Under Attack?
Endpoint Detection and Response (EDR) ist nach wie vor ein grundlegendes Element der modernen Cybersicherheit. Es bietet einen tiefen Einblick in die Aktivitäten auf Endpunkten wie Laptops, Servern und Workstations und ermöglicht es Sicherheitsteams, verdächtiges Verhalten zu erkennen, Vorfälle zu untersuchen und effektiver auf Bedrohungen zu reagieren als mit herkömmlichen Antiviren-Tools.
Die Grenzen von EDR
Die rasante Entwicklung der Angreifertechniken hat jedoch die Grenzen des alleinigen Verlassens auf endpunktorientierte Sicherheit aufgezeigt. Heutige Cyberangriffe finden selten auf einem einzelnen Gerät statt. Stattdessen entfalten sie sich in komplexen hybriden Umgebungen, die Cloud-Dienste, Remote-Benutzer, SaaS-Plattformen, Betriebstechnologie und nicht verwaltete Geräte umfassen.
In dieser Umgebung müssen Angreifer nicht mehr nur einen einzigen Perimeter durchbrechen. Sie müssen sich lediglich irgendwo in der Umgebung Zugang verschaffen und sich dann durch die Umgebung bewegen.
Aus diesem Grund erkennen Unternehmen zunehmend, dass EDR allein nicht die nötige Transparenz bieten kann, um moderne Cyberangriffe zu stoppen. Um effektiv zu erkennen und zu reagieren, müssen Sicherheitsteams die Sichtbarkeit auf das Netzwerk selbst ausweiten, indem sie Network Detection and Response (NDR) einsetzen.
Das moderne Netzwerk ist eine riesige Angriffsfläche
Es gab eine Zeit, in der Unternehmensnetzwerke relativ einfach waren. Organisationen arbeiteten von einer Handvoll Büros aus, die mit einem zentralen Datenzentrum verbunden waren. Die Sicherheitsstrategien konzentrierten sich auf die Verteidigung eines klar definierten Umkreises.
Dieses Modell ist weitgehend verschwunden.
Die heutigen Unternehmensumgebungen sind verstreut, hybrid und werden ständig erweitert. Die Daten befinden sich auf verschiedenen Cloud-Plattformen und in der lokalen Infrastruktur. Mitarbeiter arbeiten aus der Ferne mit persönlichen und unternehmenseigenen Geräten. SaaS-Anwendungen werden schnell in allen Abteilungen eingeführt. Geräte aus dem Internet der Dinge, Betriebstechnologie und die Integration von Drittanbietern sorgen für zusätzliche Komplexität.
Aus der Sicht eines Verteidigers erscheinen diese Umgebungen als getrennte Domänen wie Endpunkt, Cloud, Identität und Netzwerk. Angreifer sehen das nicht so.
Für einen Angreifer stellt die gesamte Umgebung eine einzige zusammenhängende Angriffsfläche dar.
Ihr Ziel ist einfach: irgendwo im Netzwerk Fuß zu fassen und den Zugriff zu erweitern.
Wie Angreifer die Endpunktkontrollen umgehen
EDR ist nach wie vor eine leistungsstarke Verteidigungsfunktion, doch Bedrohungsakteure entwickeln ihre Techniken zunehmend so, dass sie Endpunktkontrollen umgehen oder deaktivieren.
Angreifer nutzen Lücken in der Sichtbarkeit von Endgeräten inzwischen sehr effektiv aus. Viele Systeme in modernen Umgebungen können keine EDR-Agenten ausführen, darunter Netzwerkinfrastrukturgeräte, Altsysteme, IoT-Geräte und betriebliche Technologieplattformen. Diese Geräte können ideale Einstiegspunkte in das Netzwerk darstellen.
Selbst dort, wo EDR eingesetzt wird, wenden Angreifer häufig Techniken an, um die Erkennung zu umgehen. "Bei diesen Angriffen werden legitime Verwaltungstools, die bereits auf den Systemen vorhanden sind, für böswillige Aktivitäten genutzt. Da diese Tools vom Betriebssystem als vertrauenswürdig eingestuft werden, kann es für Endpunkt-Tools schwierig sein, sie als bösartig zu klassifizieren.
In einigen Fällen deaktivieren die Angreifer die Sicherheitsagenten, nachdem sie privilegierten Zugriff erlangt haben. In anderen Fällen arbeiten sie vollständig im Speicher und umgehen so herkömmliche Malware-Dateien, die von EDR-Lösungen erkannt werden sollen.
Branchenuntersuchungen verdeutlichen das Ausmaß dieser Herausforderung. Bei über 50 % der größeren Sicherheitsverletzungen umgehen Angreifer die Endpunktkontrollen. Viele moderne Angriffe erstrecken sich über mehrere Domänen und umfassen die gleichzeitige Kompromittierung von Endgeräten, Identitätsmissbrauch, Netzwerkbewegungen und die Ausnutzung der Cloud.
Das Spielbuch der Angreifer: deaktivieren, vermeiden, täuschen
Trotz der Komplexität moderner Angriffe ist die zugrunde liegende Strategie vieler Bedrohungsakteure erstaunlich einfach.
Angreifer verlassen sich in der Regel auf drei grundlegende Ansätze, um die Erkennung zu umgehen:
- Ausschalten von Sicherheitskontrollen, wo immer dies möglich ist.
- Umgehen von Erkennungsmechanismen durch Verwendung legitimer Tools und vertrauenswürdiger Prozesse.
- Sicherheitssysteme täuschen, indem sie bösartige Aktivitäten mit normalem Verhalten vermischen.
Mit diesem Ansatz können Angreifer Präventionstechnologien umgehen, sich der EDR-Erkennung entziehen und unbemerkt in der Umgebung eines Unternehmens operieren.
Die Geschwindigkeit erhöht die Herausforderung für die Verteidiger weiter. Untersuchungen von CrowdStrike zeigen, dass sich Angreifer innerhalb von 48 Minuten nach der ersten Kompromittierung seitlich im Netzwerk bewegen können. Die durchschnittliche Zeit, die Unternehmen benötigen, um Sicherheitsverletzungen zu erkennen und einzudämmen, kann sich dagegen auf Monate erstrecken.
Ohne eine breitere Sichtbarkeit der gesamten Umgebung können Angreifer lange genug unentdeckt bleiben, um ihre Privilegien zu erweitern, Daten zu exfiltrieren oder Ransomware einzusetzen.
Warum EDR-Transparenz nicht ausreicht
EDR bietet detaillierte Einblicke in die Aktivitäten auf einzelnen Systemen. Es erfasst jedoch nicht immer den breiteren Angriffspfad, auf dem sich Angreifer durch die Umgebung bewegen.
Moderne Cyberangriffe beinhalten in der Regel laterale Bewegungen über interne Systeme, den Missbrauch von privilegierten Anmeldeinformationen und verdeckte Kommunikation mit externen Befehlsstrukturen. Diese Aktivitäten erzeugen oft Signale im Netzwerkverkehr und nicht auf den Endpunkten selbst.
So können beispielsweise ungewöhnliche Authentifizierungsmuster, unerwartete interne Verbindungen und anormale Datenübertragungen auf Angreiferaktivitäten hinweisen. Ohne Netzwerksichtbarkeit können diese Signale verborgen bleiben.
Dadurch entsteht ein gefährlicher blinder Fleck. Sicherheitsteams überwachen die Endpunkte möglicherweise genau, während sich Angreifer unbemerkt durch das Netzwerk bewegen.
Wie NDR die Erkennungslücke schließt
Network Detection and Response schließt diese Sichtbarkeitslücken, indem es den Netzwerkverkehr in der gesamten Umgebung analysiert. Anstatt sich auf Endpunkt-Agenten zu verlassen, beobachtet NDR die Kommunikation zwischen Systemen und kann so verdächtiges Verhalten auf verwalteten und nicht verwalteten Geräten erkennen.
Da sich NDR auf das Netzwerkverhalten konzentriert, kann es Angreiferaktivitäten identifizieren, die für Endpunkt-Tools ansonsten unsichtbar bleiben würden. Dazu gehören laterale Bewegungen zwischen Systemen, verdächtiges Authentifizierungsverhalten, verdeckter Befehls- und Kontrollverkehr und Versuche, sensible Daten zu exfiltrieren.
Fortschrittliche NDR-Plattformen nutzen Verhaltensanalysen und maschinelles Lernen, um eine Basislinie für normale Netzwerkaktivitäten zu erstellen. Beim Auftreten von Anomalien, wie z. B. ungewöhnlichen Kommunikationsmustern oder unerwarteten Geräteinteraktionen, werden die Sicherheitsteams alarmiert, um der Sache nachzugehen.
Auf diese Weise können die Verteidiger Angriffe früher in der Angriffskette erkennen und reagieren, bevor größerer Schaden entsteht.
Reduzierung des Rauschens und Verbesserung der SOC-Effektivität
Eine weitere große Herausforderung für Security Operations Centres ist die Überlastung mit Warnmeldungen. Moderne Sicherheitsumgebungen generieren eine große Anzahl von Warnmeldungen von verschiedenen Tools auf Endpunkt-, Cloud-, Identitäts- und Netzwerkebene.
Jedes System kann wertvolle Signale liefern, aber wenn sie isoliert betrachtet werden, fehlt diesen Alarmen oft der Kontext. Analysten müssen viel Zeit aufwenden, um falsch-positive Meldungen zu untersuchen und Ereignisse über verschiedene Tools hinweg zu korrelieren.
Durch die Einführung von NDR erhalten Unternehmen einen breiteren Überblick über die Aktivitäten in der gesamten Umgebung. Die Netzwerktransparenz bietet einen Kontext, der Analysten dabei hilft, verdächtige Ereignisse miteinander zu verknüpfen, echte Angriffe schneller zu erkennen und den Zeitaufwand für die Untersuchung gutartiger Aktivitäten zu reduzieren.
Dies verbessert sowohl die Effizienz als auch die Effektivität der Sicherheitsteams.
Aufbau von Widerstandsfähigkeit über Prävention hinaus
Sicherheitsstrategien haben sich traditionell darauf konzentriert, Angreifer daran zu hindern, in die Umgebung einzudringen. Obwohl Prävention nach wie vor wichtig ist, erkennen moderne Sicherheitsverantwortliche zunehmend, dass Erkennungs- und Reaktionsfähigkeiten ebenso wichtig sind.
EDR spielt eine entscheidende Rolle bei der Verhinderung und Untersuchung von Kompromittierungen von Endpunkten. Eine robuste Sicherheit erfordert jedoch auch die Fähigkeit, Angreifer zu erkennen, die sich bereits Zugang verschafft haben.
NDR bietet diese Fähigkeit, indem es verdächtiges Verhalten im gesamten Netzwerk identifiziert und Angreiferbewegungen aufdeckt, die sonst verborgen bleiben würden.
Zusammen bieten EDR und NDR einen komplementären Einblick in Endgeräte und Netzwerke, was die Fähigkeit, Bedrohungen zu erkennen, zu untersuchen und darauf zu reagieren, erheblich verbessert.
Warum moderne Sicherheit sowohl EDR als auch NDR erfordert
Cyberangriffe werden immer schneller, heimlicher und komplexer. Angreifer nutzen Identitätssysteme aus, bewegen sich seitlich in Netzwerken und nutzen legitime Tools, um nicht entdeckt zu werden.
Um sich gegen diese Bedrohungen zu schützen, müssen Unternehmen ihre Sichtbarkeit über einzelne Geräte hinaus erweitern und verstehen, wie sich die Aktivitäten in der gesamten Umgebung entfalten.
EDR ist nach wie vor eine wichtige Komponente der modernen Cybersicherheit. Allein kann es jedoch nicht die Abdeckung bieten, die für die Erkennung moderner Angriffe erforderlich ist.
Durch die Kombination von Endgerätetransparenz mit Netzwerkerkennung durch NDR erhalten Unternehmen ein weitaus umfassenderes Bild vom Verhalten der Angreifer und können kritische Lücken in ihrer Sicherheitslage schließen.
In den heutigen grenzenlosen digitalen Umgebungen hängt eine wirksame Cyberabwehr davon ab, nicht nur zu sehen, was auf den Endpunkten passiert, sondern auch, wie sich die Bedrohungen im Netzwerk selbst bewegen.
Setzen Sie sich mit den Experten von Integrity360 in Verbindung, um zu erfahren, welche Anforderungen Sie an EDR und NDR haben und wie wir Ihr Unternehmen bei der Stärkung seiner Cybersicherheit unterstützen können.
FAQs über EDR und NDR
Was ist EDR in der Cybersicherheit?
Endpoint Detection and Response (EDR) ist eine Cybersicherheitstechnologie, die Endgeräte wie Laptops, Server und Workstations überwacht, um bösartige Aktivitäten zu erkennen. EDR-Tools analysieren das Systemverhalten, identifizieren verdächtige Prozesse und ermöglichen es Sicherheitsteams, Bedrohungen auf einzelnen Geräten zu untersuchen und darauf zu reagieren.
Was ist NDR in der Cybersicherheit?
Network Detection and Response (NDR) ist eine Sicherheitstechnologie, die den Netzwerkverkehr analysiert, um verdächtige Aktivitäten in der Infrastruktur eines Unternehmens zu erkennen. NDR erkennt Bedrohungen wie Seitwärtsbewegungen, Command-and-Control-Kommunikation, Missbrauch von Anmeldeinformationen und Datenexfiltration durch die Überwachung der Kommunikation zwischen Systemen.
Was ist der Unterschied zwischen EDR und NDR?
EDR konzentriert sich auf die Erkennung von Bedrohungen auf einzelnen Endpunkten, während sich NDR auf die Überwachung des Netzwerkverkehrs zwischen Systemen konzentriert. EDR bietet einen tiefen Einblick in die Host-Aktivitäten, während NDR aufzeigt, wie sich Angreifer im Netzwerk bewegen. Zusammen bieten sie eine breitere Abdeckung bei der Erkennung von Bedrohungen.
Warum ist EDR allein nicht ausreichend?
EDR kann nicht auf jedem Gerät in einer Umgebung eingesetzt werden und kann Angreiferaktivitäten im Netzwerkverkehr übersehen. Angreifer umgehen Endpunktkontrollen häufig durch Techniken wie "Living-off-the-Land"-Angriffe, Missbrauch von Anmeldeinformationen oder durch gezielte Angriffe auf nicht verwaltete Geräte.
Warum brauchen Unternehmen sowohl EDR als auch NDR?
Die Kombination von EDR und NDR bietet einen Überblick über die Endgeräte und die Netzwerkkommunikation. Dieser mehrschichtige Ansatz verbessert die Erkennungsgenauigkeit, reduziert blinde Flecken und ermöglicht es Sicherheitsteams, Angriffe früher in der Angriffskette zu erkennen.
Wie hilft NDR bei der Erkennung von Ransomware-Angriffen?
NDR kann Frühindikatoren für Ransomware-Aktivitäten wie seitliche Bewegungen, verdächtige interne Verbindungen oder anormale Datenübertragungen erkennen. Die frühzeitige Erkennung dieser Verhaltensweisen kann Unternehmen helfen, Ransomware-Angriffe zu stoppen, bevor die Verschlüsselung beginnt.
Wie verbessert NDR den Betrieb von Unternehmen?
NDR liefert zusätzlichen Kontext zu verdächtigen Aktivitäten und hilft den Security Operations Centers, Warnungen über Endpunkte, Netzwerke und Identitätssysteme hinweg zu korrelieren. Dadurch werden Fehlalarme reduziert und die Analysten können sich effizienter auf echte Bedrohungen konzentrieren.
