Blogpost

EDR: Jenseits des Hypes

Vorbei sind die Zeiten, in denen sich CISOs ausschließlich auf traditionelle IDS/IPS-Systeme verlassen konnten. Heutzutage müssen sie sich in komplexen technischen und rechtlichen Umgebungen zurechtfinden, um fortschrittlichere und effektivere Cybersicherheitslösungen auszuwählen.

Florian Thebault
27. September 2022
Teilen Sie
LinkedIn LogoX-Logo

Die Landschaft der Cybersicherheit entwickelt sich rasch weiter und sieht sich steigenden Anforderungen und strengen Auflagen gegenüber. Dieser Wandel wird durch verschiedene Faktoren vorangetrieben, wie z. B. die Verbreitung ausgeklügelter Cyber-Bedrohungen (wie DDoS-Angriffe und Ransomware), Fortschritte bei den Technologiestandards (25/50/100 Gbit/s) und die Notwendigkeit, die sich entwickelnde Gesetzgebung einzuhalten (wie NIS2 und das Cyber Resilience Act).

Dies hat sich auch auf den Markt für Lösungen ausgewirkt. Einst ein Vektor großer Innovationen, hat er sich in Modeerscheinungen und Nachhutgefechten verzettelt und zugelassen, dass Pressemitteilungen und gekaufte Artikel die Realität des rückläufigen technologischen Fortschritts überlagern.

Jedes Jahr sucht das Medien-Ökosystem seinen neuen Champion und im Laufe der Zeit hat sich der Schwerpunkt von IDS auf IPS und von UTM auf SIEM verlagert. In letzter Zeit haben sich die Entwicklungsbemühungen auf den Endpunkt und die Endnutzer konzentriert (UBA - User Behavior Analytics). So sind EDRs und seit kurzem auch XDRs in den Mittelpunkt der kommerziellen Betrachtung gerückt. Wer genauer hinsehen will, wird mit einer Fülle von Vergleichsartikeln konfrontiert, die versuchen, die besten Anbieter auf dem Markt durch ein sehr feines Analyseraster zu trennen, obwohl ihre technologischen Prinzipien identisch sind.

Das gemeinsame Merkmal dieser Produkte, die alle hervorragend sind, ist, dass sie ihre Fähigkeiten zur Erkennung von Bedrohungen und zum Schutz von Endgeräten durch den Einsatz von Software-Agenten erheblich verbessert haben. Dieser maschinenzentrierte Ansatz für die Cybersicherheit bietet jedoch nur einen teilweisen Schutz und weist immer noch große Grauzonen auf. Er funktioniert in jedem Fall nur bei bekannten Bedrohungen auf einem bestimmten Pool von Computern, die einen Agenten unterstützen können.

Agenten als Verfechter von Cybersicherheitslösungen?

Der Grund, warum der Einsatz von Agenten so weit verbreitet ist, liegt darin, dass er dem wachsenden Bedarf an verbesserter Transparenz über alle Endpunkte hinweg entspricht. EDR-Lösungen sind auch gut geeignet, um Ihre IT-Ressourcen zu erkennen und vor einigen der fortschrittlichen Formen von Bedrohungen (Malware, APTs, Phishing-Versuche usw.) zu schützen, die noch nie so verbreitet waren wie seit der Verbreitung von Telearbeit.

Um ihren Auftrag zu erfüllen, fordern die Agenten jedoch ständig privilegierten Zugang zu Ihren Ressourcen und Systemen an. Einige senden zum Beispiel den Inhalt Ihrer E-Mail-Datenbanken unverschlüsselt in eine Cloud, auf die Sie keinen Einfluss haben, andere wenden NLP-Algorithmen (Natural Language Processing) an. Einige scannen regelmäßig den Arbeitsspeicher Ihrer Rechner und Ihr gesamtes Dateisystem, um Bedrohungen zu bekämpfen, die immer raffinierter werden, um den EDR-Erkennungstechniken zu entgehen.

Die sich verändernde Art der Bedrohungen erfordert mehr Ressourcen, um sie abzuwehren. Der Einsatz von Agenten in einem Computerpark ist jedoch ein begehender Akt. In einigen Fällen können Agenten zu privilegierten Zugangspunkten zu allen Ihren Informationssystemen werden (# SolarWinds).

Sobald ein EDR/XDR unterwandert oder ein NIDS umgangen wurde, ist die Möglichkeit, über ein Eindringen in ein Netzwerk und ein mögliches Exfiltrieren von Daten benachrichtigt zu werden, erheblich eingeschränkt. Darüber hinaus funktionieren EDRs zwar gut auf Computern mit herkömmlichen Betriebssystemen (Mac OS, Windows, Linux), ihre Wirksamkeit ist jedoch in exotischeren Umgebungen wie IoT, Industrieanlagen (SCADA) oder BYOD-Umgebungen fraglich.

Warum ist EDR immer noch der große Favorit der CISOs?

Wenn der Einsatz von Agenten weiterhin exponentiell zunimmt, liegt das zum einen daran, dass es einfach ist: eine Maschine - ein Agent, und zum anderen daran, dass die Intensität des Verkaufsgesprächs die Illusion erwecken kann, dass dies ausreicht, um die gesamte IT-Infrastruktur zu schützen.

Erschwerend kommt hinzu, dass die bekannten Anbieter von Netzwerksicherheitslösungen nicht in der Lage sind, technisch leistungsfähige und erschwingliche Lösungen anzubieten, die einen detaillierten Einblick in das Netzwerk ermöglichen.

Lösungen wie NDR (Network Detection and Response) existieren zwar, können aber mit den Veränderungen im Netz nicht Schritt halten. Um ihre Veralterung zu verbergen, verwenden sie meist technische Abkürzungen, die mit einem Zero-Trust-Ansatz unvereinbar sind (z. B. Packet-Slicing, Packet-Sampling, exclusive_over_IP, FPGA usw.), während sie gleichzeitig einen sehr großen physischen Fußabdruck und hohe finanzielle Kosten verursachen.

Der herkömmliche Ansatz der Netzanalyse war nicht in der Lage, mit mehreren wichtigen Entwicklungen Schritt zu halten:

  • Kontinuierliche Erhöhung der Geschwindigkeiten (25Gbit/s, 50Gbit/s und jetzt die breite Einführung von 100Gbit/s);
  • Diversifizierung der Anwendungen (BYOD, IoT usw.);
  • Zunehmende Komplexität der Netze (Verschlüsselung, zunehmende Virtualisierung, GSM über Ethernet, usw.);
  • Hybridisierung: Kern zu Rand, Rand zu Cloud, Rand zu Rand

Auf diese Weise wurden EDRs sowohl technisch als auch kommerziell zu DER Lösung. Mit anderen Worten, die einzige Lösung. Technisch gesehen, weil damit die Schwierigkeiten umgangen werden können, indem die Verantwortung für die Sicherheit auf den Endpunkt, sozusagen auf die Nutzer, verlagert wird. Und kommerziell, weil es einfacher ist, viele Abonnements zu einem niedrigen Stückpreis zu verkaufen, als ein Unternehmen davon zu überzeugen, in eine stückzahlmäßig teurere Ausrüstung zu investieren, mit der es jedoch die erforderliche vollständige Transparenz erzielen kann.

Bei einem Zero-Trust-Ansatz für die Cybersicherheit ist der EDR natürlich immer noch relevant, aber er ist nur ein Baustein in einer größeren Architektur. Er kann daher nicht das A und O der Sicherheitspolitik eines Informationssystems sein. Keine Cybersicherheitslösung kann oder sollte den Anspruch erheben,...

EDR ist ein notwendiges Instrument, aber es ist nicht das ganze Paket...

Ein NDR ja! Aber im Zero-Trust-Modus!

Wie bereits erwähnt, versuchen Netzanalyse- und Sicherheitslösungen bereits, bestimmte Cyber-Herausforderungen zu lösen, die Teil eines Zero-Trust-Ansatzes sein könnten, der den Rahmen dafür setzt, dass man nichts von vornherein vertraut: Alles wird überprüft, von der Infrastruktur bis zur Nutzung, zu jeder Zeit, nicht nur die Zugangsrechte.

Dennoch werden alle Netzsicherheitslösungen im Allgemeinen durch Hardware- und Softwarekürzungen untergraben, die es erforderlich machen, dass sie sich vollständig auf Elemente verlassen, die sie nicht kontrollieren (z. B. indem sie sich damit begnügen, nur bestimmte Protokolle über IP sichtbar zu machen) oder statistische "Tricks" anzuwenden, um ihre Ineffizienz zu kompensieren (Stichproben, Slicing usw.).

Die Fata Morgana der Statistik ist ein eindrucksvolles Beispiel. Einige der auf dem Markt befindlichen Lösungen verwenden Verfahren des maschinellen Lernens (M/L) zur Erkennung. Das Problem ist, dass es ungenau und riskant ist, sich auf statistische Werte zu stützen, die ihrerseits aus unkontrollierten Stichproben abgeleitet sind, ganz zu schweigen von den hohen Falsch-Positiv-Raten, die SOC-Teams zu tragen haben. In jedem Fall ist es nicht möglich, einen Rahmen einzuhalten, der von Zero Trust inspiriert ist (das seinerseits zunehmend für Marketingzwecke missbraucht wird).

Der Einsatz des maschinellen Lernens zur Verstärkung der fortgeschrittenen Erkennungs- und Warnfunktionen und zur Warnung des Benutzers vor komplexen Anomalien im Zusammenhang mit dem Missbrauch von Anwendungen und Prozessen ist konzeptionell zufriedenstellend, aber nur, wenn seine Grenzen bekannt sind. Auf der Grundlage fragmentierter Daten kann sie nicht den Anspruch erheben, erschöpfend zu sein und die Netze vollständig zu beobachten. Das Gleiche gilt, wenn man sich auf die Netzwerkanalyse über IP-Flows oder sogar nur über TCP beschränkt!

Wenn die Beobachtbarkeit nicht vollständig ist, ist es so, als würde man einen Eisberg analysieren, indem man sich mit dem auftauchenden Teil zufrieden gibt: der untergetauchte Teil bleibt im Schatten. Indem wir diese Fähigkeit aufgeben, lassen wir zu, dass blinde Flecken in den Netzen bestehen bleiben, die sich mit der Verallgemeinerung von Virtualisierung, Schatten-IT, BYOD usw. ständig vermehren.

Hinzu kommt, dass selbst sehr leistungsfähige NDRs (wie Extrahop oder VectraAi) aufgrund der Verpflichtung zur Verwendung spezifischer Hardware per Definition nicht sehr skalierbar sind und in einen sehr restriktiven Nutzungsrahmen eingebunden sind.

Leider verursacht die Software-Version ihres Anwendungspakets aufgrund ihrer schlechten Leistung (Verhältnis von benötigten Ressourcen zu verarbeiteten Datenströmen) eine Explosion der Hosting-Kosten. Durch diese sehr begrenzte Leistung entfernen sie sich immer weiter von dem Zero Trust, den sie für sich in Anspruch nehmen.

Was sollte ein CISO tun, um seinen Schutz zu verbessern und seine Angriffsfläche zu reduzieren und zu kontrollieren?

Natürlich müssen Sie Ihre EDR-Suite um einen NDR ergänzen. Aber ein NDR, der in der Lage ist, eine Zero-Trust-Verkehrsanalyse (Z2TA) durchzuführen, d. h. eine vollständige Analyse jedes Pakets auf allen Ebenen, und der in der Lage ist, alle erforderlichen Metadaten zu extrahieren (was auf Stichproben basierende Technologien ausschließt).

Z2TA zwingt uns, bei Null anzufangen, um auf alle zuvor beschriebenen Probleme zu reagieren, und ermöglicht es uns, CISOs eine kompromisslose Sichtbarkeit ihrer Netzwerke zu bieten, d. h. ohne konzeptionelle Verzerrungen. Z2TA ist die Lösung der Zukunft, die es ermöglicht, eine Reihe von Bedrohungen zu bekämpfen, die EDRs nicht sehen können und für die sie manchmal der Vektor sind.

Die Zero-Trust-Verkehrsanalyse ist ein unverzichtbares Werkzeug im Werkzeugkasten des CISO, um die höchsten Anforderungen an die Cybersicherheit zu erfüllen.

Florian Thebault
27. September 2022
Teilen Sie
LinkedIn LogoX-Logo

Sind Sie bereit, die vollständige Netzwerktransparenz von
freizuschalten?

Sprechen Sie mit unsBuchen Sie eine Demo ->

Weitere Blogbeiträge

Zum Blog gehen

FPGA neu denken: Herausforderungen bei der Zero-Trust-Netzpaketanalyse

November 10, 2022
Lesen Sie mehr ->

Cybersicherheit, Bandbreite bedeutet nicht das, was Sie denken...

1. März 2024
Lesen Sie mehr ->

Olympische Spiele 2024: Cybersicherheit steht im Mittelpunkt

5. Mai 2023
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Ups! Etwas ist schief gelaufen, bitte versuchen Sie es erneut.
Wenn Sie den Newsletter abonnieren, erklären Sie sich damit einverstanden, die neuesten Unternehmensnachrichten von NANO Corp. zu erhalten. Lesen Sie die Datenschutzrichtlinie.
Plattform
Deep Network BeobachtungKI-gesteuerter intelligenter AlarmLive-ForensikIntegrationenSIEM/SOAR-RationalisierungIDS-ErsatzErkennung von OT-BedrohungenVollständige NetzwerktransparenzAutomatisierte Paketerfassung
Ressourcen
BlogDokumentationRechner für die Kosten von AusfallzeitenTechnische BlätterDatenschutzbestimmungenBedingungen der Dienstleistung
Unternehmen
ÜberKarriereKontaktVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Urheberrecht © 2024 NANO Corp.