Endpoint Detection & Response – die Vorteile eines proaktiven Threat Hunting-Ansatzes

Autor
Michelle Gehri
Veröffentlicht
22. Februar 2019

Im ersten Teil unserer Serie über Endpoint Detection & Response (EDR) haben Sie erfahren, wie die Zeit bis zur Erkennung einer Cyberattacke verkürzt werden kann. Nun geht es ans Eingemachte: In diesem Artikel erklären wir Ihnen, weshalb Unternehmen beim Scannen, Jagen und Analysieren von Sicherheitsvorfällen nicht nur reaktiv agieren dürfen.

Forensische Ansätze sind sowohl bei der Untersuchung als auch der Analyse entscheidend für eine effektive Endpunkt-Security-Strategie und auf jeden Fall genauso wichtig wie die Erkennung, Behebung und Prävention. Warten Sie nicht auf einen Vorfall, bevor Sie mit der Suche beginnen – suchen Sie proaktiv! Eine proaktive Suche beginnt mit der Annahme, dass ein Angriff gerade unbemerkt stattfindet.

Viele Unternehmen setzen jedoch immer noch auf einen reaktiven Ansatz und verschwenden dadurch wertvolle Zeit. Das bedeutet, dass sie aus einer alarmbasierten Perspektive heraus agieren und Vorfälle untersuchen, wenn diese durch Detektionssysteme erkannt wurden. Bezogen auf die Endpoint Detection & Response bedeutet dies, dass typischerweise nur dann Alarme ausgelöst werden, wenn bekannte IOCs (Indicators of Compromise) oder verdächtige Verhaltensweisen entdeckt werden.

EDR bedeutet, im (Daten-)Wald das glimmende Streichholz zu finden und zu löschen

Aber nicht immer ist eine solche Warnung der Startpunkt für eine Untersuchung. Beispielsweise wenn Sie den Verdacht haben, dass ein Mitarbeiter betrügerische Aktionen getätigt hat und Sie deshalb einen bestimmten Zeitraum analysieren müssen. Oder Sie müssen möglicherweise nach bestimmten Artefakten suchen, z. B. wenn eine Malware an Ihren E-Mail-Scangeräten vorbeigeht oder wenn ein vertrauliches Dokument auf einmal frei zugänglich herumgereicht wird. Oder Sie wollen ganz gezielt und proaktiv nach Anomalien suchen.

Unabhängig vom Ausgangspunkt muss es Ihnen möglich sein, in die relevanten Ergebnisse und Systeme einzutauchen, um so eine zeitliche Abfolge der Ereignisse zu rekonstruieren. Nur so erhalten Sie ein umfassendes Bild, was genau passiert ist – und können allenfalls auch ableiten, was weiter geschehen könnte. Security-Analyst müssen sich zudem mit einer riesigen Menge an Daten auseinandersetzen, die durch den normalen Betrieb kontinuierlich von Systemen generiert wird. Hier kann die Anreicherung von zusätzlichen Informationen helfen, zwischen «guten und schlechten» Ereignissen zu unterscheiden und die Analysten bei der Untersuchung tatkräftig unterstützen.

Sobald Ihre Analysten das initiale Ereignis gefunden haben gilt es, die vorhandenen Lücken in der Ereigniskette mit den zur Verfügung stehenden Informationen zu schliessen und gleichzeitig Beweise für eine spätere vertiefte Analyse sicherzustellen. Eine Cyberattacke endet aber meist nicht mit der ersten Malware-Infektion und dem Eindringen ins Netzwerk. Der Angreifer wird versuchen, weiter ins Netzwerk vorzudringen und Zugangs- oder sonstige sensible Daten zu stehlen, um als vermeintlicher Benutzer Zugang ins Netzwerk zu erhalten.

Was das für Sie heisst? Ab hier wird die systemübergreifende Untersuchung zur Jagd. Ihr Analysten-Team muss sich mit dem Threat Hunting-Team zusammenschliessen, um den Vorfall gründlich zu analysieren und um sicherzustellen, dass das ganze Ausmass erkannt wird und so kein zusätzlicher Schaden angerichtet werden kann. Dazu muss es Ihnen dann auch möglich sein, die bösartigen Aktivitäten zu blockieren. Und hier kommt wiederum eine effektive EDR-Lösung ins Spiel. Sie muss Aktionen ausführen sowie Sicherheitsrichtlinien anpassen und durchsetzen können!

Wie hilft Tanium bei der Untersuchung und forensischen Analyse?

Die EDR-Lösung von Tanium ermöglicht es, innerhalb weniger Sekunden eine detaillierte Übersicht über eine Cyberattacke zu erhalten – und das von sämtlichen Endgeräten, unabhängig von der Grösse des Unternehmensnetzwerks. So kann schneller als mit anderen auf dem Markt erhältlichen Lösungen bestimmt werden, wo eine Attacke stattgefunden hat, wie sich die Malware verbreitet oder der Angreifer durch das Netzwerk bewegt hat, welche Endgeräte betroffen sind und wie darauf reagiert werden soll. Tanium zeichnet dazu kontinuierlich forensische Telemetrie-Daten auf, um Ihnen bei der Analyse von Vorfällen zu helfen. Die EDR-Plattform geht aber weit über die Erfassung von Log-Daten am Endpunkt hinaus. Sie kombiniert den Zugriff auf historische Daten mit der Möglichkeit, den aktuellen Systemzustand und die gespeicherten Daten abzufragen – und dies unabhängig von der Grösse des Unternehmensnetzwerkes und in einer enormen Geschwindigkeit. Dazu gehört auch der Echtzeitzugriff auf umfassende Beweisquellen wie z.B. Indizes aller Dateien auf der Festplatte, native Betriebssystem-Artefakte und der vollständige Inhalt der flüchtigen Speicher. Und schliesslich bietet Tanium die Möglichkeit, eine Suche zu wiederholen, um mit verschiedenen Lösungsansätzen zu experimentieren und Daten in Echtzeit zu vergleichen, ohne dass eine Nachbearbeitung erforderlich ist. Das kann beispielsweise der Fall sein, wenn Sie die Persistenz-Mechanismen von allen Systemen in Ihrem Netzwerk sammeln und gruppieren. Dadurch können Ihre Analysten Ausreisser resp. böswillige Aktivitäten schneller erkennen.

EDR-as-a-Service? Gibt’s nur bei InfoGuard!

Wir bieten Ihnen die führende EDR-Lösung von Tanium exklusiv als Service aus unserem ISO 27001 zertifizierten Cyber Defence Center an – und das bereits ab 300 Endpunkten, statt wie bisher ab 5’000!
Interessiert? Gerne zeigen wir Ihnen auf, wie Sie den EDR-as-a-Service in Ihrem Unternehmen einsetzen und so Ihre Endpoint Detection & Response revolutionieren können.

 

Angebot EDR-as-a-Service

Incident Response abgeschlossen: Wie weiter?

Die oben beschriebenen Schritte sind entscheidend, um einen Vorfall aufzuspüren, zu analysieren und angemessen darauf zu reagieren. Aber – das ist erst der Anfang Ihrer Arbeit. Als nächstes müssen Sie dem Vorfall auf den Grund gehen. Und auch hier ist Geschwindigkeit das entscheidende Stichwort!
Je kürzer die Zeit zwischen dem Eindringen, der Erkennung und der Reaktion ist, desto besser können Sie den Vorfall analysieren und die Ursache entdecken. So kann beispielsweise der Grund für ein erfolgsreiches Eindringen eine schlechte Systemkonfiguration oder fehlende Patches sein. In diesem Fall ist es wichtig, die folgenden Fragen zu beantworten:

  • Hat Ihr Sicherheitsteam Einblick in das Patch-Management oder in die Konfigurationsänderungen?
  • Wer wird die infiltrierten Systeme bereinigen und wie wird dies protokolliert resp. aufgezeichnet?
  • Kann Ihr Incident Respond-Team im Notfall (wie beispielsweise WannaCry) den IT-Betrieb bei der Einspielung von One-Off Patches oder bei der Deaktivierung von verwundbaren Services unterstützen?

Wie bereits beschrieben: Die meisten Untersuchungen werden basierend auf Anomalien und Alarmen getätigt. Sie sollten jedoch nicht auf einen Vorfall warten, sondern proaktiv agieren! Denn Cyberattacken sind unvermeidlich – lange Zeitspannen bis zur Erkennung und Reaktion hingegen schon. Eine proaktive Suche beginnt mit der Annahme, dass bereits ein Angriff stattgefunden hat und in Ihr Netzwerk eingedrungen wurde – Sie wissen es nur noch nicht...

Hier stellt sich die Frage: Versetzt Sie Ihre EDR-Plattform in die Lage, rein reaktiv zu sein oder können Sie mit Ihrer EDR-Plattform proaktiv, effizient und unternehmensweit nach Anomalien jagen und bei Bedarf Untersuchungen durchführen? Im dritten Teil unserer EDR-Serie erfahren Sie, wie eine effektive Reaktion auf Sicherheitsvorfälle auszusehen hat und welche Rolle Endpoint Detection & Response dabei spielt.

Verpassen Sie diesen dritten und abschliessenden Beitrag unserer EDR-Serie auf keinen Fall und abonnieren Sie sich gleich die Blog-Updates. So erhalten Sie die neusten Artikel wöchentlich direkt in Ihre Mailbox!

Jetzt Blog-Updates abonnieren!

Artikel teilen