Integration CrowdStrike & Zscaler – welche Möglichkeiten gibt es?

CrowdStrike hat verschiedene Technologie-Partnerschaften mit diversen namhaften Herstellern von IT Security Produkten. Mitunter eine der weitreichendsten ist mit Zscaler. In diesem Artikel will ich daher aufzeigen, welche Möglichkeiten sich mit einer Integration von Zscaler bieten.

Der Posture Check in Kombination mit CrowdStrike Zero Trust Assessment wird anhand eines Overall Assessment Scores gemacht. Dieser besteht aus einem berechneten Wert aus dem OS Assessment Score und dem Sensor Assessment Score. Das OS Assessment bezieht sich dabei auf den Zustand des Hosts und Betriebssystems und dessen konfigurierten Security Settings. Das beinhaltet bei Windows beispielsweise Secure Boot oder Credential Guard, bei macOS z.B. FileVault oder Gatekeeper. Beim Sensor Assessment wird der Status des Reduced Functionality Mode (RFM), sowie der Prevention und Real Time Response Policies überprüt.

Um den Posture Check zu bestehen, müssen im Overall Assessment Score mind. 75 Punkte erreicht werden. Im nachfolgenden Beispiel beträgt dieser Wert im oberen Bild 96 bzw. 87 Punkte. Der Zugriff wird somit erlaubt. Im unteren Bild beträgt der Wert jedoch nur 39 bzw. 38 Punkte, der Zugriff von diesen Hosts würde somit unterbunden.

Diese Integration ist für Zscaler Internet Access und Zscaler Private Access verfügbar. Die Installation des Zscaler Client Connectors auf dem Endpoint wird vorausgesetzt.

Diese Art der Integration kombiniert die Zscaler Internet Access Sandbox mit EDR Daten aus CrowdStrike. Der Use Case ist wie folgt: ein Benutzer lädt ein File aus dem Internet herunter. Dieses File wird dann in der Sandbox detoniert und analysiert. Im Falle eines True Positives sieht man im Sandbox Report, auf welchen Rechnern der entsprechende Hashwert des Files ebenfalls vorhanden ist.

Falls erforderlich können die betroffenen Hosts direkt aus dem CrowdStrike Endpoint Hits Report im Zscaler Admin UI mit einem Klick auf den «Contain» Button isoliert werden. Zugegeben, über den effektiven Nutzen dieser Integration lässt sich streiten. Sofern die Sandbox Policy nach Best Practice konfiguriert ist, hätte man maximal einen Download der durchgelassen wird. Parallel dazu wird das File analysiert und bis zu einem Resultat werden subsequente Downloads des gleichen Files verhindert. Natürlich ist es möglich, dass das betroffene maliziöse File auf anderem Wege auf weitere Rechner verteilt wird, z.B. wenn die ungeduldigen User das File nach dem einen erfolgreichen Download mittels USB Stick intern weitergeben. Diese Integration ist nur für Zscaler Internet Access verfügbar und setzt neben der Zscaler Advanced Sandbox auch noch CrowdStrike Insight (EDR) voraus.

Diejenigen, die CrowdStrike schon kennen, wissen vielleicht, dass die Firma sehr stark ist im Bereich der Threat Intelligence. Als Threat Intel bezeichnet man die gesammelten Daten zu Threat Actors, deren Motive, Ziele aber auch verwendete Tools und Infrastruktur. Siehe www.tec-bite.ch/was-ist-threat-intelligence-und-wie-benutze-ich-diese/

Die Threat Intelligence kann dann in Form von IOC Feeds importiert werden, z.B. bei Firewalls, IPS, oder wie in unserem Beispiel bei Zscaler Internet Access. Die Integration mit Zscaler Internet Access ermöglicht das automatische Befüllen einer URL Kategorie, die man dann wiederum für eine Block Rule nutzen kann. Somit wird der Zugriff auf von CrowdStrike neu entdeckte, maliziöse URLs und IP Adressen automatisiert blockiert. Diese Integration ist nur für Zscaler Internet Access verfügbar und setzt zudem CrowdStrike Threat Intelligence voraus.

XDR, Extended Detection & Response, ist die Weiterentwicklung von EDR und bietet umfangreiche Möglichkeiten. Nicht nur können damit Informationen zwischen verschiedenen Systemen geteilt werden, es ermöglicht auch eine zielgerichtete Reponse auf Detections aus unterschiedlichen Quellen.

Im Beispiel von Zscaler wäre es somit möglich, dass man direkt aus dem CrowdStrike Admin UI einen Benutzer in eine definierte Zscaler Internet Access Gruppe mit eingeschränktem Internet Zugang aufnimmt.

Der grosse Mehrwert von XDR (Extended Detection & Response) besteht darin, dass man, vor allem bei der Integration von mehreren Log Quellen, eine wirklich breite Abdeckung erhält und auch zielgerichtet reagieren kann. Somit müssen die Analysten bei einem Vorfall nicht mehr in x verschiedenen Konsolen nach Indikatoren suchen, sondern erhalten viele Infos direkt in einem übersichtlichen Dashboard.

Für alle Interessierten gibt es dazu in einem unserer aufgezeichneten Webinare eine spannende Demo: www.youtube.com/watch?v=GDTPe7wKYCg

Meiner bescheidenen Meinung nach ist der Nutzen der beschriebenen Integrationsmöglichkeiten nicht überall gleich gross. Gerade hinsichtlich Sandbox hält sich der Vorteil in Grenzen, zumindest wenn die Zscaler Internet Access Policy richtig konfiguriert ist. Ein Posture Check ist jedoch sinnvoll, ganz nach dem Sprichwort «Vertrauen ist gut, Kontrolle ist besser».  Mein Favorit ist jedoch das Threat Intelligence Sharing. Da gibt es einen nicht von der Hand zu weisenden Mehrwert und zudem lassen sich die gleichen Feeds ohne Mehrkosten für verschiedene interne Systeme nutzen.