Bedrohungsabwehr mit EDR und XDR: Die passende Lösung finden

Verhaltensanalysen mit EDR und XDR

Die Analyse verhaltensbedingter Bedrohungen, auch bekannt als User and Entity Behavior Analysis (UEBA), beruht auf dem Sammeln relevanter Informationen und dem Durchsuchen dieser Informationen nach bekannten problematischen oder anomalen Verhaltensweisen. Bekannte schädliche Verhaltensweisen sind Aufgaben, die ein Unternehmen oder eine Entität nicht ausführen sollte, zum Beispiel ein Büro-PC, der versucht, einen Server im Rechenzentrum zu scannen, oder der PC eines Sachbearbeiters, der versucht, einen Discord-Community-Server zu betreiben.

Anomale Verhaltensweisen sind Aktionen, die nicht kategorisch durch die Richtlinie verboten sind, aber ungewöhnlich und eine weitere Untersuchung wert sind - eine solche Aktion könnte sich als Sicherheitsverstoß herausstellen. Beispiele hierfür sind ein Verwaltungsassistent, der Hunderte von GByte an Kontaktinformationen aus dem CRM herunterlädt, oder ein Benutzerkonto, das sich von Kiruna statt von Flensburg aus anmeldet.

So handhabt EDR die Bedrohungsanalyse

EDR-Tools verwandeln Endgeräte in Teile einer Bedrohungsanalyse-Architektur und nutzen sie, um Daten über den Zustand des Endgeräts und seine Aktivitäten zu sammeln. Ein EDR-Tool kann aufzeichnen, welcher Benutzer auf dem Gerät angemeldet ist, welche Programme zu einem bestimmten Zeitpunkt auf dem Gerät laufen und was diese Programme im Netzwerk oder bei bestimmten Diensten tun.

IT-Teams können EDR über einen eigenständigen Client bereitstellen, oder die EDR-Funktionalität kann in standardmäßige Endpunktschutz-Tools integriert werden, die Malware-Schutz, Firewall-Funktionen, Intrusion Prevention etc. bieten. Durch die Integration mit oder die Verwendung derselben Tools wie das Endpunktschutzlösung (EPP, Endpoint Protection Platform) wird die Reaktionsfähigkeit von EDR erhöht. Es erweitert die Optionen, die dem System zur Verfügung stehen, um auf erkannte Bedrohungen zu reagieren. Die Reaktionen können von einer erweiterten Protokollierung bis hin zum Entfernen eines Benutzers oder dem Herunterfahren eines Geräts reichen.

Die Forschungsstudie Secure Cloud Access and Policy Enforcement 2021-22 von Nemertes hat ergeben, dass Unternehmen, die im Bereich der Cybersicherheit erfolgreicher sind, mit größerer Wahrscheinlichkeit einen kombinierten EPP-EDR-Agenten einsetzen.

Die Bedrohungsanalyse von XDR

XDR-Systeme führen die eigentliche verhaltensbasierte Bedrohungsanalyse durch. Sie wenden Methoden an, die vom einfachen Mustervergleich über maschinelles Lernen bis hin zur Analyse natürlicher Sprache reichen, um Bedrohungen und Risiken zu erkennen. XDR-Systeme arbeiten mit Datenströmen von Serverplattformen, Anwendungen, Cloud-Diensten und physischen oder virtuellen Netzwerkgeräten.

Mit der Hinzufügung von EDR ziehen XDR-Plattformen auch Daten von Endpunkten. XDR ist im Grunde eine Neuauflage von UEBA. Der Teil „erweitert“ kann so interpretiert werden, dass die Analyse auf mehr Datenströme, insbesondere von EDR-Systemen, ausgedehnt wird, deutet aber nicht auf eine Änderung der grundlegenden Funktion oder des Zwecks hin.

EDR, XDR oder beides? Und was ist mit MDR?

Einfach ausgedrückt: EDR ohne XDR ist nützlich und XDR ohne EDR ist hilfreich. Aber in einem idealen Einsatz wird EDR in ein XDR-System eingespeist und von diesem gesteuert.

IT-Security-Teams sind – und zwar seit geraumer Zeit - chronisch unterbesetzt und überlastet. Die Risiken nehmen zu, und die potenziellen geschäftlichen Auswirkungen einer schwerwiegenden Sicherheitsverletzung werden immer größer. Die Ausweitung der Standard-Sicherheitsoperationen auf EDR und XDR wird unweigerlich eine weitere Runde der Überlegung, dies selbst umzusetzen oder als Dienstleistung zu beziehen, auslösen.

Hier kommen die MDR-Dienste (Managed Detection and Response) ins Spiel. MDR kann eine Erweiterung eines bestehenden SOC-Outsourcing-Vertrags (Security Operations Center) sein oder als gezielteres Angebot zusätzlich oder anstelle eines SOC-Dienstes angeboten werden. Im Allgemeinen verfügen kleinere Unternehmen nicht über die Ressourcen, um ein SOC angemessen zu besetzen und zu finanzieren, und sind gut beraten, MDR in jeden SOC-Outsourcing-Vertrag einzubinden, den sie prüfen. Große Unternehmen können die Erkennung und Abwehr von Bedrohungen wahrscheinlich intern verwalten, wenn sie bereits ein eigenes SOC betreiben.

Unternehmen, die ein SOC auslagern, entscheiden sich möglicherweise dafür, diese Art der Bedrohungsabwehr auszulagern, da es sich bei Ereignissen, die über EDR und XDR aufgedeckt werden, wahrscheinlich entweder um eine Bedrohung durch Insider oder um einen Verstoß handelt, der bereits irgendwo im Unternehmen stattgefunden hat. In beiden Fällen kann der SOC-Dienst nur eine begrenzte Anzahl von Maßnahmen ergreifen.

Unternehmen, die EDR einsetzen, sollten nach Produkten suchen, die:

• EPP-Funktionen (Endpoint Protection Platform) enthalten oder eng mit einem EPP-Client zusammenarbeiten;
• standardmäßig mit ihren SIEM- oder XDR-Systemen zusammenarbeiten;
• Agenten für alle relevanten Betriebssysteme bereitstellen;
• eine breite Palette Reaktionsmöglichkeiten bieten.

Organisationen, die sich für XDR interessieren, sollten unter anderem folgende Punkte beachten:

• Umfang der einbezogenen Datenquellen und schlüsselfertige Integration;
• eine Reihe von Reaktionsmöglichkeiten;
• eine umfangreiche Bibliothek von Vorlagen oder Runbooks für Reaktionen; und
• sinnvolle Einbindung von KI-Techniken in die Analyse.

Untersuchungen von Nemertes haben gezeigt, dass Unternehmen, die im Bereich der Cybersicherheit erfolgreicher sind, auch eher EDR in ihre SASE- (Secure Access Service Edge), CASB- (Cloud Access Security Broker) und SWGaaS-Implementierungen (Secure Web Gateway as a Service) integrieren und XDR in ihre Software-defined Perimeter-, CASB- und SWGaaS-Dienste.