Eine verhaltensbasierte Erkennung von Cyberangriffen erlaubt eine schnelle Reaktion auf Anomalien. Unternehmen profitieren dadurch von einem besseren Schutz. Das liegt auch daran, wie XDR die Arbeit der Security-Analysten im SOC verändert.
Text: Andreas Heer, Bilder: Adobe Stock
17. März 2023
Cyberkriminelle sind erfinderisch. Kaum hat Microsoft die Ausführung von Makros in heruntergeladenen Office-Dokumenten gestoppt, suchen die Angreifer neue Einfallstore ins Firmennetz. ZIP-Dateien, ISO-Abbilder und OneNote-Notizen mit eingebetteten Visual-Basic-Skripts sind die neuen Methoden, um Schadcode mit Phishing-Mails auszuliefern.
Solche Angriffsformen drängen die Verteidigung in die Defensive. Jedenfalls, wenn die Angriffserkennung allein auf traditionellen Methoden wie signaturbasierter Antivirensoftware und der Analyse von Logdateien der Netzwerkgeräte basiert. Zudem die Security-Analysten es mit einem grossen Graubereich zu tun haben: Ist wirklich etwas passiert beim Zugriff auf eine verdächtige Website? Hat eine Malware einen PowerShell-Prozess gestartet oder doch ein Administrator? Die vielen Warnungen – gemäss einer Studie von Palo Alto bis zu 11’000 pro Tag – erschweren die Aufklärung und führen zu einer «Alert Fatigue»: Immer gleiche Meldungen werden ignoriert, weil ja nie etwas passiert ist.
Aus dieser Ausgangslage heraus haben IT-Securityanbieter Endpoint Detection and Response (EDR) entwickelt. Dieser Ansatz untersucht Endgeräte auf verdächtiges Verhalten und Anomalien und kann bei Verdacht automatisiert reagieren. Beispielsweise werden verdächtige Dateien in Quarantäne gesetzt. Die Sicht bleibt aber punktuell auf die einzelnen Geräte beschränkt. Einen Gesamtüberblick liefert erst eine aufwändige Korrelation in einem SIEM (Security Information an Event Management) oder SOAR (Security Orchestration, Automation and Response) – Systeme, die für sich selbst wieder komplex sind.
Eine Gesamtsicht auf suspekte Vorgänge in einem Paket bietet aber erst die Weiterentwicklung XDR (Extended Detection and Response). Sie erweitert den EDR-Ansatz auf Netzwerkgeräte und Cloud-Dienste. «Damit können wir Events über den gesamten Ablauf hinweg nachverfolgen und die Zusammenhänge zwischen den einzelnen Schritten erkennen», beschreibt Yannick Schuitemaker, Security Analyst bei Swisscom, den Vorteil von XDR gegenüber EDR.
Das erleichtert die Arbeit der Security-Analysten, erklärt Schuitemaker: «Ohne XDR hatten wir nur eine beschränkte Sicht, beispielsweise anhand der Logfiles eines Proxys. Heute sehen wir direkt die gesamte Kommunikation eines Angreifers.» In Kombination mit der Machine-Learning-gestützten Korrelation von Ereignissen erleichtert XDR die Recherche bei einem Alert. Und ermöglicht es den Security-Fachleuten, schneller und vor allem früher zu reagieren. Mit den Response-Möglichkeiten von XDR lässt sich beispielsweise eine Ransomware-Attacke oftmals stoppen, bevor sich die Angreifer im gesamten Firmennetz ausgebreitet und wichtige Firmendaten verschlüsselt haben.
Damit bietet XDR eine zentrale Plattform für die Analyse und für erste Abwehrschritte bei Cyberangriffen. Dadurch lassen sich unter Umständen mehrere einzelne Tools im Security Operations Center oder sogar ein komplexes SIEM ersetzen. Das vereinfacht nicht nur den Security-Analysten die Arbeit, sondern auch dem CFO: Er kann (Lizenz-) Kosten sparen.
Die automatisierte Korrelation von Alerts über die gesamte Infrastruktur hinweg verringert auch die Anzahl an Meldungen, um die sich die Analysten kümmern müssen. «Das hilft uns, uns vertieft um jede Warnung zu kümmern und die Gefahr einer Alert Fatigue zu verringern», sagt Schuitemaker.
Bei der Erkennung entlastet XDR die Security-Fachleute von Routinearbeiten. Und spielt den Vorteil einer Cloud-Plattform aus: Bekannte Angriffe erkennt XDR von Haus aus, und neue Erkennungsmuster stehen allen Nutzenden zur Verfügung. «Das steigert die Qualität der Angriffserkennung und spart uns gleichzeitig Arbeit», beschreibt Schuitemaker den Nutzen dieses Ansatzes. «Wir können unser Fachwissen für Spezialfälle einsetzen, statt uns um Routinearbeiten kümmern zu müssen.»
XDR entlastet also die – raren – Cybersecurity-Fachleute. Ersetzt werden sie aber nicht. «Im Zweifelsfall entscheidet immer noch der Mensch über Response-Massnahmen», sagt Schuitemaker. «Denn jede Infrastruktur ist anders.» Die menschliche Reaktion ist entscheidend, um im Graubereich von Anomalien richtig zu handeln und Cyberangriffe von ungewöhnlichem, aber gewolltem Verhalten zu unterscheiden.
Weil Extended Detection and Response aber Cyberattacken über die gesamte Infrastruktur hinweg erkennen und Abwehrschritte einleiten kann, sparen sich die Fachleute viel mühsame Kleinarbeit. Das setzt Ressourcen frei für die eigentliche Abwehr und bringt gleichzeitig den Abwehrschutz von Unternehmen, die sogenannte Security Posture, auf die nächste Ebene.