Im Bereich „Detection & Response“ bieten verschiedene Hersteller eine ganze Fülle an unterschiedlichen Produkten und Services an. Wenn man sich damit nicht regelmässig beschäftigt, verliert man schnell mal den Überblick. In früheren Blog Artikeln bin ich sowohl auf Detection wie auch auf Response vertieft eingegangen (siehe hier: www.tec-bite.ch/author/jamosh/), in diesem Artikel will ich versuchen, eine Übersicht der Angebote zu bieten.
EPP – Endpoint Protection Platform
Noch vor nicht allzu langer Zeit war der Begriff „Legacy AV“ ausschliesslich für rein Signatur basierte Antivirus Lösungen gedacht. Eine NextGen AV Lösung wurde mit allerlei neuartiger Technologie ergänzt wie Machine Learning, KI, DLP, Verhaltensanalyse, Application Whitelisting oder Sandboxing. Mittlerweile ist EDR on vogue, es gibt wohl keinen namhaften Hersteller mehr, der keine EDR Lösung anbietet. Man könnte also etwas überspitzt auch sagen, dass die NextGen AV Endpoint Protection Platform mittlerweile zur Legacy AV 2.0 verkommen ist.
EDR – Endpoint Detection and Response
Streng genommen bietet EDR für sich alleine noch keinen aktiven Schutz. Die Detection, also das Entdecken, meldet wohl ein potenziell maliziöses Verhalten, würde aber an sich noch keine nachfolgende Aktion ausführen. Die Response wiederum bietet mir als Admin, respektive Responder, ein Werkzeug, um auf diese Erkennungen zu reagieren. Durch SOAR Tools (Security Orchestration, Automation and Response) lassen sich anhand von Playbooks Reaktionen vordefinieren, sodass nicht zwingend ein menschlicher Responder aktiv werden muss.
Kombination von EPP und EDR – die Lösung aller Probleme?
Viele Hersteller kombinieren in ihren Lösungen nun die Vorteile von EPP und EDR in einem einzigen Produkt. Sinnbildlich kann man sich den Rechner als Burg vorstellen: Der Burggraben und die hohen Mauern bieten den primären Schutz und wehren den grössten Teil der Gefahren erfolgreich ab (EPP). Sollte es dann aber doch mal ein trojanisches Pferd schaffen, dass sich die Tore öffnen, gibt es Wachen die auf den Mauern und in den Gängen patrouillieren und eingedrungene Angreifer hoffentlich früher als später erkennen (EDR). Wobei das mit dem trojanischen Pferd vielleicht kein wirklich gutes Beispiel einer erfolgreichen Verteidigung darstellt en.wikipedia.org/wiki/Troy.
Das mit dem „hoffentlich früher als später“ ist auch so eine Sache. Gemäss dem 2020 Service Report von CrowdStrike betrug die durchschnittliche Dauer zwischen dem Eindringen des Angreifers und dessen Erkennung im Jahr 2019 satte 95 Tage. Nachzulesen hier: www.crowdstrike.com/blog/2019-services-report-key-findings-part-1/.
Wie man anhand des aktuellen Beispiels rund um den Solarwinds Hack sehen kann, stieg diese Zahl von 95 Tagen 2019 im Jahr 2020 eher noch an. Im Fall von Solarwinds waren die Angreifer wohl seit März 2020 in deren Netzwerk unterwegs, erkannt wurde das aber erst im Dezember und zwar auch nur darum, weil die Hacker den Fehler machten, über die gekaperte Orion Plattform den IT Security Anbieter FireEye anzugreifen.
Über die Gründe wieso ein solches Eindringen nicht früher bemerkt wurde, lässt sich natürlich diskutieren. Zum einen war es in diesem Fall definitiv kein 0-8-15 Angriff, sondern ein zielgerichteter, von langem vorbereiteter Angriff mit sehr viel Fachwissen und Manpower dahinter. Wie Microsofts Chef Brad Smith kürzlich in einem TV Interview sagte, hätten ihre Analysen ergeben, dass wohl mehr als 1000 Leute an dieser Attacke beteiligt waren, resp. sind. Nachzulesen z.B. hier www.heise.de/news/Microsoft-SolarWinds-Angreifer-hat-mehr-als-1-000-Cyberkrieger-5055827.html.
Was ich damit sagen will: ein EDR System an sich ist kein heiliger Gral, der alle Probleme löst. Zum einen basiert auch EDR auf Erkennung (was ich nicht kenne, kann ich nicht erkennen) und zum anderen braucht es Leute mit entsprechendem Fachwissen und genügend Zeit für gründliche Analysen. Und hier wiederum setzen nun weitere Angebote von Herstellern und Dienstleistern an.
MDR – Managed Detection and Response
Wie’s der Name schon sagt, handelt es sich bei MDR um eine (fremd)verwaltete Version von EDR oder NDR. Gerade KMUs mit limitierten Ressourcen können von solchen Services enorm profitieren. MDR beschränkt sich nicht nur auf den Endpoint. Auch Anbieter im Bereich von NDR oder Firewalls bieten mittlerweile Services an. Dabei gibt es wiederum verschiedene Abstufungen an Angeboten wie z.B. Managed SOC, Managed Threat Hunting oder Managed Security Service Provider.
KMUs, die kein eigenes SOC (Security Operations Center) betreiben, können solche Dienste direkt von Herstellern oder von entsprechenden Dienstleistern beziehen. Die Dienstleistungen umfassen in diesem Fall das Verwalten der installierten Agents der Security Lösung, die Reaktion bei Detections (Triage, Benachrichtigungen, Alarm), die Isolation betroffener Systeme sowie bis zu einem gewissen Grad Remediation. Weiterführende Wiederherstellungsaufgaben, z.B. das Zurückspielen von Backups oder das Neuaufsetzen von Systemen wie auch die initiale Installation der Agents bleiben dem Kunden überlassen.
Beim Managed Threat Hunting geht es primär darum, dass sich externe Spezialisten um die Suche nach maliziösen Vorkommnissen kümmern. Wird dabei etwas entdeckt, wird analog einer EPP Lösung der verdächtige Vorgang blockiert und ein entsprechender Alarm erstellt. Im Unterschied zu einer normalen EPP Lösung nutzt man somit den Vorteil eines grösseren Datensatzes dank EDR, was natürlich die Visibilität enorm erweitert, sowie das fundierte Fachwissen des jeweiligen Anbieters. CrowdStrike gehört mit seinem Angebot Falcon Overwatch zu den führenden Anbietern in diesem Bereich.
Ein MSSP (Managed Security Service Provider) bietet ähnliche Dienstleistungen wie ein Managed SOC, wobei hier die Aufgabenstellung zwischen Kunde und MSSP zu definieren ist. Grundsätzlich geht es hier darum, dem Kunden den Betrieb der Sicherheitslösung soweit wie möglich abzunehmen und bei einem Vorfall den Kunden zu alarmieren und zu unterstützen. Je nach Zugriffsmöglichkeiten und Aufgabenstellung wäre auch Incident Response möglich. Gerade Cloud Lösungen bieten hier Vorteile, da kein zusätzliches VPN zwischen MSSP und Kunde benötigt wird.
XDR – Extended Detection and Reponse
Bei einem XDR geht es darum, dass man Informationen diverser Sicherheitsprodukte eines Herstellers in einem zentralen System zusammenfliessen lässt. An und für sich ähnlich wie man das von einem SIEM kennt. Schaut man sich beispielsweise die Produktpalette von Trend Micro an, erkennt man sehr schnell den Vorteil. Bis anhin unabhängige Systeme wie ApexOne (Endpoint Security), Deep Security (Server und Cloud Workload Security), ScanMail (Mail Security), TippingPoint (IPS) oder Deep Discovery Analyzer (Sandbox) speichern ihre Daten in einem zentralen Data Lake, auf welchem dann XDR aufbaut.
Die Idee dahinter ist einleuchtend: Erkennt eine Komponente etwas Böses, kann diese Information mit allen anderen Produkten in Sekundenschnelle geteilt werden. Gefahr erkannt, Gefahr gebannt. Und zwar über alle Systeme.
Trend Micro, wie wohl auch andere Hersteller von XDR Lösungen, bieten auch Managed XDR Services an.
NDR – Network Detection and Response
Ich will an dieser Stelle nicht gross auf NDR eingehen, das hat der Kollege The_Unicorn schon gemacht. Nachzulesen beispielsweise hier: www.tec-bite.ch/wer-kann-was-wir-vergleichen-ips-vs-network-detection-response-vs-vulnerability-management/.
Zusammengefasst hängt ein NDR System passiv im Netzwerk und analysiert die Kommunikation. Bei auffälligem Verhalten werden die Administratoren entsprechend informiert und/oder betroffene Systeme isoliert. Im Zusammenspiel mit einer NAC (Network Access Control) Lösung ein sehr mächtiges Werkzeug.
Auch für NDR gibt es Managed Services von Herstellern.
IR – Incident Response
Ob man sein EDR, NDR oder XDR System nun selber betreibt oder von einem Dienstleister betreiben lässt, am Ende ist es wichtig, dass man bei einer Detection schnell und richtig reagiert. Wie bereits erwähnt, lassen sich über SOAR Systeme oder API viele Reaktionen automatisieren. Gerade bei kritischen Systemen ist das jedoch nicht immer erlaubt, geschweige denn die beste Idee.
Auch im Bereich der Incident Response ist der Markt mittlerweile voll von Angeboten. Teilweise bieten die Hersteller eigene IR Teams oder man setzt auf Dienstleister, die dann bei einem Vorfall eigene Tools mitbringen.
Von Vorteil ist natürlich, wenn man bereits ein EDR System betreibt bevor ein Vorfall eintritt. Dadurch hat man eine gute Ausgangslage, um zielgerichtet reagieren zu können.
Weitere Informationen zum Thema Response findet man hier: www.tec-bite.ch/endpoint-detection-and-response-r-wie-response/.
Fazit
Ein one-size-fits-all gibt es wohl nicht. Im Endeffekt kommt es auf die Ausgangslage und Bedürfnisse des jeweiligen Kunden an. Weiss ich was in meinem Netzwerk oder auf meinen Rechnern wirklich vor sich geht? Habe ich die nötigen Skills und vor allem die nötige Zeit, um ein EDR in Eigenregie zielführend zu betreiben? Gerade für KMU Betriebe bietet ein Managed Service eine gute Möglichkeit, seine eigene IT Sicherheit ohne grossen Aufwand an die heutigen Gegebenheiten anzupassen.
Jamosh
Jamosh ist Cyber Defense Specialist bei AVANTEC. Der Schutz des schwächsten Glieds ist für ihn von zentraler Wichtigkeit, weshalb er sich am liebsten mit Endpoint Protection beschäftigt. Ausserhalb vom Büro interessiert er sich für Geschichte, liest gerne und mag Videospiele.