Neuer Ansatz der Bedrohungsabwehr
XDR statt Alarmflut
Fortsetzung des Artikels von Teil 1
Unbekannte Bedrohungen
Ein weiterer Aspekt ist der Umgang mit unbekannten Angriffen. Die Erkennung muss sich auf Bedrohungsdaten stützen, die man über ein globales Netzwerk gesammelt hat. Die aus dem ersten neuartigen Angriff gewonnenen Erkenntnisse sind nützlich, um nachfolgende Angriffe dieser Art zu identifizieren. Ebenso gibt es Angriffe, die nicht wie herkömmliche Malware aussehen. Die Akteure kompromittieren beispielsweise autorisierte Systemdateien, nutzen Skriptumgebungen oder greifen die Registry an. Hier muss die Erkennungstechik fortschrittliche Analysetechniken einsetzen, um die gesammelte Telemetrie zu analysieren. Dazu kommt überwachtes und halbüberwachtes maschinelles Lernen zum Einsatz.
Die entscheidende Herausforderung für das XDR-Tool liegt jedoch darin, das Rauschen (Noise) zu reduzieren. Dies bedeutet, automatisch zusammengehörige Warnmeldungen zu gruppieren und die kritischsten Ereignisse effektiv zu priorisieren. Ebenso muss das XDR-Tool eine Zeitachse des Angriffs erstellen und Aktivitätsprotokolle aus dem Netzwerk, dem Endpunkt und der Cloud zusammenzufügen. Die Visualisierung der Aktivität und der Abfolge von Ereignissen erleichtert es Sicherheitsfachkräften, die Ursache eines Angriffs zu ermitteln und den potenziellen Schaden und die Ausbreitung zu erfassen. Eine rationalisierte Nutzerumgebung ermöglicht es, mit einem einzigen Mausklick zu den Daten aus jeder beliebigen Quelle zu gelangen, statt zwischen verschiedenen Tools zu wechseln.
Immer mehr Unternehmen gehen proaktiv „auf die Jagd“ nach aktiven Cyberangreifern und unterstützen ihre Sicherheitsanalysten dabei, Angriffshypothesen zu entwickeln und nach relevanten Aktivitäten innerhalb der Umgebung zu suchen. Die Bedrohungsjagd (Threat Hunting) erfordert leistungsstarke Suchfunktionen, um nach Beweisen für diese Hypothesen zu suchen, sowie eine integrierte Bedrohungsanalyse, um nach Aktivitäten zu suchen, die innerhalb des erweiterten Netzwerks zu beobachten sind. Diese Threat Intelligence (Bedrohungsinformationen) sollte so integriert und automatisiert sein, dass sofort erkenntlich ist, ob man eine Bedrohung bereits beobachtet hat. Somit ist keine langwierige manuelle Analystenarbeit erforderlich, um zum Beispiel in verschiedenen Feeds nach einer bösartigen IP-Adresse zu suchen.
Sobald das SOC-Team die Aktivität eines Angreifers erkannt und untersucht hat, ist der nächste Schritt die möglichst effiziente und effektive Durchführung der Abwehrmaßnahmen. Das System muss in der Lage sein, eine koordinierte Reaktion auf aktive Bedrohungen zu orchestrieren und künftige Angriffe über Netzwerke, Endpunkte und Clouds hinweg zu verhindern. Dazu ist auch die Kommunikation zwischen den Präventionstechnologien erforderlich. Idealerweise aktualisiert ein im Netzwerk blockierter Angriff automatisch die Richtlinien auf den Endpunkten, entweder nativ oder über APIs. Dazu gehört auch die Möglichkeit für einen Analysten, Reaktionsmaßnahmen direkt über die XDR-Schnittstelle zu ergreifen.
Mehr Flexibilität und bessere Skalierbarkeit
Bisherige Erkennungs- und Reaktionstechniken haben sich als zu starr erwiesen. Sie bieten weder die erforderliche Flexibilität noch Skalierbarkeit, um mit den heutigen Gegnern Schritt zu halten. Angesichts des Fachkräftemangels, gerade in der IT-Sicherheit, müssen Unternehmen effizienter arbeiten. Die Suche nach Bedrohungen, deren Erkennung, Untersuchung und die richtige Reaktion darauf bleibt eine Herausforderung, auch für XDR. Die Angreifer zeigen den Verteidigern immer wieder ihre Grenzen auf. XDR bietet jedoch einen neuen Weg, um das Problem der „Alarmmüdigkeit“ anzugehen und die Analyse und Priorisierung zu optimieren. So dürfen Sicherheitsprofis im Kampf zwischen Gut und Böse vorerst wieder etwas aufatmen.
Martin Zeitler ist Director Systems Engineering Central Europe bei Palo Alto Networks, www.paloaltonetworks.com.
- XDR statt Alarmflut
- Unbekannte Bedrohungen
Lesen Sie mehr zum Thema
