Zum Inhalt springen

IST EIN XDR / EDR VÖLLIG UNNÖTIG ODER SINNVOLL?

Dein XDR oder EDR kannst du vergessen!
Wie kann ein IT-Sicherheitsberater so etwas sagen?

Eines der drängendsten Probleme für viele Unternehmen ist die Unsicherheit darüber, wie wirksam ihre Cybersicherheitsmaßnahmen tatsächlich sind.

Aktuell setzen alle Hersteller auf XDR- oder EDR-Lösungen, aber was ist das?

EDR steht für Endpoint Detection and Response, was bedeutet, dass bei einem alarmierenden Ereignis an einem Client Maßnahmen ergriffen werden, wie z.B. die Isolierung des betroffenen Rechners.

XDR steht für Extended Detection and Response, was bedeutet, dass Alarme aus verschiedenen Systemen wie Firewalls, AD-Servern und Clients ausgewertet werden, um daraufhin entsprechende Maßnahmen zu ergreifen. Zum Beispiel wird ein SOC-Team informiert, das die Angelegenheit untersucht.

Die Systeme haben zwei Probleme:

„Shit in / Shit out! Das bedeutet, wenn ich schlechte Daten auswerte, kommen auch falsche Alarme heraus.

Die Agenten laufen mit sehr hohen Rechten auf den Systemen. Wenn es einem Angreifer gelingt, den Agenten zu übernehmen, hat er freie Fahrt. Dies wurde bereits in Pentests nachgewiesen, jedoch vom Agenten nicht gemeldet oder bemerkt.

Die Versprechungen der Hersteller, dass ihre Lösungen einen 100%igen Schutz bieten, sind irreführend.“ Cyber-Angriffe sind ein allgemeines Risiko, und es gibt keine Wunderlösung, die sie vollständig ausschalten kann.

Die Unternehmen müssen versuchen, es Angreifern so schwer wie möglich zu machen.
Die große Herausforderung besteht darin, sinnvolle Sicherheitsmaßnahmen von bloßem Marketing zu unterscheiden.

Meine Erfahrung zeigt, dass oft die Basissicherheit nicht sauber implementiert ist. Viele veraltete oder unsichere Konfigurationen werden immer noch verwendet.

Der Versuch, Angriffe durch zusätzliche Techniken und vor allem durch Detektion (u.a. XDR/EDR o. Threat Hunting) zu erkennen, führt oft zu einem Problem:

Aufgrund der schlechten Konfiguration der Basisinfrastruktur müssen zu viele Daten analysiert werden, was zu False Positives (falschen Erkennungen) führt.

Andernfalls werden zu viele Elemente freigeschaltet (Safe Listing), was wiederum keinen Alarm auslöst und dem Angreifer viele Möglichkeiten bietet, unentdeckt zu bleiben.

Das Ergebnis sind viele Alarme, die irgendwann ignoriert werden.

Habe ich ein gutes Administrationskonzept im Unternehmen und nur zwei administrative Benutzer, die ich aber nur selten benutze, werden die Alarme seltener, aber dafür umso eindeutiger.

Ein weiteres Thema ist der Umgang mit den generierten Meldungen – was muss ich im Alarmfall tun?

Detektion und Alarmierung ist eine Sache! Aber was passiert dann?

Hast Du ein Playbook für solche Szenarien und weißt, was die ersten Schritte sind, um angemessen auf solche Meldungen zu reagieren?

Zuerst schwimmen lernen, bevor ich vom 10 Meter Brett springe.

Zieht erst eure Infrastruktur und euer administratives Konzept glatt, damit ist die Grundlage einer sinnvollen Alarmierung gegeben.

Danach könnt Ihr Detektionssysteme wie XDR, EDR oder Threat Hunting implementieren.

Wer mit der Basisabsicherung anfangen möchte, findet hier VERMEIDE DIESE 3 DINGE IN DEINEM ACTIVE DIRECTORY!

Du brauchst Hilfe deine Infrastruktur auf solche Detektionssysteme vorzubereiten: Termin buchen

WordPress Cookie Plugin von Real Cookie Banner