InfoGuard Cyber Security & Cyber Defence Blog

[Video] EDR ist wichtig: Wie man die Zeit bis zur Erkennung verkürzt

Geschrieben von Michelle Gehri | 25. Jan 2019

In einem früheren Beitrag über Endpoint Detection & Response (EDR) haben wir Ihnen bereits erklärt, wie diese geniale Technologie funktioniert und welche Vorteile Ihnen EDR bietet. Nun gehen wir noch einen Schritt weiter: In den nächsten drei Teilen erfahren Sie mehr darüber, wie Unternehmen den Zeit- und Ressourcenbedarf in den Bereichen Erkennung, Analyse und Behebung von Sicherheitsvorfällen unabhängig von deren Ausmass reduzieren können. Im ersten Teil untersuchen wir die Erkennungsphase eines Angriffs und prüfen, wie die Tanium-Plattform für EDR optimal genutzt werden kann, um mehr Kontrolle und Flexibilität bei der Erkennung, Untersuchung und Behebung zu erlangen.

Die erfolgreiche Abwehr von Cyberattacken hängt nicht nur von der zuverlässigen Identifikation ab. Mindestens ebenso wichtig ist die Geschwindigkeit, mit der auf den Angriff reagiert wird. Die Zeit, die benötigt wird, um einen Sicherheitsvorfall zu erkennen, zu untersuchen und letztendlich zu beheben, wird von den meisten Unternehmen als eine Schlüsselkennzahl zur Erfolgsmessung angesehen. In der Vergangenheit haben wir jedoch erlebt, dass es Unternehmen oftmals nicht gelingt, diese zu verkürzen. Zwischen einem Angriff und der Erkennung der Attacke vergehen oftmals wertvolle Minuten – oder besser gesagt Stunden, Tage, wenn nicht Wochen! Diese Zeitspanne kann für Unternehmen verheerende Folgen haben und den Unterschied machen zwischen einem kleinen Sicherheitsproblem und einer netzwerkübergreifenden Kompromittierung. Aber was können Sie tun, um diese Zeit zu verkürzen und so schneller auf einen Angriff reagieren zu können?

Effektive Detektionsfähigkeit dank Endpoint Detection & Response

Um eine Cyberattacke schnell zu erkennen, benötigt man zeitnahen und weitreichenden Zugriff auf forensische Artefakte und Daten auf den Zielsystemen sowie eine gute Strategie, nach was man eigentlich sucht. Diesen Bereich deckt anwendbare Threat Intelligence ab. Dabei sprechen wir nicht primär nur von IP-Adressen, Prüfsummen oder ähnlichem, sondern vor allem von Verhaltensindikatoren. Diese beschreiben nicht (nur) vom Angreifer eingesetzte Malware, sondern auch das Verhalten des Angreifers, wenn er sich mittels Windows-eigenen Werkzeugen durchs Netz bewegt.

Traditionell werden die Daten an einem zentralen Ort gesammelt und alle Analyseschritte dort ausgeführt. Das kann mühsam sein und die Zeit zwischen Angriff und Erkennung erheblich verlängern – oder im schlimmsten Fall eine Entdeckung gänzlich verhindern. Allein aus Gründen der Skalierbarkeit ist die bessere Lösung daher, die Analyse direkt am Endpunkt zu tätigen. So kann der Endpunkt laufend überwacht werden und man erhält nur diejenigen Daten, die sich auf die Erkennung beziehen oder explizit von Analysten angefordert wurden. Dies ist der grosse Vorteil der Endpoint Detection & Response (EDR)! Als positiver Nebeneffekt wird auch keine umfangreiche, zentrale Datenerfassungs-Infrastruktur benötigt. Ebenso wird bei der EDR-Technologie das Netzwerk nicht zusätzlich durch Log-Transfers an eine zentrale Stelle belastet.

Zeit ist Geld – auch beim Jagen von Cyberkriminellen

Falls Ihnen das Ganze etwas zu schnell ging: Unser EDR-Spezialist Mathias Fuchs, Head of Investigation & Intelligence bei InfoGuard, erklärt Ihnen in einem anschaulichen Video kurz und kompakt, wie EDR funktioniert, welche Vorteile es bietet und weshalb kein Unternehmen darauf verzichten sollte. 

 

Zum Video (Klick):

Die Vielfältigkeit von Threat Intelligence

Bei der Erkennung darf man sich nicht nur auf statische Intelligence verlassen, um Angriffe zu erkennen. Ansonsten besteht die Gefahr, dass Analysten Alarme nicht richtig einschätzen, wenn die bereitgestellten Informationen nicht optimal aufbereitet und damit vollständig genutzt werden. Eine gute Erkennungsstrategie sollte alle Informationen nutzen, die irgendwie verfügbar sind und diese auch in Kontext setzen.

Die Entwicklung statischer Indikatoren oder die Integration dieser Indikatoren aus einem Feed ist in der Regel der einfachste Weg, um Threat Intelligence zu nutzen. In den meisten Fällen ist dazu nur eine minimale Anpassung der Systeme erforderlich, sofern die eingesetzten Tools eine Integration der Daten in die Prozesse ermöglichen. Die meisten Indicators of Compromise (IOCs) fallen in die Kategorie der statischen Indikatoren. Obwohl sich die Indikatorwerte im Laufe der Zeit ändern können, sind die meisten so konzipiert, dass sie statische Bedrohungen wie beispielsweise einen bestimmten Host oder netzwerkbasierte Indikatoren erkennen. Die Entwicklung von statischen hin zu dynamischen Indikatoren erfordert einiges an Zeit und Know-how. Wenn möglich, überprüfen Sie die IOCs, die Sie derzeit verwenden und versuchen Sie, diese in Indicators of Attack (IOAs) zu wandeln.

Taniums Ansatz zur Detektion

Kurz und einfach gesagt lautet das Zauberwort für effektive EDR «Geschwindigkeit». Insbesondere Unternehmen mit verteilten Standorten und einer grossen Zahl von Endgeräten sind häufig mit der Flut an Events aus ihren Security-Tools überfordert. Die Werkzeuge sind meist siloartig organisiert und bieten nur eine eingeschränkte Sicht. Dadurch kann es Tage dauern bis klar ist, wo Attacken stattgefunden haben, wie sich die Malware verbreitet hat und welche Systeme betroffen sind. Genau hier setzt die Lösung von Tanium an. Die Plattform verschafft innerhalb von maximal 15 Sekunden eine detaillierte Übersicht über den Zustand sämtlicher Endgeräte – völlig unabhängig von der Grösse des Unternehmensnetzwerks. Taniums Plattform basiert auf dem neuen Ansatz, Endpunkte im Unternehmen in Sekundenschnelle abfragen zu können. Die Integration dieser noch nie da gewesenen Geschwindigkeit und Skalierbarkeit reduziert die Zeit bis zur Erkennung enorm. Die Integration der Echtzeit-Erkennungsfunktionen, welche die High Fidelity/Low Impact Detection Engine bietet, in Kombination mit der Skalierbarkeit und der Geschwindigkeit der Tanium-Plattform ermöglicht es, neue und möglicherweise zeitsensible Intelligenz unabhängig von der Unternehmensgrösse umzusetzen. Einmal im Einsatz, wird die Intelligenz sofort ausgewertet und liefert Ihrem Team genau die Informationen, die sie benötigen.

Maximale Effizienz und Effektivität dank Tanium

Um alle Möglichkeiten der Detektion nutzen zu können, müssen verschiedene Methoden und Techniken eingesetzt werden. Die Plattform von Tanium nutzt dazu mehrere Techniken, um eine Alarmierung in Echtzeit zu erreichen, einschliesslich:

  • Strukturierter Intelligenz
  • Datei- und Speicheranalyse
  • Verhaltensbasierter Erkennung


Diese werden dann auf verfügbare Artefakte angewendet inkl. Live-Dateien und Speicher oder historische Informationen über Datei-, DNS-, Prozess-, Registrierungs- und Sicherheitsereignisse. Traditionelle IOCs sind gut geeignet, um bekannte Bedrohungen (also sich wiederholende Angriffsmuster) abzugleichen. Tanium hingegen nutzt verhaltensbasierte Regeln, die bei der Identifizierung von IOAs helfen. IOAs sind einer der schwer zu standardisierenden Indikatorentypen. Diese Art von Intelligenz ermöglicht es Ihnen, Verhaltensmuster über mehrere Datendomänen hinweg zu vergleichen wie z.B. die Erstellung von Dateien durch einen Prozess, verdächtige Prozessvorfahren oder die dateibasierte Artefakt-Erkennung.

Die Kombination dieser Mechanismen gewährleistet Ihnen einen maximalen Einblick in verdächtige Aktivitäten innerhalb Ihrer Infrastruktur. Tanium hilft so, mühsame EDR-Aktivitäten in eine schnelle, «einfache» Erkennung und Reaktion zu wandeln. Klingt gut, oder? Das geht beispielsweise durch:

  • Automatisches Einlesen mehrerer Informationsquellen
  • Automatische Anwendung der Intelligenz auf den Endpunkt
  • Automatische Echtzeit-Alarmierung
  • Durchführung einer Ursachenanalyse
  • Schnelle Reaktion im Notfall

EDR-as-a-Service – nur bei InfoGuard

InfoGuard bietet Ihnen Taniums Lösung exklusiv als Service an – und das bereits ab 300 Endpunkten, statt wie bisher ab 5’000! So profitieren in Zukunft auch KMU von dieser brillanten Technologie. Unser EDR-as-a-Service wird von erfahrenen Experten im ISO 27001 zertifizierten Cyber Defence Center in Baar angeboten.

Interessiert? Gerne erzählen wir Ihnen mehr über unseren EDR-as-a-Service und zeigen Ihnen auf, wie Tanium in Ihrem Unternehmen eingesetzt werden kann.

 

*In Kooperation mit Tanium