und Identifizieren verdächtiger und gefährlicher Endpunktereignisse

Untersuchung: Was ist auf dem Endpunkt passiert? Woher stammte das Ereignis? Wie breitete es sich auf anderen Endpunkten aus?

Reaktion: Isolierung des Ereignisses, Stoppen der Prozesse, Löschung/Wiederherstellung von Dateien

Viele Organisationen könnten mithilfe von EDR-Tools bei ihren Endpunkten ansetzen. EDR ist ein guter erster Schritt, der aber dazu führen kann, dass Anfang bzw. Ende eines Angriffs übersehen werden. Was ist passiert, bevor der Angriff den Endpunkt erreichte? Wurde er über eine E-Mail eingeschleust und haben andere Anwender die gleiche E-Mail erhalten? Was ist passiert, nachdem der Angriff den Endpunkt erreicht hat? Gab es eine laterale Bewegung zu einem Server oder Container? Hat er sich auf ein nicht gemanagtes Gerät ausgebreitet?

E-Mails

94 % der Verstöße beginnen mit einer E-Mail.[1]  Deshalb ist die Fähigkeit, gefährdete Konten zu identifizieren und bösartige E-Mail-Bedrohungen zu entdecken, essenziell für die allgemeine Fähigkeit einer Organisation, Bedrohungen zu erkennen.

Erkennung: Suchen und Identifizieren von E-Mail-Bedrohungen, kompromittierten Konten, heftig angegriffenen Anwendern und Mustern von E-Mail-Angriffen

Untersuchung: Auf wen geht die Infiltrierung zurück? Wer sonst hat die bösartige E-Mail empfangen?

Reaktion:  E-Mail-Quarantäne, Blockieren von E-Mail-Absendern, Zurücksetzen von Konten

Da E-Mails der primäre Angriffsvektor sind, sollten sie bei der Erweiterung auf eine ebenenübergreifende Erkennung und Reaktion (Detection and Response) Priorität haben. E-Mail-Bedrohungen wirken sich häufig erst dann auf Endpunkte aus, wenn ein Anwender auf einen Anhang oder einen Link in der E-Mail klickt. In vielen Posteingangsfächern könnten sich bisher nicht ausgelöste Bedrohungen befinden. Wenn einer Bedrohung auf einem Endpunkt eine auslösende E-Mail zugeordnet werden kann, können Sie Posteingangsfächer automatisch nach dieser E-Mail durchsuchen. So erfahren Sie, in wessen Posteingangsfach sich die E-Mail mit dem bösartigen Anhang oder der URL sonst noch befindet. Anschließend können Sie die E-Mails in Quarantäne verschieben und die Bedrohung entfernen, um deren zusätzliche Verbreitung und weitere Schäden zu verhindern.

Netzwerk

Netzwerkanalysen eignen sich hervorragend dazu, zielgerichtete Angriffe zu entdecken, wenn diese sich lateral verbreiten oder mit Command-and-Control(C&C)-Servern kommunizieren. Netzwerkanalysen können helfen, Ereignisse aus irrelevanten Elementen zu filtern und blinde Stellen zu reduzieren, etwa IoT- und nicht gemanagte Geräte.

Erkennung: Suchen und Identifizieren von anormalem Verhalten bei der Ausbreitung von Bedrohungen

Untersuchung: Wie kommuniziert eine Bedrohung? Wie bewegt sie sich durch die Organisation? 

Reaktion: Skizzieren des Angriffsumfangs

Netzwerkprotokolle bilden eine umfassende Quelle von Daten, die dazu dienen, den Umfang eines Angriffs zu ermitteln. Können Sie diese Protokolle jedoch nicht mit anderen Sicherheitswarnungen korrelieren, wird es schwer, Zusammenhänge und Relevanz zu bewerten. Daher bilden Netzwerk und Endpunkt eine leistungsstarke Kombination. Indem Sie die Daten korrelieren, kann aus einem Ereignis, das auf der Endpunktebene harmlos erscheint (etwa einer verdächtigen PowerShell-Aktivität), eine Warnung mit hoher Priorität werden, wenn es im Kontext der C&C-Kommunikation mit einem Server auftritt.

Server und Cloud-Workloads

Ähnlich wie bei Endpunkten müssen auch hier Aktivitäten effizient aufgezeichnet werden, um den Eingang einer Bedrohung und ihre Verbreitung über verschiedene Server und Cloud-Workloads zu analysieren. Sie können nach IoCs suchen und anhand von IoAs verfolgen.

Erkennung: Suchen und Identifizieren von speziell auf Server, Cloud-Workloads und Container abzielenden Bedrohungen

Untersuchung: Was ist mit dem Workload passiert? Wie wurde sie verbreitet? 

Reaktion: Isolieren des Servers, Stoppen von Prozessen

Organisationen können EDR-Tools für Server und Cloud-Workloads einsetzen. Dies wirkt sich jedoch negativ auf die Effektivität aus. EDR allein kann weder neuen Cloud-Modellen gerecht werden noch die erforderliche Art von Daten und Transparenz bereitstellen. Wie bei jedem Vektor kann die Korrelation von Informationen aus Serverumgebungen verdächtige Aktivitäten als bösartig einstufen, indem sie diese mit Aktivitätsdaten aus anderen Ebenen verknüpft, sei es Endpunkt und/oder Netzwerk. Ein Beispiel dafür wäre ein Server, der mit einer IP-Adresse in einem Land kommuniziert, mit dem bisher keine Kommunikation stattgefunden hat.

[1] Verizon-Untersuchungsbericht zu Datenschutzverletzungen 2019