Angreifer sind darauf spezialisiert, Ihre EDR- (Endpoint Detection and Response) und XDR- (Extended Detection and Response) Systeme zu umgehen. Hier wird beschrieben, wie sie dies an drei wesentlichen Punkten tun können: Beobachtung, Erkennung und Reaktion sowie Prävention.
1. Wie Angreifer XDR bei der Beobachtung umgehen
Ein XDR-System sammelt Ereignisse aus verschiedenen Quellen wie Endpunktsystemen oder Cloud-Diensten. Diese Ereignisse, auch Telemetrie genannt, bilden die Grundlage für Erkennungen. Angreifer umgehen das XDR-System auf folgende Weisen:
- Fehlende Telemetrie: Wenn ein XDR-System keine relevanten Ereignisse erhält, kann es keine Bedrohungen erkennen. Dies kann passieren, wenn Angreifer Aktionen ausführen, die keine nützlichen Ereignisse erzeugen, oder wenn bestimmte Ereignisquellen fehlen.
- Nicht genutzte Telemetrie: Manchmal wird die von einem System erzeugte Telemetrie nicht vom XDR-System genutzt. Dies kann aufgrund von Entscheidungen der Anbieter oder einer unzureichenden Auswahl der Ereignisquellen geschehen.
- Manipulation des Agents: Angreifer können auch aktiv den XDR-Agenten stören, indem sie ihn stoppen, deinstallieren oder die Kommunikation blockieren.
Lösungen:
- Anbieterabhängig: Der Anbieter muss neue Telemetriequellen hinzufügen oder bestehende erweitern, um diese Lücken zu schließen.
- Anti-Tampering-Maßnahmen: Der Anbieter sollte Maßnahmen implementieren, um Manipulationen zu verhindern und zu erkennen.
2. Wie Angreifer XDR bei der Erkennung umgehen
Hier geht es um die Umgehung der Erkennung durch fehlerhafte Logik in den XDR-Systemen:
- Präzise Erkennungen: Diese sind oft zu spezifisch und daher anfällig für Umgehungen. Zum Beispiel kann ein Angreifer die Argumente eines Tools wie Mimikatz ändern, um die Erkennung zu umgehen.
- Robuste Erkennungen: Diese sind weniger anfällig, können aber zu vielen Fehlalarmen führen. Exklusionen, wie das Ausschließen des Prozesses „GoogleUpdate.exe“ von bestimmten Erkennungen, können von Angreifern ausgenutzt werden.
Lösungen:
- Erkennungslücken schließen: Erkennen und Beheben der logischen Lücken in den Erkennungsregeln.
- Kontinuierliche Anpassung: Regelmäßige Anpassung und Feinabstimmung der Erkennungskriterien.
3. Wie Angreifer XDR bei Reaktion und Prävention umgehen
Dies betrifft die Fehler im Reaktionsprozess nach einer Erkennung:
- Triage-Fehler: Ein Analyst könnte einen echten Alarm fälschlicherweise als falsch positiv einstufen, was zu einer verpassten Bedrohung führen kann.
- Unzureichende Untersuchung: Bei der Untersuchung könnten wichtige Beweise fehlen, wenn der Angreifer vorzeitig Daten entfernt oder Techniken verwendet, die dem Analysten unbekannt sind.
- Fehlgeschlagene Reaktion: Unzureichende oder unvollständige Entfernung des Angreifers kann dazu führen, dass dieser weiterhin im System verbleibt.
Lösungen:
- Fehlalarme reduzieren: Management von Alarmmüdigkeit und bessere Dokumentation und Schulung für Analysten.
- Starke Prozesse: Etablierung und Übung solider Reaktionsprozesse sowie vollständige Identifizierung und Eradikation des Angreifers.
Ein detailliertes Verständnis davon, wie Angreifer Ihr XDR-System umgehen können, hilft dabei, die Schwachstellen in Ihrem Sicherheitsansatz zu erkennen und gezielte Verbesserungen vorzunehmen. Identifizieren Sie, ob das Problem bei der Beobachtung, Erkennung oder Reaktion liegt und arbeiten Sie kontinuierlich daran, die entsprechenden Komponenten zu optimieren.