Sicherheitsverantwortlichen, die proaktiv die Identitäten in ihrem Unternehmen schützen sollen, steht eine breite Palette an Sicherheitstools zur Verfügung. Die Auswahl ist sogar so groß, dass der Eindruck entsteht, aller paar Monate würde eine neue Tool-Kategorie auf den Markt kommen, die dringend erforderlich ist, um den Erhalt des Status quo aufrecht zu erhalten.
Für die meisten Sicherheitsteams wird die Angriffsabwehr immer schwieriger, da Angreifer mithilfe von Identitätsschwachstellen Berechtigungen eskalieren und sich lateral in der IT-Umgebung des Unternehmens bewegen. Deshalb setzen einige der neuesten Sicherheitstools in der Mitte der Angriffskette an. Laut Marketing-Aussagen auf diesen Bereich spezialisiert sind unter anderem auch Tools zur Erkennung und Reaktion bei Endpunkten (EDR, Endpoint Detection and Response) sowie Tools zur erweiterten Erkennung und Reaktion (XDR, eXtended Detection and Response). Allerdings sind sie aufgrund ihrer grundsätzlichen Architektur und der Kernfunktionen nicht in der Lage, diese Aufgabe wirklich gut zu erfüllen. Deshalb muss eine neue Tool-Kategorie – Tools zur Erkennung und Abwehr identitätsbezogener Bedrohungen (ITDR, Identity Threat Detection and Response) – die Lücken schließen.
In diesem Blog-Beitrag gehen wir genauer auf die Unterschiede zwischen EDR, XDR und ITDR ein, damit Sie verstehen, wie diese Tools einander ergänzen und stärken. Sie alle haben Stärken und Schwächen – und bieten zusammen eingesetzt eine noch bessere Sicherheitsabdeckung. Zuerst werfen wir jedoch einen Blick zurück auf die Entwicklung der Cybersicherheit seit den 1980er Jahren, um besser zu verstehen, warum ITDR in der heutigen Bedrohungslandschaft eine unverzichtbare Schutzmaßnahme ist.
Der Aufstieg von Virenschutz-Software und Firewalls
Wir beginnen unseren Rückblick in den 1980er Jahren, da in dieser Zeit Computernetzwerke und Personal Computer aufkamen und sich durchsetzten. Gleichzeitig sahen wir in diesem Jahrzehnt auch eine rasante Zunahme neuer Bedrohungen, die beide Trends ausnutzten.
Natürlich gab es auch vorher schon Computerbedrohungen, z. B. das sich selbst replizierende Programm „Creeper“ von 1971 oder den Trojaner „ANIMAL“ aus dem Jahr 1975. Die Entwicklungsgeschwindigkeit nahm in den 1980er Jahren aufgrund der Verbreitung von Personal Computern und Computernetzwerken erheblich zu. Dabei versuchten Bedrohungsakteure sowie andere Übeltäter davon zu profitieren oder in Geräte und Systeme einzubrechen – oder sie einfach zu zerstören.
Im Jahr 1987 entwickelte der deutsche Computersicherheitsexperte Bernd Robert Fix ein Softwareprogramm, das den Virus Vienna stoppen sollte. Diese Schadsoftware zerstörte auf dem infizierten Computer zufällig ausgewählte Dateien. Das Sicherheitsprogramm funktionierte – und die Virenschutzindustrie war geboren. Doch obwohl die frühen Virenschutztools durchaus nützlich waren, konnten sie in infizierten Systemen nur bekannte Viren erkennen und entfernen.
Eine weitere sicherheitstechnische Neuentwicklung in diesem Jahrzehnt war die Einführung von Firewalls zur Kontrolle und Überwachung des Netzwerkverkehrs. Die ersten Firewall-Modelle untersuchten Datenpakete auf Netzwerkebene anhand einfacher Informationen wie der Quelle, dem Ziel und dem Verbindungstyp. Zulässige Datenpakete wurden an das jeweilige System weitergeleitet, alle anderen wurden gelöscht.
Der Internet-Boom – und die Eskalation der Cyberkriminalität
Die späten 1990er und frühen 2000er Jahre waren geprägt durch das rasante Wachstum des Internets als zentraler Geschäftsplattform, die zu umwälzenden Veränderungen führte und zahlreiche neue Möglichkeiten brachte – sowie neue Sicherheitsrisiken und Gefahren.
In dieser Zeit wurde Cyberkriminalität zu einer umfassenderen, strukturierten und weltweit aktiven Industrie, bei der Bedrohungsakteure stark auf die Entwicklung von Malware und anderen Bedrohungen setzten. Für die Verteilung ihrer Malware sowie für die Einbindung ahnungsloser Anwender in ihre kriminellen Kampagnen setzten die Akteure bevorzugt auf E-Mails mit schädlichen Anhängen sowie clevere Social-Engineering-Strategien.
Aufgrund der wachsenden Komplexität von Cyberbedrohungen mussten die Sicherheitsanbieter ihre Tools mit folgenden Funktionen ergänzen:
- Signaturbasierte Erkennung zur Identifizierung bekannter Malware
- Heuristische Analysen zur Erkennung gut getarnter Bedrohungen anhand von verdächtigen Verhaltensmustern
Diese Methoden waren jeweils zu einem gewissen Grad wirkungsvoll, konnten jedoch nicht mit dem Entwicklungstempo der Cyberkriminellen Schritt halten und generierten häufig False Positives und False Negatives.
SIEM betritt die Bühne
Um das Jahr 2005 herum kamen SIEM-Tools (Sicherheitsinformations- und Ereignis-Management) auf den Markt, die Sicherheitsteams bei der Erkennung und Behebung von Sicherheitszwischenfällen unterstützen sollten. Ein SIEM-Tool ist eine Kombination aus Sicherheitsereignis-Management (SEM, Security Event Management) und Sicherheitsinformations-Management (SIM, Security Information Management). Das Tool kann Protokolldaten von verschiedenen Quellen in einem Netzwerk aggregieren und analysieren, um potenzielle Sicherheitsvorfälle zu identifizieren.
SIEM-Tools können für das digitale Ökosystem eines Unternehmens eine wichtige Schutzebene darstellen und bieten Echtzeittransparenz, Erkennung sowie Abwehr hochentwickelter Bedrohungen, Compliance-Management und mehr. Sie haben jedoch auch Grenzen, insbesondere bei der Bewältigung der riesigen Mengen aktueller Cyberbedrohungen und ihrer Komplexität.
Das bringt uns zu den oben erwähnten Cybersicherheitsansätzen EDR und XDR, die umfassendere Erkennungs- und Reaktionsmöglichkeiten als bei SIEM-Systemen und anderen Methoden bieten.
Was ist EDR?
Der Begriff „Endpoint Detection and Response“ (EDR) geht zurück auf den früheren Gartner-Analysten Anton Chuvakin, der damit 2013 Tools zum Erkennen und Untersuchen von Aktivitäten auf individuellen Endpunkten wie Desktop-Computern und Servern bezeichnete.
Die Hauptaufgabe der EDR-Technologie ist die Bereitstellung eines Echtzeitüberblicks über sicherheitsrelevante Aktivitäten auf Endpunkten sowie die kontinuierliche Überwachung auf potenzielle Bedrohungen. EDR-Systeme analysieren von verschiedenen Quellen erfasste Daten und suchen nach verdächtigen Verhaltensmustern oder Kompromittierungsindikatoren. Sobald diese Systeme erkennen, dass etwas nicht in Ordnung ist, können sie schnelle Reaktionsmaßnahmen einleiten. Beispielsweise können sie betroffene Endpunkte isolieren, noch bevor sich die Angreifer innerhalb des Netzwerks lateral bewegen können.
Die EDR-Technologie stellt Bedrohungsreaktionstools bereit, die Sicherheitsteams folgende Möglichkeiten bieten:
- Überwachung von Endpunktaktivitäten, z. B. die Erfassung von Daten zu Prozessen, Netzwerkverbindungen und Dateiänderungen
- Erkennung von Bedrohungen mithilfe mehrerer Analysetechniken
- Effizientere Untersuchung von Zwischenfällen
- Reaktion auf erkannte Probleme durch Bereitstellung forensischer Informationen und Eindämmung sowie Isolierung betroffener Endpunkte
In den letzten zehn Jahren wurden EDR-Tools stetig weiterentwickelt. Sie schützen Unternehmensnetzwerke vor einem breiten Spektrum an Bedrohungen, haben jedoch auch ihre Grenzen. So können sie Bedrohungen meist nur per Signatur sowie Verhaltenserkennung identifizieren.
Was ist XDR?
XDR steht für „eXtended Detection & Response“ bzw. „Erweiterte Erkennung und Reaktion“. Dieses Konzept ist erst wenige Jahre alt und bezeichnet Tools, die mehrere Sicherheitsdatensätze in einer zentralen Plattform zusammenführen können. XDR-Lösungen integrieren und korrelieren Daten von verschiedenen Sicherheitskomponenten wie Endpunkten, Netzwerken, Cloud-Diensten sowie Anwendungen und ermöglichen dadurch einen erweiterten Überblick über Erkennungen und Reaktionsmaßnahmen in der gesamten Umgebung.
XDR-Lösungen sollen einen umfassenderen und einheitlichen Überblick über Sicherheitsbedrohungen liefern, um die Erkennung, Untersuchung und Abwehr von Bedrohungen zu verbessern. Sie erlauben auch die schnellere Identifizierung komplexer Cyberangriffe, die mehrere Ebenen in einer IT-Umgebung umfassen.
Ebenso wie EDR-Tools haben jedoch auch XDR-Tools Schwierigkeiten damit, mit den äußerst wandlungsfähigen Taktiken und Techniken der Angreifer Schritt zu halten. Allerdings können EDR- und XDR-Lösungen zusammenarbeiten, und es gibt sogar Stimmen, die XDR als Weiterentwicklung von EDR bezeichnen. Wenn Sie EDR und XDR mit ITDR ergänzen, können Sie damit Ihre Sicherheitsmaßnahmen erheblich verbessern.
Was ist ITDR?
ITDR (Identity Threat Detection and Response, Erkennung und Abwehr identitätsbezogener Bedrohungen) ist eine neue Sicherheitskategorie, die ebenfalls von Gartner geprägt wurde und als Ergänzung zu folgenden Sicherheitstools betrachtet werden kann:
- EDR
- XDR
- NDR (Network Detection and Response)
- Verzeichnisse wie Active Directory
- Verwaltung privilegierter Zugriffe (PAM, Privileged Access Management)
ITDR-Lösungen sollen vorhandene Systeme zur Bedrohungserkennung und -abwehr wie EDR und XDR nicht ersetzen, sondern sie ergänzen, denn sie schließen die Lücken dieser Systeme.
Ein ITDR-System scannt Ihre Endpunkte, Clients und Server, Identitäts-Repositorys und PAM-Systeme auf nicht verwaltete, falsch konfigurierte, übermäßig privilegierte sowie anderweitig angreifbare Identitäten, um Ihnen einen umfassenden Überblick über Ihre spezifischen Identitätsrisiken bereitzustellen. Mithilfe dieser Daten können Sie die Angriffswege zu Ihren wichtigsten Assets schließen, damit Bedrohungsakteure keine Möglichkeit mehr haben, Ransomware zu installieren und Daten zu stehlen.
Zudem stellt ITDR eine bewährte Möglichkeit dar, Angreifer auf frischer Tat zu ertappen, wenn sie Berechtigungen erweitern und sich lateral bewegen. ITDR-Systeme platzieren verschiedene Arten von Täuschungsinhalten bzw. „Stolperdrähten“ in Ihrer Umgebung, mit denen nur Bedrohungsakteure interagieren würden. Sobald dieser Fall eintritt, erhalten Sie eine Warnung sowie wichtige Forensikdaten, die eine exakte Lokalisierung und Reaktion ermöglichen.
Der Einsatzbereich von ITDR
In einer Welt, in der Identität der neue Sicherheitsperimenter ist, stellt ITDR eine unverzichtbare Schutzmaßnahme dar. Warum ist Identität der neue Perimeter? Fakt ist: Selbst wenn Netzwerke, Endpunkte sowie alle anderen Geräte und Anwendungen zuverlässig abgesichert sind, benötigt ein Angreifer lediglich Zugriff auf ein einziges privilegiertes Konto, um die IT-Ressourcen eines Unternehmens zu kompromittieren. Angriffe mit Identitätsmissbrauch sind mittlerweile außerordentlich häufig geworden. Laut einer Studie verzeichneten 84 % aller Unternehmen im vergangenen Jahr mindestens eine identitätsbezogene Kompromittierung.
Mithilfe von ITDR sind Ihre Sicherheitsteams in der Lage, identitätsbasierte Angriffe in der Mitte der Angriffskette – in der typischerweise Rechteerweiterungen und laterale Bewegungen stattfinden – zu verhindern sowie zu erkennen.
Die Vorteile von ITDR
Die Kampagnen der Bedrohungsakteure beginnen meist mit Anmeldedaten-Phishing-Angriffen gegen Ihre Mitarbeiter. Sobald sie eine Identität, d. h. ein Konto, kompromittieren konnten, haben sie Zugang zu Ihrer Umgebung und missbrauchen diese Identität für laterale Bewegungen und zum Erreichen ihrer Ziele.
Der größte Vorteil von ITDR ist die Möglichkeit, die Angriffskette in der Mitte unterbrechen zu können. Wie dieser Beitrag beschreibt, können die zuverlässigen Kontrollen einer ITDR-Lösung Angriffe stoppen, noch bevor sie zu schwerwiegenden Zwischenfällen werden können.
ITDR stellt eine Reihe von Sicherheitskontrollen bereit, die in der Mitte der Angriffskette ansetzen. Das bietet folgende Vorteile:
- Schnelle Erkennung, Untersuchung und Abwehr von Kontoübernahmen
- Verhinderung von Rechteerweiterungen
- Identifizierung und Blockierung lateraler Bewegungen
- Verringerung der Angriffsfläche noch vor dem Zugriff von Bedrohungsakteuren
Implementierung eines ITDR-Ansatzes
Wenn Sie bereits starke Maßnahmen zur Identitäts- und Zugriffsverwaltung wie PAM und Multifaktor-Authentifizierung (MFA) implementiert haben, sind Sie gut für die Nutzung von ITDR-Tools aufgestellt.
Bei der Implementierung von ITDR sollten Sie Ihre aktuelle Strategie zur Absicherung von Identitäten berücksichtigen und klären, wie ITDR-Tools Ihre Prozesse verbessern können. Folgende Hinweise sollten Sie im Vorfeld beachten:
- Finden Sie Ihre angreifbaren Identitäten: Suchen Sie potenzielle Identitätsschwachstellen bei nicht verwalteten, falsch konfigurierten und kompromittierten Identitäten.
- Suchen Sie nach Identitätsbedrohungen: Die kontinuierliche Überwachung auf verdächtige Anwenderaktivitäten ist unverzichtbar. Eine Möglichkeit dazu ist die Integration von ITDR-Tools in Ihr aktuelles SIEM-System.
- Erstellen Sie einen Plan: Achten Sie darauf, dass Ihr Plan zur Reaktion auf Zwischenfälle auch identitätsbasierte Bedrohungen berücksichtigt, z. B. wenn Anmeldedaten von Anwendern gestohlen werden.
- Schulen Sie Ihre Anwender: Es ist wichtig, dass Sie Ihre Anwender im Rahmen Ihres Security-Awareness-Programms darin schulen, wie sie identitätsbezogene Bedrohungen wie Anmeldedaten-Phishing erkennen und richtig reagieren.
Wie geht es weiter?
Es genügt nicht mehr, lediglich darauf zu achten, dass nur legitime Anwender auf Ihre Systeme und Daten zugreifen können. Unverzichtbarer Teil zukunftsfähiger Cybersicherheit ist ein proaktiver Sicherheitsansatz zur Abwehr identitätsbasierter Bedrohungen. Hier kann ITDR erhebliche Vorteile bieten. ITDR führt eine neue Tool-Klasse sowie Empfehlungen zum Schutz sowie zur Absicherung von Identitäten ein und bietet Unternehmen dadurch mehr Möglichkeiten, ihre Sicherheitslage wesentlich zu verbessern.
Die Zeit, als der Computerraum abgeschlossen wurde und die Assets in diesem „Perimeter“ als sicher erklärt werden konnten, ist lange vorbei. Da ITDR weitere wichtige Schutzmaßnahmen wie EDR und XDR ergänzt, haben Sicherheitsverantwortliche wieder eine Chance, den Bedrohungsakteuren einen Schritt voraus zu bleiben – und sämtliche Einfallstore zu schließen.
Möchten Sie Ihre Schutzmaßnahmen mit ITDR ergänzen?
Proofpoint bietet eine umfassende ITDR-Lösung an, mit der Sie Identitätsrisiken erkennen und beheben sowie aktive Bedrohungen aufdecken und abwehren können. Mit unserer Lösung können Sie Angriffe früher stoppen, da sie ein breites Netz aus realistischen Fallen in Ihrer Umgebung auslegt, mit denen nur Angreifer interagieren.
Die Proofpoint Identity Threat Defense-Plattform umfasst folgende Lösungen:
- Proofpoint Spotlight, damit Ihr Unternehmen Identitätsschwachstellen aufdecken und beheben kann, noch bevor sie von Angreifern ausgenutzt werden
- Proofpoint Shadow, das mit moderner Täuschungstechnologie die Erkennung und Blockierung von Angreifern ermöglicht, bevor sie ernsthaften Schaden anrichten können
Hier finden Sie weitere Informationen dazu, wie Sie mit Proofpoint Ihre Sicherheit verbessern und wichtige Tools wie EDR und XDR optimal einsetzen können.