Die digitale Welt entwickelt sich mit atemberaubender Geschwindigkeit, und mit ihr auch die Gefahren, denen Unternehmen und Organisationen in Bezug auf Cybersicherheit gegenüberstehen.
In unserem letzten Blog-Post „Von stillen Hackerangriffen zur Notwendigkeit von Detection-Mechanismen“ haben wir über verdeckte Cyberangriffe und die Notwendigkeit für Detection-Werkzeuge
In unserem letzten Blog-Post „Von stillen Hackerangriffen zur Notwendigkeit von Detection-Mechanismen“ haben wir über verdeckte Cyberangriffe und die Notwendigkeit für Detection-Werkzeuge gesprochen. Nun möchten wir Ihnen eine typische EDR-Lösung mit ihren Bausteinen vorstellen.
Hier noch einmal kurz zusammengefasst, was eine EDR-Plattform leistet:
Es gibt Analysen, dass ein Angriff über eine Living-of-the-Land-Attacke (LotL) - sogenannte "file-less Attacken" - im Durchschnitt bis zu 200 Tage unerkannt bleibt. Endpoint Detection & Response (EDR) Lösungen ermöglichen die „stille“ Beobachtung eines Eindringlings ohne einzugreifen.
Eine EDR-Lösung bietet die Möglichkeit, Daten unternehmensweit zu erkennen und zu korrelieren. Sie sammelt während einer Attacke Informationen zu:
Die EDR-Lösung liefert Sicherheitsverantwortlichen, Security-Teams und forensischen Ermittlern die notwendigen Hinweise für die Durchführung ihrer Analyse von auffälligem bzw. abweichendem Verhalten auf dem Endgerät.
Wenn es um Cybersicherheit geht, sollte ein Sicherheitsteam jederzeit den Status und Fortschritt seiner Nachforschungen berichten können. Vorraussetzung hierfür ist das Verständnis typischer Angriffsvektoren und Angriffsvorgehensweisen.
Angriffstechiken und Vektoren - Welche Attacken gibt es?
Greifen wir die MITRE ATT&CK™-Datenbank als Beispiel heraus: Diese Datenbank bietet tiefgreifende Informationen über Angriffstaktiken und Angriffstechniken und sie basiert auf realen Beobachtungen. MITRE ATT&CK™ ist kostenlos.
Verfolgung von Vorfällen: Thread Hunting
Wieviele Vorfälle während der Bedrohungssuche (Threat Hunting) aufgedeckt werden, sollte aber nicht als einziger Erfolgsindikator gelten. Was ist, wenn man nichts Auffälliges findet und trotzdem etwas vorhanden ist?
Es ist deshalb wichtig zu prüfen, ob die richtigen Daten gesammelt wurden, ob die Automatisierung verbessert wurde und wie viel das Team über seine eigene Umgebung weiß, wenn es nach bestimmten gegnerischen Techniken sucht. Dies funktioniert nur mit Fokus auf die richtigen Daten – und hier unterstützt die EDR-Lösung.
Eine Verhaltens- oder Heuristikanalyse kann neue Techniken und Malware identifizieren, ohne sich auf bekannte Signaturen zu verlassen. Unter Signaturen verstehen wir u.a. die etablierte Praxis von Softwareherstellern, ihre Programme zu signieren.
Antivirus-Programme (AV) arbeiten auf Basis bekannter Signaturen und können daher nur das melden oder verhindern, was sie auch kennen. Beschreibungen für Schadsoftware sind aber oft nicht aktuell oder fehlen ohnehin aufgrund der Menge auftretender Varianten.
Ein AV-Lösung kann eine Malware-Signatur erkennen, diese ist eine fortlaufende Folge von Bytes, die in Malware enthalten sind. Aber Zero-Day-Angriffe beispielsweise manipulieren die Signatur und werden von AV-Lösungen oft nicht erkannt.
Bei Ransomware-Angriffen handelt es sich um Software, die von Usern – häufig über einen infizierten Email-Anhang – eingeschleust wird . AV schützt nicht immer vor Ransomware, da die Signatur der Malware manchmal neu oder nicht erkennbar ist.
Im Gegensatz zu einer Ransomware-Bedrohung ist ein dateifreier Malware-Angriff ein Angriff auf vorhandene Windows-Tools und keine schädliche Software, die auf dem Computer des Opfers installiert wird. Daher gibt es keine Signatur, die der AV abholen kann.
EDR-Lösungen ermöglichen eine effektivere Bereinigung und Behebung nach einem Angriff. Die Gegenreaktionen bzw. Responses werden (bei DriveLock) in einer Policy konfiguriert. Responses werden beim Eintreten eines Alerts automatisch ausgeführt oder zentral durch einen Administrator.
Mögliche Responsemöglichkeiten bei Alerts sind u.a.: