XDR – Das Zauberwort der effizienten Abwehr moderner Cyberangriffe [Teil 1]

Die Gilde der Sicherheitsexpert*innen trägt heute mehr denn je eine hohe Verantwortung. Mit der dramatischen Zunahme von Cyberangriffen, mittels Ransomware und Phishing, sind dynamische Sicherheitsstrategien gefordert. Ein entscheidender Schlüssel ist die Fähigkeit, Bedrohungen frühzeitig zu erkennen und unverzüglich zu reagieren. XDR-Technologien bieten eine ganzheitliche Lösung durch die zentrale Sammlung und die KI-gestützte, verhaltensbasierte Analyse von Daten. In diesem Teil erfahren Sie, wie XDR als KI-gestützte Technologie funktioniert, wie sie die häufigsten Angriffsvektoren 24/7 schützt und Ihr Security Operation Center (SOC) von der «Detection» bis zur «Response» aktiv unterstützt – anschaulich durch einen konkreten IR-Fall illustriert.

Cyberangriffe wie Phishing und kompromittierte Benutzerkonten nehmen dramatisch zu, wie das Bundesamt für Cybersicherheit (BACS) erneut betont. Unabhängig von Unternehmensgrösse und Branche sind Security Operation Centers (SOC) gefordert, Sicherheitslücken in der IT-Infrastruktur zu identifizieren, die Systeme umfassend zu schützen und Bedrohungen frühzeitig zu erkennen. Doch damit ist es noch nicht getan. Mit dem rasanten, technologischen Fortschritt wächst auch der Bedarf, schnell und effektiv auf verdächtige Aktivitäten und Sicherheitsvorfälle zu reagieren und eine kompromittierte IT schnellstmöglich zum Normalbetrieb zu führen. Eine enorme Herausforderung an den Menschen – doch mit technologischer Unterstützung keine Zauberei mehr.

Weshalb ist XDR der Schlüssel für eine erfolgreiche Abwehr?

Extended Detection and Response (XDR) bietet eine umfassende Lösung, indem sie Angriffe im digitalen Bestand eines Unternehmens erkennt und Reaktionsmassnahmen koordiniert. Die XDR-Technologie verschafft Sicherheitsexpert*innen somit eine ganzheitliche Sicht auf die Sicherheitslage.

Die essenzielle Komponente von XDR liegt darin, dass die Implementierung dieser KI-gestützten Technologie eine ganzheitlichen Analyse der Endpunkte, des Netzwerkverkehrs wie auch des Benutzerverhaltens erlaubt. Dank der Kombination verschiedener Analysetechniken können XDR-Plattformen Bedrohungen frühzeitig erkennen und automatisierte Reaktionen einleiten, welche potenzielle Angriffe blockieren oder zumindest eindämmen. Denn XDR zollt dem Umstand Rechnung, dass Cyberangreifer vermehrt Automatisierungs- und KI-Technologien einsetzen, weshalb das Abwehr-Tool sinnvollerweise dieselben technischen Methoden nutzt.

Die ganzheitliche und selbstlernende Natur von XDR ermöglicht es Sicherheitsteams, allfällige Bedrohungen über verschiedene Vektoren hinweg zu verstehen und darauf zu reagieren. Diese Fähigkeit entlastet einerseits das Unternehmens-SOC und stärkt gleichzeitig die Effektivität der Cyberabwehr um ein Vielfaches.

MDR & XDR: Zentrale Elemente in der Cyber Defence

So sind wir angesichts der ständig wachsenden und zunehmend komplexeren Bedrohungssituation heute in der Lage, einen vergleichbar hohen Anteil an Vorfällen dank selbstlernender, leistungsstarker Endpunktlösungen wie beispielsweise Managed Detection and Response (MDR) und Extended Detection and Response (XDR), erfolgreich abzuwehren.

Die Zahlen sprechen für sich: Bei einem Anstieg der Vorfälle um 65 Prozent im Jahr 2023 gegenüber dem Vorjahr fanden wir die Kunden in rund 48 Prozent der Fälle in einem zwar kompromittierten, aber unbeschadeten Zustand vor. Einerseits ist dies der besseren IT-Sichtbarkeit zu verdanken und andererseits der technischen Unterstützung durch XDR-Lösungen, welche potenzielle Angriffe wirkungsvoll herunterbremsen.

Abbildung 1: Leistungsfähigere Werkzeuge wehren immer mehr Kompromittierungen erfolgreich ab

Die Top 3 Angriffsvektoren und wie XDR sie effektiv abwehrt

Das Szenario eines Cyberangriffs ist für die Betroffenen wie ein Sturm, der alles ins Chaos zu stürzen droht – dramatisch und erschütternd! Doch selbst in diesem Sturm folgen die Angriffsschritte einem klaren, (fast) standardisiertem Muster: Ein Angriff startet immer mit dem sogenannten Initial Access – der kritische Einstiegspunkt.

Wir untersuchen nachfolgend die drei bedrohlichsten Eintrittspunkte (in Abbildung 2 mit A1 bis A5 gekennzeichnet).

Abbildung 2: Die beliebtesten Entry Points und die Bedrohungslandschaft im Jahresvergleich

1. Zu den Angriffszielen mit erhöhtem Bedrohungsrisiko gehören nach wie vor exponierte Schwachstellen (A1-A2). Im Gegensatz zum Jahr 2021, in dem noch 50 Prozent der Vorfälle über exponierte Schwachstellen erfolgten, verzeichneten wir im Jahr 2023 bereits einen Rückgang auf 24 Prozent. Dieser Erfolg ist auf den zunehmenden Einsatz von Cloud-basierten SaaS-Diensten zurückzuführen, wodurch die Anzahl ungepatchter Systeme in Unternehmen stark abgenommen hat. Die Untersuchung dieser klassischen Schwachstellen lässt folgenden Schluss zu: Angreifer kompromittieren die IT-Infrastruktur und interagieren mit diesen Systemen manchmal über mehrere Monate vor dem eigentlichen Angriff. Hier kann eine XDR-Lösung einen potenziellen Angriff verhindern oder zumindest ungewöhnliche Aktivitäten wie Exploit-Vorgänge rechtzeitig anzeigen.
2. Eine weitere bekannte Angriffsmethode ist das Phishing (A3). Rund 30 Prozent der durch unsere Pentester durchgeführten Phishing-Simulationen wurden von Mitarbeitenden der auftraggebenden Unternehmen geöffnet. Wenig erstaunlich ist demnach, dass Phishing-Angriffe von 22 Prozent im Jahr 2021 auf 27 Prozent im Jahr 2022 angestiegen sind und im Jahr 2023 mit einem Anstieg von bedenklichen 46 Prozent noch getoppt wurde. Als wesentlicher Faktor für den massiven Anstieg bei Phishing ist den der breiten Masse zugänglichen, generativen KI-Tools zuzuschreiben. Diese ermöglichen qualitativ hochwertigere und für Nutzer*innen schwer erkennbare Phishing-Kampagnen zu gestalten. Sind XDR-Lösungen installiert, suchen diese die IT-Systeme proaktiv nach Phishing-Attacken ab und melden verdächtige Aktivitäten automatisiert ans SOC.
3. Eine weitere altbewährte und gefährliche Taktik im Phishing-Katalog ist das unachtsame Öffnen unsicherer Webseiten (A4). Hier werden die Benutzer dazu gedrängt, bösartige Software herunterzuladen und auszuführen. XDR überwacht den Webverkehr und identifiziert ungesicherte URLs. Besteht Verdacht auf eine Bedrohung, isoliert das KI-basierte XDR-System die entsprechende Webseite automatisch, untersucht ihr Verhalten auf eine mögliche Bedrohung und gibt ein Warnsignal an Ihr Sicherheitsteam.
4. Die Lieferkette (A5) stellt eine nicht zu unterschätzende Schwachstelle im Bereich der Cybersicherheit dar. Mit einem C-SCRM-Plan können sich Unternehmen massgeblich vor Cyberrisiken durch unsichere Lieferketten schützen. Dazu sollten sie ihre kritischen Lieferanten regelmässig identifizieren und bewerten, um die damit verbundenen Gefahren zu minimieren und durch eine diversifizierte Lieferantenbasis ihre Widerstandsfähigkeit zu stärken.

Aufgrund der hohen Erfolgsquote von Phishing ist eine Investition in Sensibilisierungsmassnahmen sinnvoll:

• Weitergabe von Passwörtern und/oder Zwei-Faktor-Authentifizierungs-Codes
• E-Mail-Anhänge, die Malware enthalten

XDR bietet ausgezeichnete Möglichkeiten, um Malware-Infektionen auf Endpunkten zu erkennen, zu blockieren und zielgerichtet zu reagieren.

Ein Fallbeispiel aus unserem CSIRT: erfolgreiche Abwehr eines beharrlichen Ransomware-Angreifers mittels Phishing

Untersuchen wir den praktischen Nutzen von XDR anhand eines anschaulichen Beispiels. Ein Unternehmen, welches den XDR-Stack intern verwaltet, wurde von einem Angreifer infiltriert. Infolge einer erfolgreichen Phishing-Kampagne erlangte er Zugang zu einem Benutzerkonto. Das InfoGuard-CSIRT wurde in diesem Fall mit einem Compromise Assessment beauftragt, um rückwirkend den genauen Sachverhalt aufzuarbeiten.

Wir wollen Ihnen den detaillierten Verlauf des Vorfalls nicht vorenthalten:

24. Februar – Erster Versuch einer lokalen Privilege Escalation

Da das Unternehmen keine Multi-Faktor-Authentifizierung implementiert hatte, war es für den Angreifer ein leichtes Spiel, auf die virtuelle Desktop-Infrastruktur (VDI) des Unternehmens zuzugreifen. Am 24. Februar versuchte der Angreifer, einen im Oktober 2021 veröffentlichten Exploit zu nutzen, um seine Privilegien zu erweitern. Die XDR-Technologie blockierte diesen Versuch erfolgreich. Der Angreifer zog sich zurück – vorerst!

Abbildung 3: Exponierte VDI ohne Multi-Faktor-Authentifizierung

4. Mai – Erneuter Angriffsversuch mittels Cobalt Strike

Nach etwa zweieinhalb Monaten kehrte der Angreifer zurück und startete einen Download von Cobalt Strike, einem Angreifer-Framework für Command-and-Control-Aktivitäten. Dieser Versuch scheiterte wiederum an der verhaltensbasierten Detektion durch XDR, welches das Herunterladen von bösartigen Dateien oder Downloads über ungewöhnliche Mittel wie PowerShell oder bitsadmin als verdächtige Aktivität erkannte und blockierte. Trotz weiterer Versuche, die Malware auf das System zu bringen, verhinderte XDR erfolgreich jede weitere Bemühung.

Abbildung 4: Erneute Angriffsversuche via ungewöhnliche Download-Methoden

22. Juni – Der Angreifer gibt nicht auf – und scheitert wiederum an XDR

Am 22. Juni kehrte der Angreifer, vermutlich durch neue Ideen motiviert, zurück. Nach einem Research im Netz scheint er auf einen im Mai publizierten Blogartikel gestossen zu sein, der eine Methode zur Erhöhung von Privilegien beschreibt. Der Angreifer startete die Befehle wie im Artikel beschrieben, ungeachtet dessen, dass die Umgebung des Zielunternehmens nicht der im Artikel erwähnten Infrastruktur entsprach. Die XDR-Technologie blockierte auch diesen Angriffsversuch erfolgreich. 

Abbildung 5: Ein Blogartikel dient als Grundlage für einen weiteren Versuch – ohne Erfolg!

Juli – Exploit, Cobalt Strike und der missglückte Deinstallationsversuch von Cortex XDR

Am 5. Juli versuchte der Angreifer, die Sicherheitssoftware Cortex XDR zu deinstallieren und scheiterte an der Tamper Protection. Am 16. Juli nutzte er einen Exploit, der erst zwei Tage zuvor veröffentlicht worden war. Die XDR-Lösung erkannte und blockierte auch diesen Angriff. Der Angreifer gab immer noch nicht auf und kehrte tags darauf zurück. Erneut versuchte er sich an einem Angriffsversuch mittels Cobalt Strike – wiederum erfolglos!

Abbildung 6: gescheiterter Deinstallationsversuch von Cortex XDR

Abbildung 7: XDR blockiert weitere Angriffsversuche über Exploits und Cobalt Strike

Fazit: Analyse eines (knapp) missglückten Cyber Incidents

Der Angreifer konnte trotz beharrlicher Angriffsversuche keinen Schaden verursachen. Dazu ist zu sagen, dass das Unternehmen Glück hatte: Einerseits verhielt sich der Angreifer verhältnismässig unerfahren. Andererseits lag die Zeitlinie seiner Aktivitäten weit auseinander. Die Erfahrung zeigt, dass Angriffsversuche und erfolgreiches Eindringen heute immer enger beieinanderliegen.

Ohne die XDR-Lösung hätte der Angriff schon im Februar oder März zu einer erfolgreichen Ransomware-Kompromittierung geführt. Nach der Analyse und Rekonstruktion des Angriffs war unsere vordringlichste Empfehlung an das Unternehmen die Implementierung der Multi-Faktor-Authentifizierung, um zukünftige Angriffe zu verhindern. 

Dieser Fall verdeutlicht, wie modernste, verhaltensbasierte Technologien wie die XDR-Lösung potenzielle Angriffe erfolgreich abwehren. Gleichzeitig unterstreicht dieses Beispiel auch die Notwendigkeit klarer Prozesse, etablierter Handlungsanweisungen und Sicherheitsrichtlinien, um auf Alarme angemessen reagieren zu können.

Wie optimieren XDR-Lösungen die «Detection» und «Response»?

Untersuchen wir die grundlegenden Komponenten und Funktionsweisen von XDR-Systemen sowie deren Integration in die unternehmerische Infrastruktur.

Abbildung 8: Überblick über die Möglichkeiten eines XDR-Stacks

Grundlegende Architektur von XDR und ihre Funktionsweise

XDR-Systeme werden von verschiedenen Anbietern wie Microsoft, CrowdStrike und Palo Alto bereitgestellt. Ein zentrales Element dieser Architektur ist die agentenbasierte Datenerfassung.

Agenten erfüllen auf den Betriebssystemen zwei wesentliche Funktionen:

• Prävention durch verhaltensbasierte Ansätze: Die agentenbasierte Technologie bietet eine verhaltensbasierte Prävention. Diese ist entscheidend, weil Angreifer versuchen Malware zu tarnen, indem sie Systemprozesse umbenennen oder sich anderweitig maskieren. Die verhaltensbasierte Prävention identifiziert und blockiert Angriffe, indem sie ungewöhnliche Aktivitäten identifiziert.
• Agentenbasierte Dateneinlieferung: Agenten sorgen für eine verlässliche Einlieferung von Daten an die XDR-Konsole. Die Konsole sammelt alle Daten in einem Data Lake zentral und nutzt diesen für die weitere Analyse.

Integration und Datensammlung

Um einen vollständigen Überblick über die Sicherheitslage zu bekommen, ist es entscheidend, verschiedene Datenquellen zu integrieren:

• Cloud-Lösungen und API-Anbindungen: Die Integration von Cloud-Diensten erfolgt meist über APIs oder durch das Einbinden von Ereignisdaten. Dies erweitert die Datenerfassung über die Endpunkte hinaus.
• Identity Provider: Die Einbindung von Identity Providern, sowohl in der Cloud als auch vor Ort (z.B. Active Directory), ist für die Verwaltung von Identitäten und den Zugriffsschutz essenziell.
• Log-Quellen: XDR-Systeme sollten alle relevanten Log-Quellen einbinden, einschliesslich Firewall- und Mailsysteme sowie Applikationssysteme. Diese Daten werden normalisiert und im Data Lake zentral gespeichert.

Analytische, KI-basierte Fähigkeiten und Handlungsfähigkeit

Die XDR-Konsole bietet umfangreiche analytische Funktionen, die durch die gesammelten Daten verbessert werden:

• Korrelation und Priorisierung: XDR-Systeme korrelieren und gruppieren Alarme, um ein klareres Lagebild zu erstellen. Alarmierung und Priorisierung helfen dabei, die relevanten Vorfälle schnell zu identifizieren und zu bewerten.
• Erweiterte Visibilität: Die Integration aller relevanten Datenquellen und die KI-gestützte Analyse liefern eine umfassende Sicht auf die Angreiferdaten und erlaubt Sicherheitsteams eine gezielte und effektive Reaktion auf Bedrohungen.
• Einleitung von Eindämmungsmassnahmen: Die XDR-Technologie unterstützt bei Handlungsmassnahmen. Allerdings sind dafür oft zusätzliche Prozesse erforderlich, wie beispielsweise das Zurücksetzen von Passwörtern.

Eine nahtlose Einbettung von XDR-Systemen in Ihre Sicherheitsstrategie ist zur effizienten Cyberabwehr von erheblichem Vorteil. Denn so stellen Sie sicher, dass Ihr Security Operation Center (SOC) optimal aufgestellt ist und die höchsten Sicherheitsstandards 24/7 erfüllt.

«ISO 27001:2022»-zertifizierte Beratung für ein SOC auf höchstem Niveau

Für Ihre Organisation liegt der Fokus auf dem Aufbau einer erfolgreichen, zentral steuerbaren Cyberabwehr, die Ihr Security Operation Center (SOC) rund um die Uhr unterstützt? Sie wissen jetzt, dass Sie das Potenzial Ihrer Cyberabwehr mit einem XDR-Stack massiv ausbauen können.  

Bei der Planung und konkreten Umsetzung unterstützen wir Sie gerne. Unsere «ISO 27001:2022»-zertifizierten Sicherheitsexpert*innen beraten Sie bei der Planung und konkreten Umsetzung und helfen Ihnen, das für Ihre IT-Umgebung passendste XDR-Produkt zu ermitteln.

Wollen Sie das Thema XDR vertiefen?

Dann empfehlen wir Ihnen dringend unseren demnächst erscheinenden zweiten Artikel. Sie erfahren, wie diese Technologie alle Phasen der Cyberabwehr optimiert und weshalb eine strukturierte Cyberabwehr-Journey mit einem XDR-Stack Ihr Unternehmen fit für die Zukunft macht. Selbstverständlich erwartet Sie auch im zweiten Teil ein spannendes Fallbeispiel aus der IR-Welt.

Abonnieren Sie unsere Blog-Updates, damit Sie den zweiten Teil dieser Blogserie bequem in Ihrer Mailbox erhalten.

Ausserdem zum Streamen: Denn wie mittels XDR Cyberbedrohungen effizient abgewehrt werden, diskutierten Ernesto Hartmann, Chief Cyber Defence Officer, und Sandro Bachmann, Senior Incident Responder, anlässlich eines InfoGuard Security Webcasts. 

Die Aufzeichnung dieser Webcast-Ausgabe steht Ihnen als YouTube-Video zur Verfügung. Reinhören lohnt sich!

Bildlegende: KI-generiertes Bild