{"id":2441,"date":"2024-07-25T14:35:45","date_gmt":"2024-07-25T12:35:45","guid":{"rendered":"https:\/\/it-news-blog.com\/?p=2441"},"modified":"2024-08-01T23:07:06","modified_gmt":"2024-08-01T21:07:06","slug":"umgehung-von-edr-xdr-systemen-durch-angreifer-und-effektive-gegenmassnahmen","status":"publish","type":"post","link":"https:\/\/it-news-blog.com\/?p=2441","title":{"rendered":"Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen"},"content":{"rendered":"<div class=\"flex flex-grow flex-col max-w-full gap-3 gizmo:gap-0\">\n<div class=\"min-h-[20px] text-message flex flex-col items-start gap-3 whitespace-pre-wrap break-words [.text-message+&amp;]:mt-5 overflow-x-auto\" data-message-author-role=\"assistant\" data-message-id=\"9def986e-f1c5-490e-9e6c-65421d44a972\">\n<div class=\"markdown prose w-full break-words dark:prose-invert light\">\n<p><strong>Angreifer sind darauf spezialisiert, Ihre EDR- (Endpoint Detection and Response) und XDR- (Extended Detection and Response) Systeme zu umgehen. Hier wird beschrieben, wie sie dies an drei wesentlichen Punkten tun k\u00f6nnen: Beobachtung, Erkennung und Reaktion sowie Pr\u00e4vention.<\/strong><\/p>\n<p>&nbsp;<\/p>\n<p><strong>1. Wie Angreifer XDR bei der Beobachtung umgehen<\/strong><\/p>\n<p>Ein XDR-System sammelt Ereignisse aus verschiedenen Quellen wie Endpunktsystemen oder Cloud-Diensten. Diese Ereignisse, auch Telemetrie genannt, bilden die Grundlage f\u00fcr Erkennungen. Angreifer umgehen das XDR-System auf folgende Weisen:<\/p>\n<ul>\n<li><strong>Fehlende Telemetrie:<\/strong> Wenn ein XDR-System keine relevanten Ereignisse erh\u00e4lt, kann es keine Bedrohungen erkennen. Dies kann passieren, wenn Angreifer Aktionen ausf\u00fchren, die keine n\u00fctzlichen Ereignisse erzeugen, oder wenn bestimmte Ereignisquellen fehlen.<\/li>\n<li><strong>Nicht genutzte Telemetrie:<\/strong> Manchmal wird die von einem System erzeugte Telemetrie nicht vom XDR-System genutzt. Dies kann aufgrund von Entscheidungen der Anbieter oder einer unzureichenden Auswahl der Ereignisquellen geschehen.<\/li>\n<li><strong>Manipulation des Agents:<\/strong> Angreifer k\u00f6nnen auch aktiv den XDR-Agenten st\u00f6ren, indem sie ihn stoppen, deinstallieren oder die Kommunikation blockieren.<\/li>\n<\/ul>\n<p><strong>L\u00f6sungen:<\/strong><\/p>\n<ul>\n<li><strong>Anbieterabh\u00e4ngig:<\/strong> Der Anbieter muss neue Telemetriequellen hinzuf\u00fcgen oder bestehende erweitern, um diese L\u00fccken zu schlie\u00dfen.<\/li>\n<li><strong>Anti-Tampering-Ma\u00dfnahmen:<\/strong> Der Anbieter sollte Ma\u00dfnahmen implementieren, um Manipulationen zu verhindern und zu erkennen.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>2. Wie Angreifer XDR bei der Erkennung umgehen<\/strong><\/p>\n<p>Hier geht es um die Umgehung der Erkennung durch fehlerhafte Logik in den XDR-Systemen:<\/p>\n<ul>\n<li><strong>Pr\u00e4zise Erkennungen:<\/strong> Diese sind oft zu spezifisch und daher anf\u00e4llig f\u00fcr Umgehungen. Zum Beispiel kann ein Angreifer die Argumente eines Tools wie Mimikatz \u00e4ndern, um die Erkennung zu umgehen.<\/li>\n<li><strong>Robuste Erkennungen:<\/strong> Diese sind weniger anf\u00e4llig, k\u00f6nnen aber zu vielen Fehlalarmen f\u00fchren. Exklusionen, wie das Ausschlie\u00dfen des Prozesses &#8222;GoogleUpdate.exe&#8220; von bestimmten Erkennungen, k\u00f6nnen von Angreifern ausgenutzt werden.<\/li>\n<\/ul>\n<p><strong>L\u00f6sungen:<\/strong><\/p>\n<ul>\n<li><strong>Erkennungsl\u00fccken schlie\u00dfen:<\/strong> Erkennen und Beheben der logischen L\u00fccken in den Erkennungsregeln.<\/li>\n<li><strong>Kontinuierliche Anpassung:<\/strong> Regelm\u00e4\u00dfige Anpassung und Feinabstimmung der Erkennungskriterien.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>3. Wie Angreifer XDR bei Reaktion und Pr\u00e4vention umgehen<\/strong><\/p>\n<p>Dies betrifft die Fehler im Reaktionsprozess nach einer Erkennung:<\/p>\n<ul>\n<li><strong>Triage-Fehler:<\/strong> Ein Analyst k\u00f6nnte einen echten Alarm f\u00e4lschlicherweise als falsch positiv einstufen, was zu einer verpassten Bedrohung f\u00fchren kann.<\/li>\n<li><strong>Unzureichende Untersuchung:<\/strong> Bei der Untersuchung k\u00f6nnten wichtige Beweise fehlen, wenn der Angreifer vorzeitig Daten entfernt oder Techniken verwendet, die dem Analysten unbekannt sind.<\/li>\n<li><strong>Fehlgeschlagene Reaktion:<\/strong> Unzureichende oder unvollst\u00e4ndige Entfernung des Angreifers kann dazu f\u00fchren, dass dieser weiterhin im System verbleibt.<\/li>\n<\/ul>\n<p><strong>L\u00f6sungen:<\/strong><\/p>\n<ul>\n<li><strong>Fehlalarme reduzieren:<\/strong> Management von Alarmm\u00fcdigkeit und bessere Dokumentation und Schulung f\u00fcr Analysten.<\/li>\n<li><strong>Starke Prozesse:<\/strong> Etablierung und \u00dcbung solider Reaktionsprozesse sowie vollst\u00e4ndige Identifizierung und Eradikation des Angreifers.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Ein detailliertes Verst\u00e4ndnis davon, wie Angreifer Ihr XDR-System umgehen k\u00f6nnen, hilft dabei, die Schwachstellen in Ihrem Sicherheitsansatz zu erkennen und gezielte Verbesserungen vorzunehmen. Identifizieren Sie, ob das Problem bei der Beobachtung, Erkennung oder Reaktion liegt und arbeiten Sie kontinuierlich daran, die entsprechenden Komponenten zu optimieren.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<p>&nbsp;<\/p>\n<p><strong>Matthias A. Walter,<\/strong> <a href=\"http:\/\/www.tec4net.com\" target=\"_blank\" rel=\"noopener noreferrer\">http:\/\/www.tec4net.com<\/a><\/p>\n<div>\n<p>EDV-Sachverst\u00e4ndiger und Datenschutzauditor<\/p>\n<\/div>\n<hr \/>\n<p><strong>Quellen und Links:<\/strong><\/p>\n<p>tec4net Portfolie zum Thema IT-Sicherheit<strong><br \/>\n<\/strong><a href=\"https:\/\/www.tec4net.com\/web\/it-security\">https:\/\/www.tec4net.com\/web\/it-security<\/a><strong><br \/>\n<\/strong><\/p>\n<p>tec4net Portfolie zum Thema Datenschutz<br \/>\n<a href=\"https:\/\/www.tec4net.com\/web\/datenschutz\">https:\/\/www.tec4net.com\/web\/datenschutz<\/a><\/p>\n<hr \/>\n<p><strong>tec4net &#8211; Datenschutz und IT-Sicherheit praktikabel umsetzen<br \/>\n<\/strong>Wir beraten und auditieren <span data-qa=\"post-content-truncated-message\">DSGVO und BDSG sowie die Normen ISO\/IEC 27001, TISAX und PCI-DSS.<\/span><\/p>\n<p>&nbsp;<\/p>\n<p><a href=\"https:\/\/www.tec4net.com\">www.tec4net.com<\/a> \u2013 <a href=\"https:\/\/www.it-news-blog.com\">www.it-news-blog.com<\/a> \u2013 <a href=\"https:\/\/www.it-sachverstand.info\">www.it-sachverstand.info<\/a> \u2013 <a href=\"https:\/\/www.datenschutz-muenchen.com\">www.datenschutz-muenchen.com<\/a><\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Angreifer sind darauf spezialisiert, Ihre EDR- (Endpoint Detection and Response) und XDR- (Extended Detection and Response) Systeme zu umgehen. Hier wird beschrieben, wie sie dies an drei wesentlichen Punkten tun k\u00f6nnen: Beobachtung, Erkennung und Reaktion sowie Pr\u00e4vention.<\/p>\n","protected":false},"author":2,"featured_media":1317,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[540,544,539,538,541,542,543],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v21.7 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen - IT-NEWS-BLOG<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/it-news-blog.com\/?p=2441\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen - IT-NEWS-BLOG\" \/>\n<meta property=\"og:description\" content=\"Angreifer sind darauf spezialisiert, Ihre EDR- (Endpoint Detection and Response) und XDR- (Extended Detection and Response) Systeme zu umgehen. Hier wird beschrieben, wie sie dies an drei wesentlichen Punkten tun k\u00f6nnen: Beobachtung, Erkennung und Reaktion sowie Pr\u00e4vention.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/it-news-blog.com\/?p=2441\" \/>\n<meta property=\"og:site_name\" content=\"IT-NEWS-BLOG\" \/>\n<meta property=\"article:published_time\" content=\"2024-07-25T12:35:45+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-08-01T21:07:06+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/it-news-blog.com\/wp-content\/uploads\/2010\/10\/tec4net_datentransfer.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"960\" \/>\n\t<meta property=\"og:image:height\" content=\"400\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Matthias Walter\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Matthias Walter\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"3\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/it-news-blog.com\/?p=2441\",\"url\":\"https:\/\/it-news-blog.com\/?p=2441\",\"name\":\"Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen - IT-NEWS-BLOG\",\"isPartOf\":{\"@id\":\"https:\/\/it-news-blog.com\/#website\"},\"datePublished\":\"2024-07-25T12:35:45+00:00\",\"dateModified\":\"2024-08-01T21:07:06+00:00\",\"author\":{\"@id\":\"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc\"},\"breadcrumb\":{\"@id\":\"https:\/\/it-news-blog.com\/?p=2441#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/it-news-blog.com\/?p=2441\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/it-news-blog.com\/?p=2441#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/it-news-blog.com\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/it-news-blog.com\/#website\",\"url\":\"https:\/\/it-news-blog.com\/\",\"name\":\"IT-NEWS-BLOG\",\"description\":\"Ein Service der tec4net GmbH\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/it-news-blog.com\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc\",\"name\":\"Matthias Walter\",\"sameAs\":[\"https:\/\/tec4net.com\"],\"url\":\"https:\/\/it-news-blog.com\/?author=2\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen - IT-NEWS-BLOG","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/it-news-blog.com\/?p=2441","og_locale":"de_DE","og_type":"article","og_title":"Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen - IT-NEWS-BLOG","og_description":"Angreifer sind darauf spezialisiert, Ihre EDR- (Endpoint Detection and Response) und XDR- (Extended Detection and Response) Systeme zu umgehen. Hier wird beschrieben, wie sie dies an drei wesentlichen Punkten tun k\u00f6nnen: Beobachtung, Erkennung und Reaktion sowie Pr\u00e4vention.","og_url":"https:\/\/it-news-blog.com\/?p=2441","og_site_name":"IT-NEWS-BLOG","article_published_time":"2024-07-25T12:35:45+00:00","article_modified_time":"2024-08-01T21:07:06+00:00","og_image":[{"width":960,"height":400,"url":"https:\/\/it-news-blog.com\/wp-content\/uploads\/2010\/10\/tec4net_datentransfer.jpg","type":"image\/jpeg"}],"author":"Matthias Walter","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Matthias Walter","Gesch\u00e4tzte Lesezeit":"3\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/it-news-blog.com\/?p=2441","url":"https:\/\/it-news-blog.com\/?p=2441","name":"Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen - IT-NEWS-BLOG","isPartOf":{"@id":"https:\/\/it-news-blog.com\/#website"},"datePublished":"2024-07-25T12:35:45+00:00","dateModified":"2024-08-01T21:07:06+00:00","author":{"@id":"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc"},"breadcrumb":{"@id":"https:\/\/it-news-blog.com\/?p=2441#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/it-news-blog.com\/?p=2441"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/it-news-blog.com\/?p=2441#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/it-news-blog.com\/"},{"@type":"ListItem","position":2,"name":"Umgehung von EDR\/XDR-Systemen durch Angreifer und effektive Gegenma\u00dfnahmen"}]},{"@type":"WebSite","@id":"https:\/\/it-news-blog.com\/#website","url":"https:\/\/it-news-blog.com\/","name":"IT-NEWS-BLOG","description":"Ein Service der tec4net GmbH","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/it-news-blog.com\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"de"},{"@type":"Person","@id":"https:\/\/it-news-blog.com\/#\/schema\/person\/e0c100c6b645f34e659beeb06e2295fc","name":"Matthias Walter","sameAs":["https:\/\/tec4net.com"],"url":"https:\/\/it-news-blog.com\/?author=2"}]}},"_links":{"self":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2441"}],"collection":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2441"}],"version-history":[{"count":8,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2441\/revisions"}],"predecessor-version":[{"id":2460,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/posts\/2441\/revisions\/2460"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=\/wp\/v2\/media\/1317"}],"wp:attachment":[{"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2441"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2441"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/it-news-blog.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2441"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}