Blogpost

EDR: Im Schatten des Buzz

Die Zeit, in der RSSI nur auf die traditionellen IDS/IPS-Systeme setzen konnten, ist vorbei. Sie müssen sich in komplexen Umgebungen zurechtfinden und fortschrittlichere und effizientere Cybersicherheitslösungen auswählen.

Florian Thebault
27. September 2022
Teilen Sie
LinkedIn LogoX-Logo

Die Anforderungen an die Cybersicherheit steigen ständig, sei es im Zuge eines Angriffs (DDOS, Ransomware usw.), einer Änderung des Standards (25/50/100 Gbit/s) oder zur Anpassung an gesetzliche Änderungen (NIS2, Cyber Resilience Act usw.). Wenn die RSSI sich eine Zeit lang mit der Installation von IDS/IPS begnügen konnten, müssen sie heute in einem komplexen technischen und rechtlichen Umfeld leistungsfähigere Lösungen wählen, was sich auf den Markt für Lösungen auswirkt. Er ist selbst Träger großer Innovationen, hat sich in den Auswirkungen der Mode und des Kampfes gegen den Terrorismus verstrickt und hat Presseerklärungen und Artikel in Auftrag gegeben, die mehr als die Realität der technologischen Fortschritte im Zeitalter der Verlangsamung widerspiegeln.

Jedes Jahr sucht der Medienmarkt nach einem neuen Champion, und im Laufe der Zeit hat sich der Diskurs von IDS zu IPS und dann zu SIEM verlagert. Inzwischen konzentrieren sich die Entwicklungsanstrengungen auf den Endpunkt und auf die Endanwender (UBA - User Behavior Analytics). Daher wurden EDR und neuerdings auch XDR im Rahmen des kommerziellen Diskurses unter die Fittiche der Projektträger genommen. Wer mehr Klarheit sucht, sieht sich mit einer Vielzahl von Vergleichsartikeln konfrontiert, in denen versucht wird, anhand eines sehr feinen Analyserasters die besten Marktteilnehmer zu unterscheiden, obwohl ihre technologischen Grundsätze identisch sind.

Die gemeinsame Eigenschaft dieser allesamt hervorragenden Produkte ist, dass sie ihre Fähigkeiten zur Abwehr von Bedrohungen und zum Schutz von Endgeräten durch den Einsatz von logischen Agenten erheblich verbessert haben. Allerdings bietet dieses auf Maschinen ausgerichtete Konzept der Cybersicherheit nur einen partiellen Schutz und weist zudem große Unklarheiten auf, so daß es bei bekannten Bedrohungen nur auf einer Gruppe von Maschinen funktioniert, die in der Lage sind, einen Agenten zu unterstützen.

Die Agenten, Meister der Cybersicherheitslösungen?

Wenn der Einsatz von Agenten ebenfalls stark zunimmt, liegt das daran, dass er einem großen Bedarf an besserer Sichtbarkeit auf allen Endpunkten entspricht. Darüber hinaus sind EDR-Lösungen gut geeignet, um Ihre Datenbestände vor bestimmten fortschrittlichen Bedrohungen (Malware, APT, Phishing-Versuche usw.) zu schützen, die seit der allgemeinen Verbreitung des Internets noch nie so häufig aufgetreten sind.

Um ihren Auftrag erfüllen zu können, verlangen die Agenten jedoch weiterhin einen privilegierten Zugang zu Ihren Ressourcen und Systemen. Einige von ihnen können beispielsweise den Inhalt Ihrer E-Mail-Datenbanken in eine Cloud übertragen, die Sie nicht einsehen können, um NLP-Algorithmen (Natural Language Processing) anzuwenden. Andere wiederum scannen regelmäßig den Lebenslauf Ihrer Rechner und Ihr gesamtes Dateisystem, um sich gegen immer raffiniertere Bedrohungen zu wehren, die die Techniken zum Schutz vor EDR aushebeln.

Die Art der Bedrohungen, die sich ständig ändern, erfordert die Umsetzung von Maßnahmen, um sie zu bekämpfen. Auch der Einsatz von Agenten in einem Informatikpark ist eine anspruchsvolle Aufgabe. In bestimmten Fällen können die Agenten zu privilegierten Zugangspforten zu Ihren Informationssystemen werden (# SolarWinds).

Wenn ein EDR/XDR unterwandert oder ein NIDS ausgehebelt wird, ist die Möglichkeit, zu erkennen, dass ein Netzwerk ausgehebelt wurde und dass Daten möglicherweise exfiltriert werden, erheblich eingeschränkt. Wenn EDR auf herkömmlichen Rechnern (Mac OS, Windows, Linux) korrekt funktionieren, ist ihre Effizienz in exotischeren Umgebungen wie IoT, Industrieanlagen (SCADA) oder BYOD-Umgebungen mit Vorsicht zu genießen.

Warum ist EDR immer noch der große Favorit der RSSI?

Wenn sich der Einsatz von Agenten weiterhin exponentiell vervielfacht, liegt das zum einen daran, dass es einfach ist: eine Maschine - ein Agent, und zum anderen daran, dass die Intensität des kommerziellen Diskurses die Illusion erwecken kann, dass dies ausreicht, um die gesamte IT-Infrastruktur zu schützen.

Hinzu kommt die Unfähigkeit von Akteuren, die mit der Sicherheit des Netzes vertraut sind, technisch leistungsfähige und finanziell erschwingliche Lösungen anzubieten, die im Netz gut sichtbar sind.

Es gibt Lösungen vom Typ NDR (Network Detection and Response), die jedoch nicht in der Lage sind, den Entwicklungen der Netze zu folgen. Um ihre Veralterung zu überwinden, verwenden sie daher hauptsächlich Raketentechniken, die mit einem Zero-Trust-Ansatz nicht kompatibel sind (z. B. Packet-Slicing, Packet-Sampling, Exclusive-over-IP, FPGA usw.), und das alles bei sehr hohen physischen und finanziellen Kosten.

Die traditionelle Vorgehensweise bei der Analyse von Netzwerken hat sich in den letzten Jahren stark gewandelt:

  • Fortgesetzte Erhöhung der Datenübertragungsraten (25Gbit/s, 50Gbit/s und jetzt auch die allgemeine Nutzung von 100Gbit/s)
  • Diversifizierung der Nutzungen (BYOD, IoT, etc.)
  • Komplexisierung von Netzwerken (Chiffre, Virtualisierung von Hörsignalen, GSM über Ethernet usw.)
  • Hybridisierung: Core-to-Edge, Edge-to-Cloud, Edge-to-Edge

C'est ainsi que les EDR sont tout naturellement devenus, tant techniquement que commercialement, LA solution. A comprendre : la seule solution. Technisch, weil sie es ermöglicht, die Schwierigkeiten zu bewältigen, indem sie die Verantwortung für die Sicherheit am Ende des Parcours (Endpunkt) in gewisser Weise auf die Benutzer überträgt. Und aus kommerzieller Sicht, denn der Verkauf einer großen Anzahl von Abonnements zu einem geringen Stückpreis ist eher geeignet, ein Unternehmen davon zu überzeugen, in eine teurere Ausrüstung zu investieren, die es ihm ermöglicht, die von ihm benötigte vollständige Sichtbarkeit zu erlangen.

Im Rahmen eines "Zero Trust"-Konzepts für die Cybersicherheit ist EDR zwar durchaus sinnvoll, stellt aber nur eine Komponente in einer umfassenderen Architektur dar. Er kann daher nicht das A und O der Sicherheitspolitik eines Informationssystems sein. Keine Lösung für die Cybersicherheit kann es geben, und es ist auch nicht nötig, sie zu revidieren.

Un NDR oui ! Mais en mode Zero Trust !

Wie bereits erwähnt, versuchen die Lösungen für die Analyse und die Sicherheit der Netze bereits, bestimmte Cyber-Probleme zu lösen, die in eine "Zero-Trust"-Methode einfließen könnten, die als Rahmen dafür dient, dass von vornherein kein Vertrauen besteht: Alles ist unter Kontrolle, von der Infrastruktur bis zur Nutzung, dauerhaft und nicht nur die Zugangsrechte.

Die Lösungen für die Sicherheit des Netzes sind in der Regel durch den Einsatz von technischen und logischen Hilfsmitteln eingeschränkt, die ein völliges Vertrauen in die Elemente erfordern, die sie nicht beherrschen (z. B. die Sichtbarkeit bei bestimmten IP-Protokollen), par exemple) oder statistische "Tricks" zu verwenden, um ihre Unzulänglichkeiten zu kompensieren (Sampling, Slicing, etc.).

Die Fata Morgana der Statistik stellt in dieser Hinsicht ein frappierendes Beispiel dar. Bestimmte kommerzielle Lösungen wenden Verfahren des maschinellen Lernens (M/L) an, um die Entdeckung zu ermöglichen. Das Problem ist, dass es schwierig ist, das maschinelle Lernen auf statistische Werte zu stützen, die sich auf nicht manipulierte Daten stützen. In allen Fällen, in denen es um Zahlen geht, ist es nicht möglich, einem Rahmenwerk zu entsprechen, das von Zero Trust inspiriert ist (das selbst aus Marketinggründen mehr und mehr abgelehnt wird).

Der Einsatz von maschinellem Lernen zur Verbesserung der Erkennungs- und Alarmierungskapazitäten und zum Schutz des Anwenders vor komplexen Anomalien im Zusammenhang mit dem Ablaufen von Anwendungen und Prozessen ist konzeptionell zufriedenstellend, wenn man nur die Grenzen kennt. Da er sich auf Einzelnachweise stützt, kann er nicht auf Vollständigkeit und vollständige Beobachtbarkeit der Netze Anspruch erheben. Dies gilt auch dann, wenn die Netzanalyse über den IP-Fluß oder sogar ausschließlich über TCP durchgeführt wird!

Wenn die Beobachtung nicht vollständig ist, bleibt nur die Analyse eines Eisbergs, die sich auf den überschwemmten Teil beschränkt: Der überschwemmte Teil bleibt im Dunkeln. Wer auf diese Fähigkeit verzichtet, verliert die Schattenzonen der Netze, die sich mit der allgemeinen Virtualisierung, der Schatten-IT, dem BYOD usw. immer weiter vergrößern.

Wir weisen darauf hin, dass selbst bei sehr leistungsstarken NDR (wie Extrahop oder Vectra) die Verpflichtung zur Verwendung spezieller Materialien die Skalierbarkeit per definitionem einschränkt und die Nutzung stark einschränkt.

Leider führt die logische Version ihrer Anwendungssuite aufgrund ihrer schwachen Leistung (Verhältnis benötigte Ressourcen/verarbeiteter Fluss) zu einer Explosion der Hosting-Kosten. Diese sehr eingeschränkte Leistung führt dazu, dass die Kosten für Zero Trust immer weiter ansteigen.

Was muss ein CISO tun, um seinen Schutz zu verbessern, seine Angriffsfläche zu verringern und zu kontrollieren?

Zur Vervollständigung des EDR sollte ein NDR in die Suite eingefügt werden. Aber ein NDR, der in der Lage ist, eine Zero-Trust-Verkehrsanalyse (Z2TA) durchzuführen, d. h. eine vollständige Analyse jedes Pakets auf allen Couches, und der in der Lage ist, alle unverzichtbaren Metadaten zu extrahieren (dies schließt Technologien auf der Basis von Datenübertragungen aus).

Der Z2TA verpflichtet zur Bereitstellung einer weißen Seite, um die Gesamtheit der zuvor dargelegten Probleme zu lösen, und ermöglicht es, den RSSI die Sichtbarkeit ihrer Netze ohne Zugeständnisse, d.h. ohne konzeptionelle Vorgaben, zu ermöglichen. Der Z2TA ist die Zukunftslösung, die es ermöglicht, eine Reihe von Bedrohungen zu bekämpfen, die die EDR nicht sehen können, und die sie oft selbst verursachen.

Die Zero Trust Traffic Analysis ist ein unverzichtbares Hilfsmittel für den CISO, um den höchsten Anforderungen im Bereich der Cybersicherheit gerecht zu werden.

Florian Thebault
27. September 2022
Teilen Sie
LinkedIn LogoX-Logo

Möchten Sie
die vollständige Sichtbarkeit Ihres Netzwerks freigeben?

Kontaktieren Sie unsRéservez votre démo ->

Weitere Blogbeiträge

Zum Blog gehen

Le FPGA pour une analyse Zero Trust des paquets réseaux, la fausse bonne idée.

November 10, 2022
Lesen Sie mehr ->

Die konzessionsfreie Überwachung des 100-Gbit/s-Flusses

Juni 17, 2021
Lesen Sie mehr ->

Cybersécurité, la bande passante ne signifie pas ce que vous pensez !

1. März 2024
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Oups! Une erreur s'est produite, veuillez réessayer.
Wenn Sie sich für den Newsletter anmelden, erklären Sie sich damit einverstanden, die neuesten Nachrichten der NANO Corp. zu erhalten. Lire la Politique de confidentialité.
Plattform
Deep Network BeobachtungKI-gesteuerte intelligente AlarmeLive-ForensikIntégrationsRationalisierung SIEM/SOARErsetzung von IDSAbwehr von Bedrohungen OTVollständige Sichtbarkeit des NetzesAutomatisches Erfassen von Paquets
Ressourcen
BlogDokumentationCalculateur du coût des temps d'arrêtFiches-TechnikenPolitik der VertraulichkeitAllgemeine Benutzungsbedingungen
Das Unternehmen
À proposKarrierenWir nehmen Kontakt aufVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Alle Rechte vorbehalten © 2024 NANO Corp.