Cyber-Angriffe gehören immer mehr zum Alltag, denn sie nehmen kontinuierlich zu und werden dabei immer komplexer. Für Unternehmen gilt es deshalb, ihre bestehenden Security-Ansätze zu überdenken und sie zu optimieren.
Um mehrschichtige Angriffe zu erkennen, ist es nötig, alle Vektoren in der IT-Umgebung zu überwachen, Indizien zu sammeln und zu einem Gesamtbild zusammenzusetzen. Denn häufig versucht moderne Malware, Sicherheitssysteme auszutricksen und unbemerkt zu bleiben. Sie kann zudem viele verschiedene Aktionen ausführen.
Der berüchtigte Trojaner Emotet hat zum Beispiel weitere Malware nachgeladen, etwa um Daten zu stehlen oder zu verschlüsseln. Mit Wurm- und Bot-Funktionalität verbreitete er sich automatisiert im Netzwerk und nahm über Command-and-Control-Server Befehle der Angreifer entgegen.
Aktuelle Ransomware-Attacken laufen ganz ähnlich ab, wie der Midyear Cybersecurity Report 2021 von Trend Micro zeigt. Wir sehen immer häufiger, dass Cyber-Kriminelle Tools und Techniken von Advanced Persistent Threats (APT) anwenden, um tief in die Systeme ihrer Opfer einzudringen. Zunächst bewegen sie sich lateral im Netzwerk und spionieren aus, wo es wertvolle Daten gibt. Anschließend stehlen sie die Daten oder verschlüsseln sie.
Häufig verbreitet sich die Malware über Wochen oder gar Monate hinweg unbemerkt im Netzwerk des Opfers, bevor sie aktiv wird. Sie lädt Schadsoftware nach und missbraucht manchmal sogar legitime Tools, die eigentlich zur Sicherheitsforschung oder Effizienzsteigerung dienen, für bösartige Zwecke. Dadurch segelt sie unter dem Radar einfacher Security-Systeme.
Warum EDR nicht mehr ausreicht
Viele Unternehmen konzentrieren sich auf sogenannte Endpoint Detection und Response (EDR) um erfolgreiche Attacken zu erkennen. Bei mehrstufigen, komplexen Angriffen stößt diese Security-Strategie jedoch an ihre Grenzen. Denn EDR hat einen eingeschränkten Blick auf das Bedrohungsgeschehen. Es betrachtet nur die Endpunkt-Daten, nicht aber, was im Netzwerk, in der Cloud oder in E-Mail-Systemen passiert. Dadurch kann EDR Informationen auch nicht über die verschiedenen Vektoren hinweg korrelieren.
Daten liegen in Silos, und Security-Analysten müssen Zusammenhänge zwischen den Meldungen verschiedener Systeme von Hand herstellen. Das ist nicht nur ein mühevolles, aufwändiges Puzzle-Spiel, bei dem ein Teil unter den Tisch fallen kann. Vor allem die Masse an Security-Meldungen ist ein Problem. Mitarbeiter werden täglich mit Alerts geradezu überflutet. Viele davon sind unwichtig, man muss sie aber trotzdem ansehen. Kaum jemand schafft es da noch, schnell genug die Meldungen zu entdecken, die wirklich kritisch sind.
XDR bricht Silos auf und entlastet IT-Mitarbeiter
Während EDR für Bedrohungsinformationen jenseits der Endpunkte blind ist, schafft XDR umfassende Transparenz in der gesamten IT-Umgebung über alle Vektoren hinweg: von E-Mail über die Endpunkte, Server und Netzwerke bis hin zu Cloud-Workloads. Informationen aller angeschlossenen Security-Systeme fließen in einem zentralen Data Lake zusammen. Dort werden sie mithilfe von KI unter Nutzung von Machine Learning und globaler Threat Intelligence ausgewertet. XDR filtert automatisiert relevante Informationen heraus und korreliert sie.
Aus Tausenden von Alerts werden dadurch wenige, verwertbare Warnungen. So lässt sich die Zahl der Security-Events um bis zu 90 Prozent reduzieren. Security-Mitarbeiter können sich dann auf die wirklich wichtigen Warnmeldungen konzentrieren. Sie sehen in einer zentralen Konsole auf einen Blick, was passiert ist und ob sie eingreifen müssen.
Das spart wertvolle Zeit und ermöglicht es Unternehmen, erheblich schneller und zielgerichteter auf einen Vorfall zu reagieren. Wie stark XDR das Security-Team entlastet, zeigt eine ESG-Studie: Die befragten Unternehmen gaben an, dass ihre automatisierte Lösung so viel leistet wie durchschnittlich acht Vollzeit Security-Mitarbeiter.
EDR vs. XDR am Beispiel einer Ransomware-Attacke
Der Unterschied zwischen EDR und XDR lässt sich am besten an einem Praxisbeispiel verdeutlichen. Sehen wir uns einmal eine Ransomware-Attacke an: Ein Benutzer erhält eine Phishing-Mail, öffnet die angehängte Zip-Datei und führt die darin enthaltene Datei aus. Der Computer sieht aus wie immer, aber in Wirklichkeit wurde ein Downloader zu einem Windows Run Key hinzugefügt. Bei jedem Systemstart wird der Downloader jetzt mitgestartet und kann neue Malware nachladen, die bösartige Aktivitäten ausführt.
Eine EDR-Lösung würde diese Aktivität bemerken und an die IT-Security-Abteilung melden (Detection), um anschließend Gegenmaßnahmen zu koordinieren (Response). Diese bleiben allerdings auf angeschlossene Endpunkte beschränkt. Eine XDR-Lösung findet hingegen bereits ausgestrahlte Ableger über die Netzwerkkommunikation und kann ähnliche Vorfälle durch das Prüfen der E-Mailpostfächer anderer Mitarbeiter erkennen und verhindern. So werden manuelle Aufgaben und eine Überflutung der Security-Teams mit ähnlichen Meldungen verhindert. Zudem wird „Lateral Movement“ zu möglicherweise nicht überprüfbaren Systemen erkannt.
Mit XDR die Sicherheit erhöhen
XDR bietet im Vergleich zu EDR also viele Vorteile. Indem die Lösung Silos aufbricht und Bedrohungsinformationen korreliert, können Security-Mitarbeiter Cyber-Vorfälle besser und schneller erkennen – auch wenn sich Angriffe über viele Vektoren erstrecken und mehrstufig ablaufen.
Gerade in unübersichtlichen, weit verteilten IT-Umgebungen steigert XDR die Sicherheit erheblich. Laut ESG Research verzeichnen Unternehmen, die bereits einen hohen XDR-Reifegrad erreicht haben, 55 Prozent weniger erfolgreiche Cyber-Angriffe. Sie sind doppelt so zuversichtlich, dass sie mit der sich ändernden Bedrohungslandschaft Schritt halten können. Indem XDR IT-Teams entlastet, gewinnen sie mehr Zeit, sich um strategische Fragen zu kümmern und die Sicherheitsaufstellung ihres Unternehmens weiter zu verbessern.
Richard Werner ist Business Consultant bei Trend Micro.