Der Wert von eXpanded Detection and Response

(Di Marco Rottigni)
05/01/22

In Cyber, Was heißt das Erweiterte Erkennung und Reaktion (XDR)? Welche Funktionen hat ein XDR-System? Wie kann es Betroffenen eines Anfalls helfen?

La Cyber es erfordert Ganzheitlichkeit

Eine meiner Überzeugungen zum Thema Cyber ist, dass die Angriffe ausgeführt werden Endpunkt; oder zumindest, dass der Kontaktpunkt zwischen der digitalen Welt und dem Benutzer entscheidend und grundlegend für die Durchführung eines Angriffs ist.

ist in der Tat dasEndpunkt Der Ort, an dem der Benutzer – immer das schwächste Glied in der Verteidigungskette – mit dem Cyberversum interagiert, sich online exponiert, der durch einen Angriffsversuch kompromittiert wird.

In Zeiten digitaler Fernsteuerung und massiver Nutzung der Cloud zeichnet sich die Ausbreitung der Auswirkungen eines Angriffs durch eine beeindruckende Viralität und Durchdringung aus.

All dies stellt die Fähigkeit von Unternehmen auf eine harte Probe, die Auswirkungen sowie die äußerst schädlichen Folgen für Reputation, Finanzen und Geschäftskontinuität rechtzeitig zu erkennen und abzumildern.

Zusätzlich zu den unmittelbareren Beispielen bleibt die Richtigkeit des Gesagten auch in den komplexesten Szenarien erhalten: Ein Benutzer greift mit einer Form der starken Authentifizierung auf eine Entwicklungsumgebung zu und ist für die Konfiguration eines Cloud-Ressourcensystems verantwortlich; während des Prozesses von Terraforming (ein Begriff, der normalerweise zur Definition der Konfigurationsphase verwendet wird) vergisst eine Anweisung, die Liste der IPs zu reduzieren, die auf die konfigurierte Speicherinstanz zugreifen können. Hier entstehen sie – wiederum dank der Interaktion zwischen dem Benutzer und dem Cyber-Vers durch a Endpunkt – die idealen Bedingungen für einen Angriff von Datumsleck in Cloud.

Ein anderes typisches Beispiel wäre eine Architektur von Active Directory falsch konfiguriert, wobei die zur Domäne gehörenden Systeme nicht standardisiert sind und viele von ihnen nicht unterstützt werden. Im Falle eines Angriffs wird es wichtig, die Widerstandsfähigkeit des Ökosystems, dessen Sicherheitslage offensichtlich nicht optimal ist, zu unterstützen, indem Indikatoren für Anomalien mit Informationen aus dem Asset Management korreliert werden.

Es stellen sich daher zwei wichtige Fragen:

  1. Wie können wir diese anomalen Ereignisse so ganzheitlich wie möglich erkennen und alle Punkte miteinander verbinden, um das Verständnis des Kontexts und der Dringlichkeit zu verbessern und so Interventionen zu priorisieren?
  2. Wie kann diese Erkennung so schnell wie möglich durchgeführt werden, um die Reaktion und Behebung zu beschleunigen?

Il Verweilzeit

Allgemeiner gesagt besteht das uralte Problem in der Minimierung der Verweildauer: Dabei handelt es sich um die Zeit, die zwischen der Gefährdung eines Ökosystems und dem Moment vergeht, in dem die Gefährdung erkannt wird.

Laut einem Bericht von Mandiant Im Jahr 2021 ist die durchschnittliche Anzahl der Verweildauer in EMEA im Jahr 2020 von 66 Tagen im Jahr 54 auf 2019 Tage gestiegen. Diese Zahl ist nicht nur ein Zeichen einer durchschnittlichen Verschlechterung, sondern eine Ausweitung der durchschnittlichen Zahl halten wir auch für eine sehr besorgniserregende Situation1, was ich in der folgenden Abbildung wiedergebe – entnommen aus dem Bericht.

Die Daten, die uns zum Nachdenken bringen müssen, betreffen die Verweilzeit im Zusammenhang mit externen Angriffen, d. h. solchen, bei denen die Organisation von außen über die Kompromittierung informiert wird, da sie mit eigenen Mitteln nicht in der Lage ist, die Kompromittierung rechtzeitig zu erkennen.

In 225 Tagen vollendet der Planet Venus einen vollständigen Umlauf um die Sonne! Stellen Sie sich vor, wie viel Schaden ein motivierter Angreifer der Organisation zufügen könnte, die er kompromittieren konnte. Um ein genaueres Bild der Schäden und Kosten zu erhalten, die durch diese Angriffe entstehen, bei denen die Permanenz dem Angreifer jederzeit Zeit bietet, jede Art von Aktion in kompromittierten Ökosystemen durchzuführen, kann auf die verwiesen werden Untersuchungsbericht zu Datenschutzverletzungen von Verizon.

Fix: EDR zu XDR über MDR

Um dieses Problem durch die Verbesserung der erforderlichen Fähigkeiten zu entschärfen, wurden in den letzten Jahren Lösungen entwickelt Endpunkterkennung und Reaktion.

Die konkrete Hilfe eines EDR erfolgt auf zwei Ebenen:

  1. Erkennung und vorbeugende Blockierung eines Kompromittierungsversuchs mit aktiven Aktionen, die denen eines hochentwickelten Antivirenprogramms ähneln.
  2. Identifizierung des Kontexts nach der Kompromittierung, um die Erkennung von Anomalien zu vereinfachen, die der Prävention entgangen sind, und um Reaktionsmaßnahmen zur Schadensminderung zu ermöglichen: zum Beispiel Dateiquarantäne, Beendigung laufender Prozesse, kontrollierte Netzwerkisolation des infizierten Computers.

Diese sehr leistungsstarken und effektiven Tools werden von Unternehmen aufgrund knapper oder inkompetenter interner Ressourcen häufig nicht ausreichend genutzt. Diese Situation hat die Nachfrage und das Entstehen spezifischer Dienste angeregt, die Skaleneffekte bei den Fähigkeiten und Ressourcen ermöglichen, die für den effektiven Betrieb von Erkennungs- und Reaktionssystemen im Auftrag Dritter erforderlich sind.

Diese Dienste heißen Managed Detection and Response oder MDR.

Allerdings wurde eingangs darauf hingewiesen, dass die wachsende Komplexität der digitalen Biodiversität, die jede moderne Organisation charakterisiert, ein Problem der Sichtbarkeit des gesamten IT-Ökosystems mit sich bringe. Schlechte Sicht stellt eine enorme Einschränkung der Erkennungs- und Reaktionsaktivitäten dar, die für eine korrekte Körperhaltung so wichtig sind Internet-Sicherheit.

Dieses ganzheitliche Bedürfnis hat die Entwicklung des EDR-Konzepts hin zu einer erweiterten Erkennung und Reaktion bestimmt, um die gesamte digitale Landschaft einer Organisation abzudecken: daher das Akronym XDR, Erweiterte Erkennung und Reaktion.

Mit einem XDR-System können Sie sich auf das für eine Angriffsstrategie typische anomale Verhalten konzentrieren und dabei die Signale des gesamten Ökosystems berücksichtigen, die ausreichend normalisiert und korreliert sind, damit sie von Menschen genutzt werden können.

Nicht nur deshalb ist die Telemetrie auf dem sichtbarEndpunkt, bestehend aus Dateien, Prozessen und Netzwerkkommunikation, die nach außen empfangen und initiiert wird; sondern Informationen aus der Umgebung über die Interaktion, die dieEndpunkt hatte mit den gleichen und mit ähnlichen Entitäten, dann mit anderen Endpunktoder IoT-Geräte, Router, Firewalls, Proxys, Identitätsmanagementsysteme, Cloud-Ressourcen und vieles mehr.

Diese Logik erklärt, warum XDR von vielen CISOs als Lösung für uralte Probleme angesehen wird, die immer noch die Effektivität und Effizienz des Unternehmens beeinträchtigen Cyber Defensive.

Ein XDR zeichnet sich durch drei wichtige Unterscheidungsmerkmale aus:

- die Fähigkeit, sich bidirektional in umgebende Elemente zu integrieren: d. h. Empfangen von Informationsströmen zu verfolgten Ereignissen, aber auch Senden von Anweisungen zu Reaktionen, die nur von diesen Elementen ausgeführt werden können. Ein Beispiel für ein Proxy-System wäre die Blockierung der Navigation zu einer bestimmten Website als Quelle bösartiger Downloads.

- die Fähigkeit, empfangene und erkannte Telemetriedaten zu analysieren: d. h. die Normalisierung und Korrelation großer Datenmengen praktisch in Echtzeit unter Nutzung von Formen der künstlichen Intelligenz (KI), die es ermöglichen, Signale und vom Angreifer hinterlassene Brotkrümelpfade inmitten riesiger Sandkörnerstrände zu finden ähnlich zwischen ihnen. Dieser Vorgang liegt sicherlich nicht in der Reichweite eines Sicherheitsbetriebsteams und wird aufgrund der erforderlichen hohen Rechen- und Datenspeicherkapazität typischerweise Cloud-Infrastrukturen anvertraut.

Es ist zu beachten, dass künstliche Intelligenz typologisch sein muss AufsichtDas heißt, von einer Vorbildung zu profitieren, die es ermöglicht, das Böswillige vom Anomalen und vom Normalen zu unterscheiden. Um mehr über die verschiedenen Arten von KI zu erfahren, verweise ich auf den interessanten Abschnitt Artikel, den Orazio Danilo Russo veröffentlicht hat letzten Juli.

- Die Fähigkeit, mithilfe von Kommunikationsschnittstellen, die als APIs (Application Programming Interfaces) bezeichnet werden, über die Technologien, in die sie integriert ist, aktiv zu reagieren. Normalerweise erfolgt diese Aktion nach vorcodierten Verfahren, sogenannten Playbooks, die die verschiedenen Abläufe beschreiben, um die Reaktion so weit wie möglich zu beschleunigen und zu automatisieren.

Es versteht sich von selbst, dass die ganzheitliche Leistungsfähigkeit eines XDR-Systems, das gut in Ihr IT-Ökosystem integriert ist, die spezialisierten Ressourcen enorm steigert, sowohl diejenigen innerhalb der Organisation als auch diejenigen, die möglicherweise über einen MDR-Dienst aktiviert werden.

Die Frage am Ende dieses Artikels könnte daher lauten: Wie messe ich die Wirksamkeit eines XDR-Systems?

Die Antwort, die ich vorschlagen möchte, ist in zwei Bereiche gegliedert: qualitative Bewertung und Metriken.

Aus qualitativer Sicht soll XDR drei Bereiche bereichern:

- Sicherheitsanalyse, d. h. der Satz aggregierter, korrelierter und verarbeiteter Daten, die den Prozess der Überwachung des Sicherheitsstatus und der rechtzeitigen Erkennung von Bedrohungen dieses Status unterstützen.

- Proaktive Bedrohungssuche, d. h. die Aktivität, Bedrohungen ausgehend von Anomalien oder weichen Signalen proaktiv zu identifizieren und das große Hintergrundrauschen effektiv auszusortieren. Wie viel einfacher ist es, die Zusammenhänge zu verknüpfen, um – vielleicht unter Verwendung einer eindeutigen Kennung für jeden Vorfall – zu verstehen, was im Nachhinein passiert ist, um die Fortsetzung des Betriebs zu planen?

- Automatisierte Reaktion auf Vorfälle, d. h. die Erhöhung der Reaktionsgeschwindigkeit bei der Reaktion auf Vorfälle zur Schadensbegrenzung oder Abhilfe.

Aus quantitativer Sicht sollte die Einführung einer XDR-Lösung es ermöglichen, mit der Entwicklung der mittleren Zeit bis zur Erkennung eines Angriffs (MTD) zu beginnen Mittlere Erkennungszeit) und durchschnittliche Reaktions-/Behebungszeit (MTR, von Durchschnittliche Reaktions-/Behebungszeit).

Oder verfeinern Sie die bereits aktivierten Messungen im Lichte neuer Fähigkeiten, um die Solidität der Investition zu überprüfen und hybride Modelle besser auszubalancieren, die die Nutzung externer Dienste und kombinierter interner Ressourcen vorsehen.

1 Mandiant M-Trends Report 2021: https://www.mandiant.com/resources/m-trends-2021

Foto: web / Mandiant