XDR – Das Zauberwort der effizienten Abwehr moderner Cyberangriffe [Teil 2]

Im dynamischen Umfeld der zunehmenden Cyberbedrohung hat sich die Technologie von Extended Detection and Response (XDR) als unverzichtbar erwiesen. Im ersten Teil dieser Blogserie haben wir berichtet, wie XDR als KI-gestützte Technologie funktioniert, Angriffsvektoren 24/7 schützt und Ihr Security Operation Center (SOC) von der «Detection» bis zur «Response» aktiv unterstützt. Im zweiten Teil untersuchen wir, wie eine moderne Sicherheitsarchitektur den entscheidenden Unterschied ausmacht. Das reale Fallbeispiel illustriert die Vorteile einer strukturierten Cyberabwehr-Journey mit einem XDR-Stack und weist den Weg zu einer robusten Sicherheitsstrategie.

Der schnelllebige technologische Wandel fördert nicht nur die wirtschaftliche Entwicklung, sondern bietet auch Cyberkriminellen neue Perspektiven. Die Zahl und die Komplexität der Cyberangriffe sind alarmierend. Ein Security Operation Center (SOC) ist mit bedeutenden Herausforderungen konfrontiert und Unternehmen gezwungen, mit der rasanten Entwicklung Schritt zu halten. Die verhaltensbasierte XDR-Technologie ist der Schlüssel für eine effektive Cyberabwehr – von der Prävention zur Recovery.

MDR-/SOC-Dispositiv: integrierter Lösungsansatz zur effizienten Cyberabwehr

Im Rahmen der Cyberabwehr ist die Nutzung des umfassenden NIST-Cybersecurity-Frameworks 2.0 (MDR-/SOC-Dispositiv) entscheidend, um alle wesentlichen Sicherheitsaspekte sicherzustellen. Das heisst, eine ausgewogene Kombination aus Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung bildet die Grundlage für eine effektive Cyberabwehr und schützt vor potenziellen Schäden und geschäftsrelevanten Auswirkungen.

Abbildung 1: Das NIST-Cybersecurity Framework 2.0, das MDR/SOC-Dispositiv

Betrachten wir detailliert, wie die fünf Komponenten in diesem Sicherheits-Framework optimal ineinandergreifen.

1. Identify

Der erste Schritt jedes Sicherheits-Frameworks ist die Identifizierung. Dieser Prozess beinhaltet:

• Erkennung der Risiken: Ermitteln der potenziell gefährdeten Vermögenswerte wie Systeme und Daten. Dies fordert ein Verständnis der vorhandenen IT-Infrastruktur, der geschäftskritischen Anwendungen und potenziellen Bedrohungen.
• Mapping und Priorisierung: Identifizieren der wichtigsten Schwachstellen und Priorisieren der Schutzmassnahmen basierend auf der potenziellen Auswirkung und Eintrittswahrscheinlichkeit von Bedrohungen.

2. Protect

Nach der Identifikation der Risiken wenden wir uns den Schutzmassnahmen zu:

• Sicherheitsmassnahmen implementieren: Aufbau eines Schutzsystems durch die Einführung von Sicherheitslösungen wie Firewalls, Antivirus-Software und Verschlüsselung.
• Präventive Massnahmen: Sicherstellen, dass alle Sicherheitsvorkehrungen getroffen sind, um Angriffe zu verhindern. Dies umfasst auch die kontinuierliche Aktualisierung und Wartung der Sicherheitsmassnahmen.

3. Detect

Die Erkennung von Sicherheitsvorfällen ist entscheidend für eine frühzeitige Warnung und schnelle Reaktion:

• Monitoring und Überwachung: Einsatz von Technologien wie XDR, welche umfassende Netzwerktelemetriedaten sammeln und analysieren sowie verdächtige Aktivitäten erkennen.
• Alarmierung und Reporting: Implementieren von Systemen, die automatisch Alarm schlagen, sobald eine Bedrohung erkannt wird. Dies ermöglicht eine sofortige forensische Untersuchung und Validierung potenzieller Sicherheitsvorfällen.

4. Respond

Nach der Detektion verdächtiger Aktivitäten gilt es, richtig zu reagieren:

• Incident Response: Aktivieren eines «Incident Response»-Teams bzw. CSIRT (Computer Security Incident Response Team), welches auf Sicherheitsvorfälle kompetent und effizient reagiert. Dies umfasst die Analyse, Eindämmung und Behebung der Bedrohung.
• Koordination und Kommunikation: Kommunikation innerhalb des Unternehmens und gegenüber anderen Stakeholdern, um sicherzustellen, dass sämtliche notwendigen Massnahmen koordiniert, zügig und den Vorgaben entsprechend umgesetzt werden.

5. Recover

Mit der Wiederherstellung ist der letzte Schritt nach einem Sicherheitsvorfall getan:

• Wiederherstellen der Systeme: Nach der Eindämmung des Vorfalls müssen betroffene Systeme und Daten wiederhergestellt werden. Oft beinhaltet dies ein Zurücksetzen auf saubere Backups und Entfernen sämtlicher Kompromittierungen.
• Überprüfen und Einleiten von Optimierungsmassnahmen: Nach der Wiederherstellung sollten die Vorfälle analysiert und aus den Erkenntnissen die Learnings erarbeitet werden, um zukünftige Angriffe erfolgreich abzuwehren. Dies kann die Aktualisierung von Sicherheitsprotokollen, das Optimieren von Schutzmassnahmen und die Schulung des Personals umfassen.

Dieser integrierte Ansatz gewährleistet, dass Unternehmen nicht nur proaktiv gegen Bedrohungen geschützt sind, sondern auch im Falle eines Angriffs schnell und effektiv reagieren und sich erholen können. 

Ein realer Angriff auf einen Service Provider: Analyse und Reaktionsmassnahmen

Untersuchen wir nun einen konkreten Angriffsversuch auf einen Service Provider. Dieser Fall verdeutlicht die Herausforderungen und Reaktionsstrategien bei komplexen Cyberangriffen. Dazu nehmen wir die Architekturprobleme, den Angriffsverlauf und die Reaktionsmassnahmen detailliert unter die Lupe.

Ausgangssituation und Architekturprobleme

Der analysierte Vorfall betraf einen Service Provider, der seine Infrastruktur in unserem SOC mit einem XDR-Stack 24/7 überwachen und schützen liess. Seinen Kunden liefert dieses Unternehmen Infrastruktur-as-a-Service, jedoch ohne ausreichendes Monitoring. Das architektonische Problem lag in der gemeinsamen Nutzung des Active Directory durch das Unternehmen und dessen Kundschaft. Die geteilte Verantwortung führte so zu einer erhöhten Risikoexposition. Nachdem die Meldung beim SOC eingegangen ist, war schnell klar, dass eine Intervention durch das CSIRT notwendig sein wird.

Initialer Angriff und Detektion

Erkundungstour zur Angriffsvorbereitung – Tag 1

Am ersten Tag richtete sich der Angreifer einen Zugang über eine «Cobalt Strike»-basierte «Command and Control»-Infrastruktur ein. Dies erfolgte in einem Bereich der Infrastruktur, der vom XDR-System nicht überwacht wurde. Der Angreifer erkundete das System, um festzustellen, ob sich das Unternehmen als Angriffsziel lohnen würde und verliess das System unverrichteter Dinge – jedoch nur vorübergehend.

Abbildung 2: Vorbereitende Aktivitäten und Erkundung

Fortsetzung und Erweiterung des Angriffs – Tag 9

Neun Tage nach dem initialen Zugang kehrte der Angreifer auf den kompromittierten Server zurück und führte weitere Aktivitäten durch. Bevor er mehrere Angriffsversuche ausführte, erweiterte er die Sichtbarkeit im Netzwerk:

• DC-Sync-Attacke: Der Angreifer versuchte, sich als Identity Provider auszugeben, um Zugang zu Benutzer-Passwörter zu erhalten. Es blieb bei diesem einen Versuch.
• Installation von Vulnerable Drivers: Diese Treiber sollten die Privilegien des Angreifers erhöhen und den Zugang erweitern – dank XDR erfolglos.
• Versuch der Cobalt Strike-Installation auf dem Domain Controller: Auch dieser Versuch wurde von der XDR-Lösung erkannt und blockiert.

Abbildung 3: DC-Sync-Attacke, Installationsversuche von Vulnerable Drivers und Cobalt Strike

Reaktionsmassnahmen und Wiederherstellung

Alarmierung und Aktivierung von«Incident Response»-Massnahmen

Der erste Alarm wurde um 5:27 Uhr UTC ausgelöst und signalisierte gleichzeitig die Aufnahme der Reaktionsmassnahmen. Zu diesen Massnahmen gehörten:

• Triagierung und Validierung: Der Alarm wurde durch das SOC-Team validiert, weitergeleitet und ans CSIRT weitergeleitet.
• Einleitung von Incident Response: Das «Incident Response»-Team untersuchte den Vorfall und ergriff Massnahmen zur Eindämmung der Bedrohung.

Neutralisierung und Bereinigung unter Einsatz von künstlicher und menschlicher Intelligenz

Die Neutralisierung des Angreifers erfolgte sowohl automatisiert durch den XDR-Stack als auch durch manuelle Massnahmen des «Incident Response»-Teams. Die Infrastruktur wurde gesäubert, um weitere Angriffe zu verhindern. Auch wenn die XDR-Technologie den Angriff stark verlangsamt hatte, war eine vollständige Neutralisierung nur durch koordinierte Massnahmen des Sicherheitsteams möglich.

Abbildung 4: Triagieren und Validieren

Insgesamt zeigt dieser Vorfall, dass moderne Sicherheitsarchitekturen kombiniert mit durchdachten Reaktionsprozessen entscheidend für den Schutz vor Cyberangriffen und deren Bewältigung sind.

Cyberabwehr-Journey: Systematisch aufgebaute Cyberabwehr mit XDR-Setting

Die Cyberabwehr-Journey beschreibt den systematischen Prozess, um eine robuste und effiziente Cyberabwehr aufzubauen.

Betrachten wir die Journey auf der Grundlage unseres vierstufigen «Managed Detect and Response (MDR) »-Settings genauer:

Abbildung 5: Die Cyberabwehr-Journey mit einem XDR-Stack

1. Initialisierung

Die Initialisierung eröffnet die Cyberabwehr-Journey und legt den Grundstein für die gesamte Sicherheitsarchitektur.

• Priorisierung und Planung: Zu Beginn wird eine klare Priorisierung definiert, um die wichtigsten Sicherheitsziele und -bedürfnisse des Unternehmens zu identifizieren. Dies umfasst die Festlegung der wichtigsten Schutzmassnahmen und Ressourcen, die für die Implementierung erforderlich sind.
• Einrichtung des SOC: Im Rahmen des «Managed Detect and Response»-Settings wird ein Security Operations Center (SOC) eingerichtet, um die kontinuierliche Überwachung und Reaktion auf Sicherheitsvorfälle zu gewährleisten.

2. Realisation

Während der Realisierungsphase werden die grundlegenden Sicherheitskomponenten implementiert.

• Agenten-Rollout: In einem ersten Schritt werden Agenten auf den Systemen des Unternehmens ausgerollt. Dieser Schritt ist entscheidend für die präventive und detektierende Sicherheitsarchitektur.
• Übergang zu modernen Sicherheitslösungen: Unternehmen, die bisher mit klassischen Antivirus-Systemen agiert haben, werden auf ein modernes EPP-EDR-Konstrukt umgestellt. Dieses Konstrukt bietet verbesserte Präventions- und Erkennungsfähigkeiten im Vergleich zu traditionellen Lösungen.

3. Baselining

Das Baselining ist bedeutend für die Schaffung einer Grundlage zur kontinuierlichen Überwachung und Verbesserung.

• Integration der Identity Provider: Die Einbindung sämtlicher Identity Provider ist essenziell, um die Sichtbarkeit und Kontrolle über privilegierte Identitäten zu erhalten. Diese Identitäten stehen oft in der Ziellinie von Angreifern, da sie für laterale Bewegungen innerhalb des Netzwerks genutzt werden.
• Erstellen einer Basislinie: Die System- und Netzwerkaktivitäten werden überwacht und dokumentiert, um ein normales Betriebsbild zu erstellen. Diese Basislinie hilft bei der Identifizierung ungewöhnlicher oder verdächtiger Aktivitäten.

4. Operations

In der Operations-Phase wird die Handlungsfähigkeit sichergestellt, damit 24/7 auf Bedrohungen reagiert werden kann.

• Aufbau der Handlungsfähigkeit: Prozesse und Werkzeuge werden eingerichtet, um auf Sicherheitsvorfälle reagieren zu können. Dies umfasst die Implementierung eines kontinuierlichen Monitorings und einer Reaktionsstrategie.
• Erweiterung der Visibilität: Die Netzwerk- und Systemvisibilität wird kontinuierlich erweitert, damit ein umfassendes Situationsbild entsteht. Falls notwendig, werden beispielsweise zusätzliche Log-Quellen wie Firewalls integriert. XDR-Agenten sammeln umfassende Netzwerktelemetriedaten, einschliesslich der Layer-4-Informationen (IP-Adressen, Ports, Protokolle) und des Kontextes, wer die Netzwerkkommunikation initiiert hat.
• Kontinuierliche Verbesserung: Im laufenden Betrieb werden kontinuierlich neue Datenquellen und Technologien integriert, um die Abwehrmechanismen zu optimieren. Dies kann die Einbindung zusätzlicher Firewalls oder anderer Sicherheitslösungen beinhalten, abhängig von der Agentenpopulation und den spezifischen Anforderungen des Unternehmens.

Durch diesen strukturierten Ansatz in der Cyberabwehr-Journey kann ein Unternehmen sicherstellen, dass es über die notwendigen Technologien und Prozesse verfügt, um Angriffe effektiv zu erkennen, zu verhindern und darauf zu reagieren.

Für den Aufbau eines hocheffizienten SOC beraten wir Sie nach «ISO 27001:2022»

Die Cyberabwehr-Journey verdeutlicht: Eine durchdachte und strukturierte Sicherheitsstrategie mit wirkungsvollen Lösungen ist für den Schutz vor zunehmend komplexeren Cyberbedrohungen unverzichtbar. Doch auch die raffinierteste Technologie entfaltet ihre volle Wirkung nur mit der richtigen Expertise.

Unsere «ISO 27001:2022»-zertifizierten Sicherheitsexpert*innen unterstützen Sie, nicht nur bei der Wahl des passenden XDR-Stacks, sondern entwickeln mit Ihnen eine ganzheitliche Sicherheitsarchitektur, die Ihr Security Operation Center (SOC) in den Bereichen Detection, Response und Recovery optimal stärkt.

Gemeinsam stellen wir sicher, dass Ihre Cyberabwehr nicht nur heute, sondern auch in Zukunft den höchsten Ansprüchen gerecht wird.

Vertiefen Sie Ihren Einblick in die Vorteile von XDR-Systemen

Unsere zweiteilige Blogserie «XDR – das Zauberwort für eine effiziente Cyberabwehr» eröffnet Ihnen eine vollständige 360°-Perspektive:

• Teil 1: Vom magischen Schild am Initial Access Point zur Optimierung der Detection und Response
• Teil 2: Von der Sicherheitsarchitektur mit XDR-Stack zur effektiven Cyberabwehr-Journey
• Cyber Defence mit Cortex XDR – in einem eigenen SOC oder als Managed SOC-Service
  
  

Wir wünschen Ihnen eine inspirierende Lektüre.

Ausserdem zum Streamen: Denn wie mittels XDR Cyberbedrohungen effizient abgewehrt werden, diskutierten Ernesto Hartmann, Chief Cyber Defence Officer, und Sandro Bachmann, Senior Incident Responder, anlässlich eines InfoGuard Security Webcasts. 

Die Aufzeichnung dieser Webcast-Ausgabe steht Ihnen als YouTube-Video zur Verfügung. Reinhören lohnt sich!

Bildlegende: mit Midjourney generiertes Bild