Wenn die eigene Mauer durchbrochen ist – gibt es jetzt noch Hilfe?

Es ist wie mit dem Pferd, das die trojanischen Bürger selbst durch die Stadttore zogen: Moderne Endpoint Security Lösungen eliminieren viele Gefahren, können aber nicht vollständig verhindern, dass Hacker sich mit neuartigen Attacken oder Social Engineering Zugang zu IT-Ressourcen verschaffen. Spätestens seit der DSGVO müssen IT-Administratoren auch getarnte und verschachtelte Angriffe ausfindig machen, verdächtige Prozesse […]

Es ist wie mit dem Pferd, das die trojanischen Bürger selbst durch die Stadttore zogen: Moderne Endpoint Security Lösungen eliminieren viele Gefahren, können aber nicht vollständig verhindern, dass Hacker sich mit neuartigen Attacken oder Social Engineering Zugang zu IT-Ressourcen verschaffen. Spätestens seit der DSGVO müssen IT-Administratoren auch getarnte und verschachtelte Angriffe ausfindig machen, verdächtige Prozesse unmittelbar unterbinden  und im Nachhinein untersuchen können. Hier kommt Endpoint Detection and Response (EDR) ins Spiel.

Endpoint Security ist unverzichtbar und leistet viel: Gängige Lösungen wehren weit über 99% aller Malware-Angriffe ab. Angesichts von mehr als 832 Millionen verschiedener Malware-Varianten und ihrem steigenden Niveau an Komplexität und Tarnungsfähigkeiten, eine durchaus beeindruckende Bilanz. Cyberattacken sind heutzutage ausgeklügelte Angriffe, die aus mehreren Phasen bestehen, die jeweils auf verschiedenen Ebenen ansetzen.

Analog muss der moderne Schutz von Endgeräten ebenso mehrere Verteidigungslinien aufweisen. Dazu gehören neben Signaturen der automatisierte Vergleich von Dateien zu bekannten bösartigen und legitimen Dateien. Weitere Ebenen sind die Machine-Learning gesteuerte HyperDetection, die auch bösartige dateilose Befehle und Skripte einschließlich VB-, JAVA-, PowerShell- und WMI-Skripte prüft, und das Sandboxing, in dem Dateien in einer isolierten Umgebung geöffnet und beobachtet werden. Ganz wichtig ist darüber hinaus die Überwachung laufender Prozesse, um festzustellen, ob Unregelmäßigkeiten auftreten oder andere Prozesse manipuliert werden.

Bei der Prozessüberwachung hilft kein Schwarz-Weiß-Denken. Stattdessen wird einzelnen Aktionen ein Risiko-Score zugeordnet. Wenn eine Anwendung beispielsweise beginnt, Registrierungsschlüssel zu erstellen – und das normalerweise nicht tun sollte – erhält sie eine bestimmte Punktzahl. Wenn die Summe der Aktionen, die von demselben Prozess ausgeführt werden, einen bestimmten Schwellenwert überschreitet, wird die Anwendung beendet und alle ausgeführten Aktionen werden rückgängig gemacht. Dass meist erst mehrere Aktionen zur Überschreitung des Schwellenwertes führen, vermeidet False Positives und Frustration der Anwender über abgebrochene Prozesse.

Die natürlichen Limitierungen von Endpoint Security

Während Endpoint Security-Technologien also bei der Abwehr von softwarebasierten Bedrohungen sehr weit entwickelt sind, sind ihre Fähigkeiten bei fortgeschrittenen und komplexen Bedrohungen begrenzt.  Dies sind Bedrohungen, die speziell für ein Unternehmen entwickelt wurden oder auf einen bestimmten Mitarbeiter dieses Unternehmens abzielen. Dazu spähen Cyberkriminelle ihre Opfer über längere Zeit gezielt aus, um alles über die Netzwerkkonfiguration, Richtlinien, Sicherheitszugang und intern eingesetzte Sicherheitslösungen herauszufinden. Danach geht es darum, eine passende Schwachstelle zu finden oder geeignete Malware zu entwickeln, die speziell für dieses Ziel über ausreichende Infiltrations- und Ausweichmöglichkeiten verfügt, um unter dem Radar der Sicherheitslösungen bleiben zu können.

Nehmen wir zum Beispiel PowerShell- Skripte. In vielen Unternehmen nutzen IT- Administratoren diese Skripte, um Endpoint-Tasks zu automatisieren. Traditionelle Endpoint Security-Lösungen können, die in dem Skript dieses nativen Windows Tools enthaltenen Befehlsfolgen, nicht interpretieren, daher werden sie von Cyberkriminellen gerne eingesetzt – sowohl für Spionagezwecke als auch für Ransomware und Kryptominer. Wenn Angreifer geschickt agieren, ihre Skripte äußerlich den legitim eingesetzten Skripten ähneln und sonst keine weiteren verdächtigen Prozesse folgen, werden Angriffe auch in einer NextGen-Lösung kaum den konfigurierten Schwellenwert erreichen.

EDR: Der Blick unter die Tarnkappe

Doch nur weil Angriffe gut getarnt sind, heißt dies nicht, dass sie unsichtbar bleiben müssen. Ihre Aktionen hinterlassen durchaus Spuren. Während Endpoint-Security-Tools schon immer „pre-execution“ und seit einigen Jahren „on-execution“ reagieren, verfolgen EDR-Tools (Endpoint Detection and Response) verdächtige Aktivitäten auch zu einem späteren Zeitpunkt automatisch und alarmieren gegebenenfalls IT- und Sicherheitsteams über Ungereimtheiten. Man kann sich Endpoint Security als eine Mauer oder mehrschichtige Grenzbefestigung vorstellen. Sobald diese durchbrochen ist, kann sie nichts mehr ausrichten. Dann müssen andere Tools greifen, die eher einer Polizeistreife oder einem Ermittlungsteam ähneln, die die grenznahen Bereiche durch- forstet und überwacht. EDR ist auch in der „post-execution“-Phase aktiv, erfasst mehr Details und verfügt damit über eine vertiefte Analysefähigkeit. Gartner definierte EDR als Kategorie von Werkzeugen, die in erster Linie darauf konzentriert sind, verdächtige Aktivitäten und ihre Spuren davon auf Hosts und Endpoints zu entdecken und zu untersuchen.

Wie hilft EDR genau? Auch hier Beispiele: Eine reine Endpoint Security-Lösung würde einen Workload, der mit anderen Workloads aus dem gleichen Netzwerk kommuniziert, kaum als verdächtig einstufen. Eine EDR-Lösung würde dagegen warnen, sobald sie feststellt, dass der Kommunikations-Port entweder kein Standard-Port ist oder dass die beiden Workloads normalerweise nicht miteinander kommunizieren. Herkömmliche Endpoint Security ist außerdem in keiner Weise darauf ausgelegt, zu erkennen, ob Benutzeranmeldeinformationen von Unbefugten missbraucht werden.

Cyberkriminelle könnten zum Beispiel durch Phishing an die Zugangsdaten von Mitarbeitern gelangen. Damit können sie sich legitimiert innerhalb der Infrastruktur bewegen. Von diesem Zeitpunkt an können sie auf interne Dokumente und Daten zugreifen, diese kopieren und sogar zusätzliche persistente Tools installieren, mit denen sie zusätzliche Kontrolle erlangen. EDR-Tools würden bei derartigen Aktionen – Missbrauch von Anmeldeinformationen, Privilegien-Eskalation und Datenexfiltration – unmittelbar eine Warnung ausgeben. Zum Beispiel sind Anmeldungen von ungewohnten Orten auf un- bekannten Geräten oder erstmalige Zugriffe eines Users auf Verzeichnisse Anzeichen für ein anomales Verhalten. Administratoren können mithilfe des EDR die Probleme dann in vielen Fällen automatisiert oder mit einem Klick beheben oder weiter untersuchen.

Angesichts der Bestimmungen der DSGVO ist es zudem notwendig, Verstöße gegen den Datenschutz innerhalb von 72 Stunden zu melden. Dies dürfte angesichts der Komplexität heutiger Cyberattacken ohne EDR den meisten Organisationen unmöglich sein. EDR stellt solche Verstöße schnell fest und sorgt in den meisten Fällen dafür, Schaden zu verhindern oder stark einzudämmen. IT- und Sicherheitsteams bei der Arbeit mit frühen EDR-Tools kontinuierlich damit beschäftigt, Warnmeldungen zu überprüfen, ohne bestimmen zu können, was tatsächlich kritisch ist. „Alarmmüdigkeit“ ist die Folge: Die überlasteten Teams können nicht jedem Vorfall nachgehen – und werden möglicher- weise gerade vom wichtigsten abgelenkt. Ebenso machte das fehlende Zusammenspiel von EDR und Endpoint Security die Administrationsarbeit mühsam. Die heterogenen Lösungen erforderten zwei oder mehr unterschiedliche Agenten auf dem Endgerät und wurden separat verwaltet. Das Resultat ist eine reduzierte Rechenleistung der Hardware und ein vervielfachter Verwaltungsaufwand für die IT- und Sicherheitsteams.

EDR der nächsten Generation

Diese Einschränkungen adressieren  neuere Lösungen mit einem einheitlichen Security-Agenten, der Endpoint Security und EDR zusammenfasst. Somit können beide Lösungen zusammenarbeiten, Informationen über potenzielle Sicherheitsprobleme austauschen und alle für Sicherheits- und IT-Administratoren relevanten Informationen in einer einzigen zentralen Managementkonsole anzeigen.

Um gegen die Alarmmüdigkeit anzugehen, ist eine Schlüsselkomponente von EDR der nächsten Generation die Fähigkeit, die Relevanz eines Sicherheitsvorfalls zu bestimmen. Eine gemeinsame Lösung für Endpoint Security und EDR sorgt hier für viele Vorteile: Erstens werden zahlreiche Probleme automatisiert eliminiert, zweitens sorgt die Aggregation der Informationen verbunden mit Machine Learning für ein intelligentes Scoring der Vorfälle. So erhalten Administratoren einen vollständigen Überblick über den Sicherheitsstatus der Infrastruktur des Unternehmens und werden nicht durch eine Fülle von Warnmeldungen mit niedriger Priorität lahmgelegt.

Die Lehre aus der griechischen Mythologie: Als die Trojaner das von den Griechen hinterlassene Holzpferd in ihre Stadt zogen, war der Schaden noch nicht geschehen. Erst als es den darin versteckten griechischen Kämpfern des Nachts gelang, unbeobachtet die Stadttore von innen zu öffnen, besiegelte dies das Schicksal der Stadt. In der IT lernen wir daraus, dass es eine „innere Sicherheit“ geben muss, die dann zum Tragen kommt, wenn die ersten Schritte eines Breach bereits geschehen sind: EDR.

Autor: Liviu Arsene, Leitender Bedrohungsanalyst bei Bitdefender