Cynet 360: Die nÀchste Generation von EDR

Cynet 360: Die nÀchste Generation von EDR

Viele Unternehmen betrachten Endpoint Detection and Response (EDR) als ihren primĂ€ren Schutz vor Sicherheitsverletzungen. EDR als Kategorie erschien 2012 und wurde schnell als die beste Antwort auf die zahlreichen Bedrohungen erkannt, die die Ă€ltere Version von AV erfolglos zu bekĂ€mpfen versucht – Exploits, Zero-Day-Malware und dateilose Angriffe sind herausragende Beispiele.

WĂ€hrend es keinen Streit ĂŒber die Wirksamkeit von EDR gegen einen Großteil der heutigen fortschrittlichen Bedrohungen gibt, gibt es jetzt eine neue Reihe von EDR-Lösungen der nĂ€chsten Generation (mehr dazu hier), die zusĂ€tzlich zu all ihren EDR-Funktionen ĂŒber den Schutz vor sichtbaren Angriffsvektoren hinausgehen, deren EDR schließt aus, z. B. solche, an denen Benutzer und Netzwerke beteiligt sind.

“Viele Menschen kombinieren unwissentlich zwei verschiedene Dinge – Endpunktschutz und Manipulationsschutz”, erklĂ€rte Eyal Gruner, MitbegrĂŒnder von Cynet (EDR-Lösung der nĂ€chsten Generation).

„Es stimmt, dass viele Angriffe am Endpunkt beginnen und schĂ€dliche Dateien und Prozesse beinhalten, was EDR zu einer idealen Endpunktlösung macht. Die tatsĂ€chliche AngriffsflĂ€che ist jedoch viel breiter, und am Ende sind es nicht die Endpunkte, die Sie schĂŒtzen möchten – es ist Ihre Organisation. “”

Gruner, ein ehemaliger White-Hat-Hacker (seit 15 Jahren), grĂŒndete auch BugSec, Israels grĂ¶ĂŸtes Beratungsunternehmen fĂŒr Cybersicherheit. Heute ist er ein international anerkannter Experte fĂŒr Angriffswerkzeuge, -techniken und -praktiken.

“Stellen Sie sich das so vor: Per Definition verursacht die AktivitĂ€t eines Angreifers eine Anomalie. Dies ist nur deshalb sinnvoll, weil das, was wir als “normales Verhalten” betrachten, keine Kompromisse bei den Ressourcen und den Diebstahl von Daten beinhaltet. Diese Anomalien sind ein Anker, der es Sicherheitsprodukten – oder Bedrohungsanalysten in dieser Angelegenheit – ermöglicht, zu erkennen, dass etwas nicht stimmt, und es zu blockieren. “

Laut Gruner können sich diese Anomalien an drei grundlegenden Stellen manifestieren: ProzessausfĂŒhrung, Netzwerkverkehr oder BenutzeraktivitĂ€t. Beispielsweise generiert Ransomware eine ProzessausfĂŒhrungsanomalie, da ein Prozess versucht, mit einer großen Anzahl von Dateien zu interagieren.

Andererseits beinhalten viele Arten von seitlichem Verkehr die Anomalie des Netzwerkverkehrs von ungewöhnlich großem SMB-Verkehr. Wenn sich ein Angreifer mit gefĂ€hrdeten Anmeldeinformationen fĂŒr Benutzerkonten bei einem kritischen Server anmeldet, ist die einzige Anomalie das Benutzerverhalten. In beiden FĂ€llen kann der Angriff nicht allein durch die Überwachungsprozesse aufgedeckt werden.

“EDR ist ein hervorragendes Angriffsinstrument, das anhand von Prozessanomalien identifiziert werden kann”, sagte Gruner. „Es befindet sich am Endpunkt und ĂŒberwacht das Verhalten des Prozesses, sodass Sie vor dieser Gruppe von Bedrohungen angemessen geschĂŒtzt sind. Aber was ist mit dem Rest? Es gibt viele Mainstream-Vektoren, die auf den Netzwerkverkehr und das Benutzerverhalten einwirken, ohne die geringste Prozessanomalie zu verursachen, und EDR ist fĂŒr diese Bedrohungen praktisch blind. “

EDR der nÀchsten Generation
EDR der nÀchsten Generation Erkennung böswilliger AktivitÀten in Endpunkten, Netzwerken und Benutzern

Um das Problem besser zu verstehen, schlĂŒpfen wir in die Lage des Angreifers. Es gelang ihm, den Endpunkt zu gefĂ€hrden, und er berechnet nun seinen Weg in die Umgebung, um auf vertrauliche Daten zuzugreifen und diese dann zu extrahieren. Es gibt mehrere Schritte, die Sie ausfĂŒhren mĂŒssen, um diese Aufgabe abzuschließen. Nehmen wir als Beispiel eines – den Diebstahl von Anmeldeinformationen.

FĂŒr den Zugriff auf Ressourcen in der Umgebung sind hochprivilegierte Anmeldeinformationen erforderlich. Ein Angreifer könnte versuchen, sie aus dem Speicher des betroffenen Endpunkts zu sichern. Der EDR wĂŒrde dies wahrscheinlich erfassen, da dies zu einer Anomalie des Prozesses fĂŒhren wĂŒrde.

Kennwort-Hashes können jedoch auch durch Abfangen des internen Netzwerkverkehrs (mithilfe von Techniken wie ARP-Vergiftung oder DNS-Antwort) erfasst werden, der nur durch Überwachen von Netzwerkverkehrsanomalien identifiziert werden kann – und EDR wĂŒrde ihn vollstĂ€ndig ĂŒbersehen.

“Nach meiner Erfahrung neigen Angreifer, die gut in ihrer Arbeit sind, dazu, schnell herauszufinden, welche AbwehrkrĂ€fte vorhanden sind, und entsprechend zu handeln”, sagte Gruner. “Wenn es eine gute EDR gibt, werden sie ihre Techniken in Benutzernetzwerke und Felder einbringen und unter EDR frei laufen.”

„Wenn Sie also einen Sicherheitsstapel benötigen, der Sie nur vor prozessbasierten Angriffen wie Malware, Exploits usw. schĂŒtzt, kann EDR Schutz bieten. Wenn Sie Schutz vor VerstĂ¶ĂŸen suchen, mĂŒssen Sie: viel mehr darĂŒber nachdenken – deshalb haben wir Cynet 360 entwickelt. “

Cynet 360 ĂŒberwacht stĂ€ndig Prozesse, Netzwerkverkehr und BenutzeraktivitĂ€ten und stellt so die vollstĂ€ndige Abdeckung der Angriffsmethoden sicher, die in den heutigen fortgeschrittenen Angriffen verwendet werden. Dies bedeutet im Wesentlichen alle EDR-Funktionen, die in User Behavior Analytics und Network Analytics erweitert und integriert sind und durch eine solide TĂ€uschungsschicht ergĂ€nzt werden, mit der Bediener TĂ€uschungsdatendateien, Kennwörter, Netzwerkfreigaben usw. platzieren und Angreifer dazu verleiten können, ihre Anwesenheit zu locken.

Cynet bietet jedoch viel mehr als nur einen inkrementellen Wert. Gruner sagt: “Es geht nicht nur um Prozessbedrohungen plus Netzwerkbedrohungen plus Benutzerbedrohungen.” Je fortgeschrittener der Angreifer ist, desto besser verbirgt er seine PrĂ€senz und AktivitĂ€t. Es gibt also viele Angriffe, die unsichtbar sind, wenn Sie nur Prozesse, Datenverkehr oder Benutzerverhalten betrachten. “

„Nur wenn Sie diese Signale kombinieren, um einen Kontext zu erstellen, können Sie feststellen, dass etwas Bösartiges vor sich geht. Cynet 360 automatisiert die Erstellung dieses Kontexts, um viele Bedrohungen aufzudecken, die sonst unsichtbar wĂ€ren. “

EDR der nÀchsten Generation
EDR der nÀchsten Generation bietet vollstÀndige Sichtbarkeit aller Bedrohungen

Gruner fasst zusammen: „Keine Sicherheit ist 100%, aber Sie mĂŒssen auf allen Hauptstraßen Wachen haben. Können Angreifer sie umgehen? Ich denke, die Antwort lautet ja, wenn sie ausreichend qualifiziert, entschlossen und einfallsreich sind. Wenn Sie jedoch alle wichtigen Anomaliepfade ĂŒberwachen, werden sie gezwungen, wirklich hart zu arbeiten – mehr als die meisten von ihnen möchten “, fĂŒgte Gruner hinzu.

„EDR ist eine erstaunliche Sache und deshalb bietet Cynet 360 alle Möglichkeiten – und noch mehr. EDR allein reicht nicht aus, um sich vor LĂ€rm zu schĂŒtzen. Deshalb haben wir den Rest dem Cynet 360 ĂŒbergeben. “

Erfahren Sie hier mehr ĂŒber EDR der nĂ€chsten Generation.