EDR (allein) wird Ihr Unternehmen nicht vor fortgeschrittenen Hackergruppen schützen

  • Eine nicht identifizierte Person benutzt einen Laptop im Bryant Park in New York City im vergangenen März. (Foto: Cindy Ord/Getty Images)

    Endpunkt-Erkennungs- und Reaktionssysteme können in vielen Unternehmen als vorderste Verteidigungslinie dienen, indem sie Telemetriedaten von verteilten Mitarbeitergeräten sammeln und speichern und diese zur Erkennung bösartiger Aktivitäten oder Verhaltensweisen verwenden. Ein kürzlich durchgeführtes Experiment von akademischen Forschern der Universität von Piräus in Griechenland zeigt jedoch, dass sie bei weitem kein Allheilmittel sind, wenn es um den Schutz Ihres Unternehmens geht.

    Für das Experiment versuchten die Forscher, die Tools und Verhaltensweisen von Advanced Persistent Threat-Akteuren zu emulieren, indem sie geskriptete Angriffe mit Spearphishing und verschiedenen Malware-Verteilungstechniken einsetzten. Außerdem nutzten sie beliebte Tools wie Cobalt Strike für laterale Bewegungen und modellierten ihre Bedrohungsaktivitäten mithilfe von Frameworks wie Mitre [email protected] Sie testeten 11 der beliebtesten EDR-Systeme auf dem Markt und versuchten, vier Kernfragen zu beantworten:

    • Kann das System “gängige” APT-Angriffsmethoden erkennen?
    • Wo sind die blinden Flecken bei der Erkennung?
    • Auf welche Art von Daten stützt es sich, um Alarme zu generieren?
    • Können Sie den Gesamtpegel des Rauschens in der Telemetrie reduzieren?

    Es gibt einige Einschränkungen in der Forschung. Sie kann nicht die Unterschiede in der Anpassung des Tools, die Raffinesse des menschlichen Teams, das es verwendet, und andere Schichten der Unternehmenssicherheit (wie Firewalls oder Antivirenprogramme) berücksichtigen, die die gleichen Angriffe abfangen oder verhindern können. Nichtsdestotrotz sind die Forscher der Meinung, dass “wir erwarten sollten, dass eine Basissicherheit, wenn alle möglichen Sicherheitsmaßnahmen aktiviert sind, bei den meisten EDRs mehr oder weniger gleich sein sollte.”

    “Außerdem würde man erwarten, dass, selbst wenn der EDR einen Angriff nicht blockieren konnte, er zumindest die Aktionen protokolliert haben sollte, damit man sie später verarbeiten kann”, schreiben die Autoren George Karantzas und Constantinos Patsakis. “Unsere Experimente zeigen jedoch, dass dies oft nicht der Fall ist.”

    Das Team testete seine Angriffe gegen 11 EDR-Produkte von Kaspersky, Crowdstrike, Carbon Black, ESET, F-Secure, McAfee, Sentinel One, Sophos, Symantec, Trend Micro und Windows Defender. Einige schnitten besser oder schlechter ab als andere, aber insgesamt war die Fehlerquote hoch. Von den 20 Angriffen, die das Team startete, war die Hälfte erfolgreich und löste keinen Alarm aus.

    “Es ist ziemlich alarmierend, dass keines der EDRs es geschafft hat, alle Angriffe zu erkennen”, so das Fazit der Studie. “Genauer gesagt waren 10 Angriffe vollständig erfolgreich … und es wurde kein Alarm ausgegeben; drei Angriffe waren erfolgreich, gaben aber einen Alarm mit geringer Signifikanz aus; ein Angriff war nicht erfolgreich, gab aber auch keinen Alarm aus; und sechs Angriffe wurden von den EDRs erkannt und korrekt gemeldet.”

    Die Forscher fanden auch zahlreiche Möglichkeiten, ihren Zugang für Angriffe zu nutzen und die Fähigkeit dieser Tools zur Verarbeitung der erforderlichen Telemetrie zu beeinträchtigen.

    “Das Herz der meisten EDRs liegt im Kernel selbst, da sie Mini-Filter-Treiber zur Steuerung von Dateisystem-Operationen und Callbacks im Allgemeinen nutzen, um Aktivitäten wie die Erstellung von Prozessen und das Laden von Modulen abzufangen. Als Angreifer kann man, sobald eine hohe Integrität erreicht ist, die EDRs auf verschiedene Arten effektiv angreifen [to further evade detection rules]angreifen”, schreiben sie.

    SC Media hat die erwähnten EDR-Anbieter um einen Kommentar zu den Schlussfolgerungen der Studie gebeten und wird diese Geschichte mit den eingegangenen Antworten aktualisieren.

    Die Ergebnisse unterstreichen die Kluft zwischen den marketinggetriebenen Sicherheitsversprechen, die rund um EDR gemacht werden, und den Grenzen eines einzelnen Sicherheitstools. Der Markt für Endpoint Detection and Response-Systeme wird auf ca. 13,7 Mrd. US-Dollar geschätzt und soll bis 2027 auf bis zu 23 Mrd. US-Dollar anwachsen, da immer mehr Unternehmen zu lockeren Remote- oder Bring Your Own Device-Arbeitsrichtlinien übergehen.

    Allie Mellen, eine Analystin bei Forrester, die EDR-Systeme und andere Sicherheitstools bewertet, sagte letzten Monat gegenüber SC Media, dass “Incident-Responder die EDR-Technologie gerne nutzen, um Bedrohungen zu erkennen und darauf zu reagieren”, aber dass “es letztlich andere Quellen der Telemetrie gibt, die sie sowohl für die Erkennung als auch für tiefere Untersuchungen nutzen, wie das Netzwerk.”

    Nick Landers, Director of Research bei der Penetrationstest-Firma NetSPI, sagte gegenüber SC Media, dass es selten ist, dass ein Team oder ein Unternehmen überhaupt Zugang zu einer so großen Bandbreite an EDR-Systemen hat und dass jede Untersuchung, die verschiedene Produkte auf dem EDR-Markt testen und vergleichen kann, an und für sich wertvoll ist.

    Er sagte, dass die in der Studie skizzierten Ergebnisse weitgehend seine Erfahrungen mit Kunden widerspiegeln und dass viele fortschrittliche Bedrohungsakteure im Allgemeinen auf zwei Strategien setzen, um der Erkennung durch EDR-Systeme zu entgehen: die Verwendung völlig einzigartiger oder neuartiger Taktiken, die heuristische Analysen oder Datenalgorithmen vereiteln können, und “generell kein Geräusch machen”, indem sie verstehen, welche Telemetrie EDR-Systeme sammeln und messen.

    “Ich denke, die effektivsten Methoden, die wir sehen, sind diejenigen, bei denen der Angreifer die Daten versteht. [the EDR system is] sammelt und die Generierung dieser Daten gering hält”, sagte er.

    Landers sagte jedoch, dass seine wichtigste Erkenntnis aus der Studie nicht notwendigerweise ist, dass EDR-Produkte minderwertig oder die Kosten nicht wert sind (obwohl er erneut den mangelnden Zugang beklagte, den unabhängige Dritte typischerweise haben, um solche Systeme zu testen), sondern eher eine “konstruktive” Verstärkung der Notwendigkeit von mehreren Sicherheitsebenen, um sicherzustellen, dass ein einzelnes Tool oder ein Prozess nicht zu einem Single Point of Failure wird.

    “Ich denke, dass das Betrachten von Kleinigkeiten und Schuldzuweisungen und der Versuch, spezifische Produkte und ihre spezifischen Fehler zu identifizieren, ein Fehler ist, der zu jedem in der Industrie gehört”, sagte er. “Aber [EDR systems] sind wertvolle Werkzeuge, und obwohl ich vielleicht nicht mit ihrer Strategie oder ihrem Marketing oder ihren Kosten oder ihrem Lizenzmodell oder ihrer Verfügbarkeit einverstanden bin, denke ich, dass sie zu einer Defense-in-Depth-Strategie beitragen, und das ist letztendlich das, wonach wir alle streben sollten.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com