Detection & Response: auf dem Endpoint oder im Netzwerk?

Das Thema Detection & Response nimmt langsam so richtig an Fahrt auf. Die Einsicht, dass reine Prevention nicht mehr ausreicht, ist mittlerweile auch bei kleineren Unternehmen angekommen. Das schnelle Erkennen eines Angreifers im Netzwerk ist der zentrale Punkt um grösseren Schaden abzuwenden. Auch nicht-staatliche Hacker-Gruppen sind heute in der Lage, ein Netzwerk nach dem initialen Breach innert weniger Stunden oder sogar Minuten komplett zu kompromittieren. Ab diesem Zeitpunkt ist ein grosser Schaden nur noch schwierig abzuwenden. Und dies auch nur, wenn man den Angriff überhaupt detektiert. Bei den Lösungen wird hauptsächlich zwischen EDR  (Endpoint Detection & Response) und NDR (Network Detection & Response) unterschieden. In der letzten Zeit werde ich oftmals von Kunden gefragt, für welche Lösung sie sich entscheiden sollen. Wie so oft gibt es dafür keine einfache und grundlegende Antwort. Deswegen möchte ich das Thema hier etwas beleuchten.

Bei EDR geht es um den Endpoint. Sprich, man installiert einen Agenten auf seinen Clients und Servern (Windows / Mac / Linux). Der Agent überwacht sämtliche relevante Vorgänge auf dem System. Dazu gehören zum Beispiel Prozesse, Services, Zugriffe auf das Filesystem oder die Registry, Netzwerkaktivitäten oder Benutzerinteraktionen. Diese Vorgänge werden protokolliert und anschliessend an das zentrale Management zurückgesendet. Dort werden die Daten korreliert und den Administratoren zur Verfügung gestellt. Zudem verarbeiten automatisierte Algorithmen, oftmals mit Machine Learning Technologien, die Daten und detektieren allfällige Anomalien. So viel Mal zur groben Funktionsweite – wenn ihr im Detail wissen wollt, wie Endpoint Detection funktioniert, empfehle ich euch den Blog-Post von Jamosh: www.tec-bite.ch/endpoint-detection-and-response-wer-richtig-sucht-der-findet/

Sobald ein Angriff erfolgreich detektiert wurde, kann ein Administrator mit der «Response» beginnen. Oftmals wird als Erstes der Endpoint in Quarantäne versetzt, das heisst der Agent blockiert sämtliche Netzwerk-Verbindungen, ausser zum zentralen Management. Man gewinnt damit Zeit um eine detaillierte Analyse durchführen zu können. Viele EDR-Lösungen bieten zudem eine Art Shell, mit welcher direkt auf den Client zugegriffen werden kann. Damit lässt sich zum Beispiel ein Memory-Dump oder andere wichtige Artefakte erstellen, welche für die forensische Analyse des Vorfalls sehr wichtig sind. Ein Teil der Response kann natürlich auch automatisiert durchgeführt werden.

NDR findet im Netzwerk statt. Die meisten Lösungen prüfen den kompletten oder einen grossen Teil des Netzwerk-Verkehrs. Dies wird in der Regel über SPAN- oder TAP-Ports im Netzwerk umgesetzt. Dies hat den Vorteil, dass die Lösungen nicht direkt im Netzwerk-Pfad sitzen. Für einen Angreifer ist eine NDR-Lösung damit so gut wie nicht zu erkennen. Ein Ausfall der Komponenten hat zudem keinen Einfluss auf das restliche Netzwerk. Da das Scannen des kompletten Verkehrs viel zu aufwändig ist, werden in der Regel nur die Metadaten (ca. 0.5% des gesamten Verkehrs) untersucht. Für die Skalierbarkeit werden in der Regel mehrere Sensoren platziert, welche anschliessend nur die Metadaten an die zentrale Instanz weiterleiten. Die Daten werden dort mit Machine Learning Algorithmen untersucht und korreliert. Auch Threat-Intelligence Daten fliessen in die Analyse ein. Allfällige Detections werden den Administratoren aufbereitet zur Verfügung gestellt. Auch der Zugriff auf die Rohdaten (PCAP) ist bei Detections möglich um weitere Untersuchungen durchzuführen.

Da die NDR-Plattformen in der Regel nur passiv im Netzwerk sind, werden für Response-Tätigkeiten Integrationen in Dritt-Systeme vorausgesetzt. Beispiele dafür sind etwa NAC-Lösungen oder Endpoint-Lösungen für Host-Quarantänen, Active-Directory Integrationen für das Sperren von Accounts oder Firewall-Lösungen für das Sperren von Netzwerk-Verbindungen. Natürlich lassen sich diese Tätigkeiten anhand von definierten Schwellenwerten auch automatisiert durchführen.