Integration CrowdStrike & Zscaler – welche Möglichkeiten gibt es?

CrowdStrike hat verschiedene Technologie-Partnerschaften mit diversen namhaften Herstellern von IT Security Produkten. Mitunter eine der weitreichendsten ist mit Zscaler. In diesem Artikel will ich daher aufzeigen, welche Möglichkeiten sich mit einer Integration von Zscaler bieten.


Option #1 – Posture Check mit CrowdStrike Zero Trust Assessment

Der Posture Check in Kombination mit CrowdStrike Zero Trust Assessment wird anhand eines Overall Assessment Scores gemacht. Dieser besteht aus einem berechneten Wert aus dem OS Assessment Score und dem Sensor Assessment Score. Das OS Assessment bezieht sich dabei auf den Zustand des Hosts und Betriebssystems und dessen konfigurierten Security Settings. Das beinhaltet bei Windows beispielsweise Secure Boot oder Credential Guard, bei macOS z.B. FileVault oder Gatekeeper. Beim Sensor Assessment wird der Status des Reduced Functionality Mode (RFM), sowie der Prevention und Real Time Response Policies überprüt.

Um den Posture Check zu bestehen, müssen im Overall Assessment Score mind. 75 Punkte erreicht werden. Im nachfolgenden Beispiel beträgt dieser Wert im oberen Bild 96 bzw. 87 Punkte. Der Zugriff wird somit erlaubt. Im unteren Bild beträgt der Wert jedoch nur 39 bzw. 38 Punkte, der Zugriff von diesen Hosts würde somit unterbunden.

Integration CrowdStrike & Zscaler – Figure 2.1

Integration CrowdStrike & Zscaler – Figure 2.2

CrowdStrike Admin UI – Zero Trust Assessment

Diese Integration ist für Zscaler Internet Access und Zscaler Private Access verfügbar. Die Installation des Zscaler Client Connectors auf dem Endpoint wird vorausgesetzt.


Option #2 – Posture Check ohne Zero Trust Assessment

Diese Art des Posture Checks wurde implementiert, noch bevor es CrowdStrike’s Zero Trust Assessment gab. Hierbei wird ausschliesslich geprüft ob der CrowdStrike Sensor installiert ist und die entsprechenden Prozesse laufen. Der in Option #1 beschriebene Ansatz ist somit eine Erweiterung. Diese Integration ist nur für Zscaler Private Access verfügbar.


Option #3 – Zscaler Internet Access Sandbox

Diese Art der Integration kombiniert die Zscaler Internet Access Sandbox mit EDR Daten aus CrowdStrike. Der Use Case ist wie folgt: ein Benutzer lädt ein File aus dem Internet herunter. Dieses File wird dann in der Sandbox detoniert und analysiert. Im Falle eines True Positives sieht man im Sandbox Report, auf welchen Rechnern der entsprechende Hashwert des Files ebenfalls vorhanden ist.

Integration CrowdStrike & Zscaler – Figure 3

Zscaler Internet Access Sandbox Report – CrowdStrike Endpoint Hits

Falls erforderlich können die betroffenen Hosts direkt aus dem CrowdStrike Endpoint Hits Report im Zscaler Admin UI mit einem Klick auf den «Contain» Button isoliert werden. Zugegeben, über den effektiven Nutzen dieser Integration lässt sich streiten. Sofern die Sandbox Policy nach Best Practice konfiguriert ist, hätte man maximal einen Download der durchgelassen wird. Parallel dazu wird das File analysiert und bis zu einem Resultat werden subsequente Downloads des gleichen Files verhindert. Natürlich ist es möglich, dass das betroffene maliziöse File auf anderem Wege auf weitere Rechner verteilt wird, z.B. wenn die ungeduldigen User das File nach dem einen erfolgreichen Download mittels USB Stick intern weitergeben. Diese Integration ist nur für Zscaler Internet Access verfügbar und setzt neben der Zscaler Advanced Sandbox auch noch CrowdStrike Insight (EDR) voraus.


Option #4 – Threat Intelligence Sharing

Diejenigen, die CrowdStrike schon kennen, wissen vielleicht, dass die Firma sehr stark ist im Bereich der Threat Intelligence. Als Threat Intel bezeichnet man die gesammelten Daten zu Threat Actors, deren Motive, Ziele aber auch verwendete Tools und Infrastruktur. Siehe www.tec-bite.ch/was-ist-threat-intelligence-und-wie-benutze-ich-diese/

Die Threat Intelligence kann dann in Form von IOC Feeds importiert werden, z.B. bei Firewalls, IPS, oder wie in unserem Beispiel bei Zscaler Internet Access. Die Integration mit Zscaler Internet Access ermöglicht das automatische Befüllen einer URL Kategorie, die man dann wiederum für eine Block Rule nutzen kann. Somit wird der Zugriff auf von CrowdStrike neu entdeckte, maliziöse URLs und IP Adressen automatisiert blockiert. Diese Integration ist nur für Zscaler Internet Access verfügbar und setzt zudem CrowdStrike Threat Intelligence voraus.


Option #5 – Falcon XDR

XDR, Extended Detection & Response, ist die Weiterentwicklung von EDR und bietet umfangreiche Möglichkeiten. Nicht nur können damit Informationen zwischen verschiedenen Systemen geteilt werden, es ermöglicht auch eine zielgerichtete Reponse auf Detections aus unterschiedlichen Quellen.

Im Beispiel von Zscaler wäre es somit möglich, dass man direkt aus dem CrowdStrike Admin UI einen Benutzer in eine definierte Zscaler Internet Access Gruppe mit eingeschränktem Internet Zugang aufnimmt.

Integration CrowdStrike & Zscaler – Figure 4

Der grosse Mehrwert von XDR (Extended Detection & Response) besteht darin, dass man, vor allem bei der Integration von mehreren Log Quellen, eine wirklich breite Abdeckung erhält und auch zielgerichtet reagieren kann. Somit müssen die Analysten bei einem Vorfall nicht mehr in x verschiedenen Konsolen nach Indikatoren suchen, sondern erhalten viele Infos direkt in einem übersichtlichen Dashboard.

Für alle Interessierten gibt es dazu in einem unserer aufgezeichneten Webinare eine spannende Demo: www.youtube.com/watch?v=GDTPe7wKYCg


Fazit

Meiner bescheidenen Meinung nach ist der Nutzen der beschriebenen Integrationsmöglichkeiten nicht überall gleich gross. Gerade hinsichtlich Sandbox hält sich der Vorteil in Grenzen, zumindest wenn die Zscaler Internet Access Policy richtig konfiguriert ist. Ein Posture Check ist jedoch sinnvoll, ganz nach dem Sprichwort «Vertrauen ist gut, Kontrolle ist besser».  Mein Favorit ist jedoch das Threat Intelligence Sharing. Da gibt es einen nicht von der Hand zu weisenden Mehrwert und zudem lassen sich die gleichen Feeds ohne Mehrkosten für verschiedene interne Systeme nutzen.

Der Beitrag Integration CrowdStrike & Zscaler – welche Möglichkeiten gibt es? erschien zuerst auf Tec-Bite.