Stoppen Sie Gegner schneller – mit Advanced Detection and Response von live casino online.
XDR erm?glicht die Erkennung, Untersuchung und Reaktion durch Verwendung einer umfangreichen Reihe von Datenquellen auf mehreren Sicherheitsebenen. XDR bricht Sicherheitssilos auf, um die komplette Historie eines Angriffs in einer einzigen Ansicht zu identifizieren und aufzudecken.
Bei der Bedrohungserkennung muss der Analyst des Security Operations Centers (SOC) die Zusammenh?nge zwischen der anf?nglichen Infiltrierung und lateralen Bewegungen bis hin zur Exfiltrierung nachvollziehen. Durch diesen Prozess lassen sich die Auswirkungen und die erforderlichen Reaktionsma?nahmen schneller verstehen.
Je mehr Datenquellen und Sicherheitsvektoren Sie in einer einzelnen, integrierten XDR-Plattform konsolidieren, desto besser k?nnen Sie diese korrelieren und desto umfangreicher verlaufen die Untersuchung und die Reaktion.
Analysten setzen heute zum Beispiel ein EDR-Tool (Endpoint Detection and Response) ein, um verd?chtige Aktivit?ten auf gemanagten Endpunkten transparent zu machen. Für Netzsicherheitswarnungen und Analysen des Datenverkehrs haben sie eine eigene, isolierte Ansicht. Bei Cloud-Workloads wiederum sind die Erkenntnisse des Analysten wahrscheinlich eingeschr?nkt, wenn es darum geht, verd?chtige Aktivit?ten zu identifizieren.
Alle Bereiche der Umgebung generieren irrelevante Warnungen, die wahrscheinlich an ein SIEM (Security Information and Event Management) gesendet werden. Der Analyst kann die Warnungen anzeigen. Ihm fehlt jedoch ein ausführlicher Datensatz mit allen Aktivit?ten zwischen den Warnungen. Ohne zus?tzliche Korrelation entgehen dem Analysten wichtige Angriffsdetails. Er sieht nur Angriffswarnungen ohne Kontext oder eine M?glichkeit, verwandte Ereignisse miteinander zu verbinden.?
XDR kombiniert die Ebenen. So k?nnen Sicherheitsanalysten das gro?e Ganze sehen und schnell erfahren, was im Unternehmen vor sich geht. Auf diese Weise l?sst sich unter anderem nachvollziehen, wie der Anwender infiziert wurde, was die erste Eintrittsstelle war und was oder wer sonst noch am selben Angriff beteiligt ist.
Eine effiziente Aufzeichnung der Endpunktaktivit?ten ist notwendig, um zu analysieren, wie eine Bedrohung m?glicherweise eingegangen ist, sich ver?ndert und über verschiedene Endpunkte verbreitet hat. Mit XDR k?nnen Sie nach Indikatoren für Gef?hrdung (Indicators of Compromise, IoC) suchen und Bedrohungen auf der Basis von Indicators of Attack?(IoAs) verfolgen.
Erkennung: Suchen und Identifizieren verd?chtiger und gef?hrlicher Endpunktereignisse
Untersuchung: Was ist auf dem Endpunkt passiert? Woher stammte das Ereignis? Wie breitete es sich auf anderen Endpunkten aus?
Reaktion: Isolierung des Ereignisses, Stoppen der Prozesse, L?schung/Wiederherstellung von Dateien
Viele Organisationen k?nnten mithilfe von EDR-Tools bei ihren Endpunkten ansetzen. EDR ist ein guter erster Schritt, der aber dazu führen kann, dass Anfang bzw. Ende eines Angriffs übersehen werden. Was ist passiert, bevor der Angriff den Endpunkt erreichte? Wurde er über eine E-Mail eingeschleust und haben andere Anwender die gleiche E-Mail erhalten? Was ist passiert, nachdem der Angriff den Endpunkt erreicht hat? Gab es eine laterale Bewegung zu einem Server oder Container? Hat er sich auf ein nicht gemanagtes Ger?t ausgebreitet?
94?% der Verst??e beginnen mit einer E-Mail.[1]? Deshalb ist die F?higkeit, gef?hrdete Konten zu identifizieren und b?sartige E-Mail-Bedrohungen zu entdecken, essenziell für die allgemeine F?higkeit einer Organisation, Bedrohungen zu erkennen.
Erkennung: Suchen und Identifizieren von E-Mail-Bedrohungen, kompromittierten Konten, heftig angegriffenen Anwendern und Mustern von E-Mail-Angriffen
Untersuchung: Auf wen geht die Infiltrierung zurück? Wer sonst hat die b?sartige E-Mail empfangen?
Reaktion:? E-Mail-Quarant?ne, Blockieren von E-Mail-Absendern, Zurücksetzen von Konten
Da E-Mails der prim?re Angriffsvektor sind, sollten sie bei der Erweiterung auf eine ebenenübergreifende Erkennung und Reaktion (Detection and Response) Priorit?t haben. E-Mail-Bedrohungen wirken sich h?ufig erst dann auf Endpunkte aus, wenn ein Anwender auf einen Anhang oder einen Link in der E-Mail klickt. In vielen Posteingangsf?chern k?nnten sich bisher nicht ausgel?ste Bedrohungen befinden. Wenn einer Bedrohung auf einem Endpunkt eine ausl?sende E-Mail zugeordnet werden kann, k?nnen Sie Posteingangsf?cher automatisch nach dieser E-Mail durchsuchen. So erfahren Sie, in wessen Posteingangsfach sich die E-Mail mit dem b?sartigen Anhang oder der URL sonst noch befindet. Anschlie?end k?nnen Sie die E-Mails in Quarant?ne verschieben und die Bedrohung entfernen, um deren zus?tzliche Verbreitung und weitere Sch?den zu verhindern.
Netzwerkanalysen eignen sich hervorragend dazu, zielgerichtete Angriffe zu entdecken, wenn diese sich lateral verbreiten oder mit Command-and-Control(C&C)-Servern kommunizieren. Netzwerkanalysen k?nnen helfen, Ereignisse aus irrelevanten Elementen zu filtern und blinde Stellen zu reduzieren, etwa IoT- und nicht gemanagte Ger?te.
Erkennung: Suchen und Identifizieren von anormalem Verhalten bei der Ausbreitung von Bedrohungen
Untersuchung: Wie kommuniziert eine Bedrohung? Wie bewegt sie sich durch die Organisation??
Reaktion: Skizzieren des Angriffsumfangs
Netzwerkprotokolle bilden eine umfassende Quelle von Daten, die dazu dienen, den Umfang eines Angriffs zu ermitteln. K?nnen Sie diese Protokolle jedoch nicht mit anderen Sicherheitswarnungen korrelieren, wird es schwer, Zusammenh?nge und Relevanz zu bewerten. Daher bilden Netzwerk und Endpunkt eine leistungsstarke Kombination. Indem Sie die Daten korrelieren, kann aus einem Ereignis, das auf der Endpunktebene harmlos erscheint (etwa einer verd?chtigen PowerShell-Aktivit?t), eine Warnung mit hoher Priorit?t werden, wenn es im Kontext der C&C-Kommunikation mit einem Server auftritt.
?hnlich wie bei Endpunkten müssen auch hier Aktivit?ten effizient aufgezeichnet werden, um den Eingang einer Bedrohung und ihre Verbreitung über verschiedene Server und Cloud-Workloads zu analysieren. Sie k?nnen nach IoCs suchen und anhand von IoAs verfolgen.
Erkennung: Suchen und Identifizieren von speziell auf Server, Cloud-Workloads und Container abzielenden Bedrohungen
Untersuchung: Was ist mit dem Workload passiert? Wie wurde sie verbreitet??
Reaktion: Isolieren des Servers, Stoppen von Prozessen
Organisationen k?nnen EDR-Tools für Server und Cloud-Workloads einsetzen. Dies wirkt sich jedoch negativ auf die Effektivit?t aus. EDR allein kann weder neuen Cloud-Modellen gerecht werden noch die erforderliche Art von Daten und Transparenz bereitstellen. Wie bei jedem Vektor kann die Korrelation von Informationen aus Serverumgebungen verd?chtige Aktivit?ten als b?sartig einstufen, indem sie diese mit Aktivit?tsdaten aus anderen Ebenen verknüpft, sei es Endpunkt und/oder Netzwerk. Ein Beispiel dafür w?re ein Server, der mit einer IP-Adresse in einem Land kommuniziert, mit dem bisher keine Kommunikation stattgefunden hat.
Native XDR ist in. Open XDR ist out.
Nutzen Sie XDR, um Bedrohungen von einer zentralen Sicherheitsplattform aus aufzuspüren, zu erkennen, zu untersuchen und zu beheben.
Weiterführende Artikel
XDR Security: More Security. More Savings (XDR-Sicherheit: mehr Sicherheit, mehr Einsparungen)
How XDR Can Enable Your Enterprise (So kann XDR Ihr Unternehmen unterstützen)