Augen und Ohren des XDR
Wer sich gegen die komplexen Cyberangriffe der Gegenwart wehren will, muss diese frühzeitig erkennen. Dazu liefern Sensoren an neuralgischen Punkten die relevanten Daten für Prävention, Erkennung und Abwehr von Attacken. Richtig platziert schaffen sie die Grundlage, um sicherheitsrelevante Ereignisse im Rahmen einer „eXtended Detection and Response“ (XDR) über die klassischen Endpunkte PC und Server hinaus zu bewerten.
Von Martin Zugec, Boca Raton (US/FL)
Die professionellen, individuellen Angriffe der Gegenwart auf eine komplexer werdende Unternehmens-IT verlangen einen umfassenden Blick der IT-Abwehr auf die Abläufe im Netz. Angesichts der zunehmenden Menge verschiedener Endpunkte können IT-Administratoren aber das vielfältige Geschehen nicht mehr ohne Weiteres im Auge behalten. Technologieansätze wie eine „eXtended Detection and Response“ (XDR) verschaffen IT-Verantwortlichen eine bessere und notwendige Perspektive.
Die Sensoren einer XDR erweitern den Informationsstand einer traditionellen Endpoint-Detection-and-Response- (EDR)-Telemetrie durch weitere Datenquellen aus cloudbasierten, On-Premises- und hybriden Umgebungen samt aller physischen und konnektiven Geräte sowie der jeweiligen Workloads. Eine XDR-Plattform aggregiert diese Informationen anschließend in einer zentralen Übersicht, um relevante Maßnahmen auszulösen.
Überblick jenseits der Endpunkte
Nur eine umfassende Gesamtsicht ermöglicht es dabei, Anomalien im Verhalten der IT rechtzeitig zu erkennen und ein vollständiges Bild zu liefern, wie sich die Angriffe entwickeln: Denn häufig starten Attacken mit einer unerkannten und unauffälligen Phishing-Mail, aus der sich ein persistenter Zugang zu den Opfersystemen ergibt. Der weitere Lebenszyklus des Zugriffs durch Angreifer kann sich dann sehr in die Länge ziehen – in vielen Phasen sind Eindringlinge nicht aktiv tätig oder nicht zu erkennen.
IT-Administratoren oder Experten im Security-Operations-Center (SOC) eines Managed-Detection-and-Response-(MDR)-Dienstes sind bei „Living-off-the-Land“- und Fileless-Attacken auf Hilfe angewiesen, um auffälliges Verhalten wie Seitwärtsbewegungen (Lateral Movements) zu erkennen und im Gesamtkontext abzubilden. Aufgrund von XDR-Informationen können sie Angreifer dann bei drohender unmittelbarer Ausführung ihrer letztlichen Ziele oder schon vorab stoppen. Wenn ein Angriff im Entstehen ist, ergibt sich alternativ die Option, das Geschehen in einer cloudbasierten Sandbox weiter zu beobachten, um eventuell zusätzliche Hinweise zu gewinnen und so nachhaltig effiziente Abwehrmaßnahmen zu ergreifen. Außerdem spielt die Qualität einer forensischen Root-Cause-Analysis für die Prävention von Folgeangriffen eine bedeutende Rolle.
Standortwahl für Sensoren
Die wesentliche Prämisse einer ganzheitlichen IT-Sicherheitsarchitektur ist die Allokation der Sensoren in allen entscheidenden Bereichen:
- On-Premises- und Cloud-Endpunkte sowie Server
- produktive Applikationen (besonders auch Microsoft 365 mitsamt Outlook)
- Cloud-Workloads (z. B. Dienste von Amazon oder anderen Service-Providern)
- das Microsoft Active Directory (AD) für das Identitätsmanagement sowie
- an den relevanten Stellen in der IT-Netzwerk-Infrastruktur für die Überwachung des Datenverkehrs
Über die klassischen Sensoren an Endpunkten hinaus spielen die letzten vier Sensortypen eine besonders wichtige Rolle für eine effiziente Abwehr komplexer Cyberattacken.
Sensoren für produktive Applikationen – besonders für Microsoft 365
Ein strategisches Ziel von Cyberkriminellen ist es, die Kontrolle über Nutzerkonten für Microsoft 365 zu erlangen – das Mittel der Wahl, um die Zugangsdaten zu ergattern, sind Phishing-Mails. Spezifische XDR-Sensoren können Angriffe auf Nutzerkonten oder Angriffe, die von gekaperten Konten ausgehen, erkennen. Im Zuge dessen beobachten sie verdächtige Prozesse in Microsoft 365 wie:
- fragwürdiges Anlegen von Nutzern – etwa ein neu erstellter Benutzer, der von der per Richtlinie geforderten Multi-Faktor-Authentifizierung ausgeschlossen ist
- Hochladen von Dokumenten mit verdächtigen Makros auf SharePoint und OneDrive
- Hochladen ausführbarer Dateien auf Microsoft 365-Konten
- verdächtige Zugriffsanfragen – zum Beispiel ein mehrfach in kurzer Zeit gestatteter Zugriff auf mehrere Dateien oder Verzeichnisse verschiedener SharePoint-Websites
Sensoren können auch Anomalien im Nutzerverhalten aufdecken: Eine erhöhte Zahl administrativer Aktivitäten oder Vorgänge zum Bearbeiten von Dokumenten an einem Tag sind ein Beispiel für Auffälligkeiten im Nutzerkonto.
Zudem zeichnen sich gekaperte Microsoft-Exchange-Konten häufig durch verdächtiges Verhalten aus, die ein Sensor beobachten kann, etwa:
- Exfiltrations-E-Mails zum Herunterladen von Dateien aus dem Konto eines kompromittierten Nutzers
- Spear-Phishing-E-Mails, um Anwender dazu zu bringen, ihre Zugangsdaten preiszugeben
- Erlaubnis zum Zugriff auf mehrere verschiedene Mailboxen innerhalb kurzer Zeit
- Löschen einer großen Menge von E-Mails durch ein Benutzerkonto in einem Postfach, das dem Benutzer nicht gehört
Abzuleitende Abwehrmaßnahmen aus einem XDR-Dashboard heraus sind etwa das Löschen von riskanten E-Mails oder die Deaktivierung von Microsoft 365-Accounts über das gesamte Unternehmen hinweg.
Sensoren für Cloud-Services
Cloud-Sensoren sollen warnen, wenn die Sicherheit einer Cloud-Umgebung – etwa von Amazon Web Services (AWS) oder Microsoft Azure – kompromittiert ist. Dazu überwachen sie verschiedene Angriffsindikatoren. Auch ein Cloud-Sensor definiert zunächst die „Baseline“ des normalen IT-Verhaltens, um später verdächtige Anomalien erkennen zu können: Dabei kann es sich um den Upload einer Datei mit verdächtiger Namenserweiterung handeln, die nicht zum normalen Nutzerverhalten passt – auch das ungewöhnliche Verhalten von Cloud-Funktionen kann ein Anhaltspunkt sein. Cloud-Sensoren beobachten auch verdächtige, möglicherweise von Angreifern ausgelöste Aktivitäten in einzelnen Cloud-Diensten wie etwa AWS Lambda.
Zu verdächtigen und beobachtbaren Aktionen auf Cloud-Endpunkten gehören vor allem:
- automatisiertes Ausführen von Code
- Anlegen eines Zugangsschlüssels als Backdoor zu einem Nutzer des Amazon-Web-Services-Identity-and-Access-Management-(IAM)-Dienstes
- Update einer Sicherheitsgruppe, um einen Port-Zugang zu gewähren – als möglicher Zugang zu einer Cloud-Instanz für Angreifer
- Entfernen der Default-Verschlüsselung eines AWS-Simple-Cloud-Storage-(S3)-Buckets durch einen unbekannten Nutzer oder Host (wodurch alle serverseitig verschlüsselten Objekte in den angegriffenen Buckets exponiert werden)
- Reconnaissance-Events in einem S3-Bucket
- Abschalten des Logging-Dienstes Amazon Web Services CloudTrail oder Löschen von Logs aus dem Monitoring-Dienst CloudWatch
- gleichzeitiger mehrfacher Login eines Nutzers aus verschiedenen Regionen
Abbildung 1: Darstellung und Bewertung einer durch XDR-Sensoren erkannten Spear-Phishing-Attacke und des sich daran anschließenden Angriffs
Sensoren für Identitätsverzeichnisse und -dienste
Der Schutz und die Kontrolle von Identitäten sind kritische Komponenten, um die Resilienz einer IT-Infrastruktur zu erhöhen. Wer bereits verdächtige Authentifizierungsvorgänge für Applikationen, DevOps-Tools, Datenbanken, Systeme, Cloud-Umgebungen oder andere kritische IT-Ressourcen erkennt, minimiert den denkbaren Schaden möglicher Angriffe. Ein Identitätssensor ist im „Microsoft-Universum“ mit dem Active Directory (AD) verbunden und zielt auf Aktivitäten von Angreifern, die kompromittierte Anwenderkonten, Token und Objekte für sich nutzen wollen – dazu gehören nicht nur die Accounts der Endanwender, sondern auch System- und API-Konten.
Identitätssensoren überwachen hierzu das Kerberos-Protokoll zur Netzwerk-Authentifikation und erkennen beispielsweise:
- wenn Angreifer einen Kerberos-Login für eine Brute-Force-Attacke mithilfe in schneller Folge generierter Passwörter oder Krypto-Keys gegen ein System durchführen wollen
- wenn gestohlene Kerberos-Tickets Angreifern dazu dienen, sich lateral in einem Netzwerk zu bewegen
- die Bitte um ein Ticket mit einer schwachen Verschlüsselung – ein sehr verbreitetes Indiz für einen bösartigen Zugriff
- sogenannte Replay-Attacks, also das Weiterleiten gestohlener Datenpakete aus dem Netzwerk an einen Service oder eine Applikation
-
Darüber hinaus können derartige Sensoren verdächtige Logins erkennen, nachdem zuvor eine Brute-Force-Attacke identifiziert wurde. IT-Sicherheitsverantwortliche sehen dadurch beispielsweise, wenn ein Angreifer einen bösartigen Active-Directory-Domain-Controller registriert, um missbräuchlich Objekte in andere Domain-Controller innerhalb derselben AD-Infrastruktur zu injizieren. Verschiedene Aktivitäten auf einem Active Directory-Objekt und Authentifizierungen in Remote-Systemen mit gestohlenen Zugangsdaten lassen sich ebenfalls aufdecken. IT-Sicherheitsteams können dann kompromittierte oder missbräuchliche AD-Accounts deaktivieren oder einen Passwort-Reset erzwingen.
Sensoren im Netzwerk
Zur Überwachung des Datenverkehrs im Netzwerk können eine virtuelle Appliance zum Einsatz kommen und dort nach Anzeichen von Angriffen suchen. Bösartige Akteure versuchen meist, erfolgreiche Attacken auszuweiten und bewegen sich zu diesem Zweck im Unternehmensnetzwerk von einem zum nächsten System (sog. Lateral Movements). IT-Sicherheitsverantwortliche können die sich „seitwärts bewegenden“ Angreifer mithilfe passender Sensoren identifizieren und beobachten – außerdem erfahren sie so von Versuchen zur Exfiltration von Daten. Sensoren können darüber hinaus auch Port-Scanning und Brute-Force-Attacken aus dem Netzwerk heraus registrieren.
Fazit
Wer umfassende Sicherheit in komplexen Infrastrukturen erreichen will, braucht die Gesamtsicht auf das IT-Geschehen in der kompletten IT-Landschaft – über die klassischen Endpunkte hinaus. Denn Server- und PC-Systeme sind heute letztlich nur ein winziger Ausschnitt des großen Ganzen und der letzte Schauplatz der finalen Schritte einer Attacke, etwa durch Verschlüsseln der gespeicherten Daten oder Exfiltration von Informationen. Prävention, frühzeitige Erkennung und effektive Abwehr erscheinen in heutigen komplexen Umgebungen nur möglich, wenn auffällige Vorgänge über die gesamte IT-Architektur hinweg sichtbar werden und gleichzeitig Administratoren oder Sicherheitsexperten einer (ggf. Managed) Detection and Response eine zentrale Verteidigung aus einem zentralen Dashboard steuern.
Martin Zugec ist Technical Solutions Director bei Bitdefender.