Sean Deuby

Da Unternehmen hybride Arbeitsformen und die Digitalisierung annehmen, rücken Endpunkt und Identität immer näher zusammen. Beide Bereiche entwickeln sich weiter, und um das Beste aus dieser Entwicklung zu machen, müssen die Menschen auf beiden Seiten die Kluft überwinden. In einer aktuellen Folge des Podcasts Hybrid Identity Protection spreche ich mit Paul Lanzi, Mitbegründer und COO von Remediant, über diese Entwicklung. Wir erörtern auch, warum die Integration von XDR und Identität ein entscheidender Faktor für moderne Sicherheitsteams ist.

"Aus der Sicht eines Identitätsspezialisten waren Endpunktsicherheit und Serversicherheit in der Vergangenheit immer das Problem eines anderen. Normalerweise gab es nicht viel Interaktion mit den Identitätsteams, aber das ändert sich jetzt. Das Endpunktsicherheitsteam wird bald mit Ihnen sprechen, und Sie müssen darauf vorbereitet sein." -Paul Lanzi, Mitbegründer & COO, Remediant

Verwandte Lektüre

1. Die Buchstabensuppe der Endpunktsicherheit verstehen

Der Cybersicherheitssektor hat nicht zu Unrecht den Ruf, mit Akronymen in einem lächerlichen Ausmaß überladen zu sein. Es handelt sich um eine wahre Buchstabensuppe von Technologien, Prozessen und Systemen. Die beiden, die derzeit wohl am häufigsten verwendet werden, sind EDR und XDR.

Die Grundidee von EDR - die Abkürzung für Endpoint Detection and Response - ist denkbar einfach. Da Malware-Autoren immer schlauer wurden, lernten sie, die signaturbasierte Erkennung zu umgehen und Infektionen zu entwerfen, die sich viel schneller ausbreiten konnten, als Antivirenprogramme sie bewältigen konnten. EDR entstand als mögliche Antwort auf dieses Problem, eine Sicherheitslösung, die in der Lage ist, in einer gesamten Umgebung zu agieren, um Bedrohungsakteure zu stoppen und Bedrohungsdaten zwischen Organisationen zu verbreiten.

XDR, oder Extended Detection and Response, ist eine Weiterentwicklung von EDR. Während sich EDR-Lösungen auf die Sicherheit von Endgeräten konzentrieren, sollen XDR-Lösungen auch andere Teile des Infosec-Stacks abdecken. Da die Technologie noch relativ neu ist, wird sie leider häufig als Marketinginstrument eingesetzt.

"Laut Peter Firstbrook, einem Analysten von Gartner, der sich mit diesem Bereich befasst, werden etwa 80 % der XDR-Lösungen, die in den nächsten Jahren auf den Markt kommen, keine grundlegenden XDR-Funktionen aufweisen", sagt Lanzi. "Er war also verständlicherweise etwas kritisch gegenüber diesen reinen Marketingansätzen für eine neue Produktkategorie. Aber es ist trotzdem etwas dran."

2. Die Grenzen von SOAR

So wie XDR eine Weiterentwicklung von EDR sein soll, soll Security Orchestration, Automation and Response (SOAR) eine Weiterentwicklung von Security Information and Event Management (SIEM) sein. Während sich SIEM weitgehend auf die Erkennung von Ereignissen und die Alarmierung konzentriert, fügt SOAR zumindest theoretisch Fähigkeiten zur Schadensbegrenzung und Reaktion hinzu. Leider sind die meisten Unternehmen aufgrund des immensen technischen Aufwands und des Fachwissens, das für die Implementierung dieser Funktionen erforderlich ist, nicht in der Lage, sie zu realisieren.

"Ich denke, das ist eine gute Hypothese", meint Lanzi. "Wenn Sie eine Lösung integrieren, um auf deren Ereignis-Feeds zuzugreifen, warum sollten Sie dann nicht auch Reaktionsmöglichkeiten hinzufügen? Die Realität sieht so aus, dass viele SOARs dazu verwendet werden, Ereignisse zu sammeln und ähnlich wie SIEMs Alarmierungen auszulösen, aber der Teil der Reaktion erwies sich für alle außer für die größten Unternehmen als sehr schwierig zu implementieren."

"Das ist ein Teil dessen, was XDR versucht, in Angriff zu nehmen", fährt er fort. "Das Versprechen ist, dass Sie diese Reaktionsmaßnahmen als Teil Ihres Infosec-Stacks ergreifen können, aber es wird nicht das Ausmaß an Einspeisung und Entwicklung erfordern, wie es bei einer SOAR-Lösung der Fall wäre. Es ist eine Ein-Klick-Integration im Gegensatz zu einer Implementierung, die ein komplettes Sicherheitsteam erfordert."

3. Die Geschichte wiederholt sich: die Entwicklung von XDR und Identitätsmanagement

Derzeit befindet sich die Integration von XDR und Identitätsmanagement noch in einem frühen Stadium. Nehmen wir an, Ihr Unternehmen verwendet Active Directory und Sie stellen fest, dass das Gerät eines Mitarbeiters kompromittiert wurde. Um zu verhindern, dass Bedrohungsakteure die Anmeldeinformationen dieses Mitarbeiters nutzen, um einen Angriff auszuführen oder sich seitlich im Netzwerk auszubreiten, haben Sie die Möglichkeit, das Konto dieses Mitarbeiters mithilfe von XDR vollständig zu sperren.

Es ist nicht gerade die feinkörnige Kontrolle, die Identitätsspezialisten gewohnt sind, aber laut Lanzi wird diese Funktionalität mit der Zeit kommen, wenn wir mehr Integrationspunkte zwischen XDR-Lösungen, Verzeichnissen und Identitätsspeichern sehen.

"Das ist dasselbe, was wir bei den Reaktionsmaßnahmen für Endgeräte und davor bei der Antivirensoftware gesehen haben", sagt Lanzi. "In den Anfängen der Antivirenlösungen konnten Sie beispielsweise eine infizierte Datei entweder löschen oder sie in Ruhe lassen und ihr freien Lauf lassen. Das hat sich mit der Zeit weiterentwickelt, mit neuen Aktionen wie Quarantäne, Entfernen der Infektion und Beibehaltung der Datei usw. - Lösungen, die differenzierter sind als das einfache Erschlagen der Datei."

"Meine Hypothese ist, dass sich dies in naher Zukunft deutlich beschleunigen wird", fügt er hinzu. "Ich würde sagen, in den nächsten achtzehn bis vierundzwanzig Monaten."

4. Bedrohungsmanagement und das hybride Anwesen

Bei XDR-Lösungen gibt es eine große Varianz in Bezug auf Funktionalität und Einsatzmöglichkeiten. Diese Varianz ist gewollt. Moderne Unternehmens-Ökosysteme sind unglaublich vielfältig. Einige sind ausschließlich vor Ort, andere sind Cloud-basiert und viele sind hybrid.

Was all diese Umgebungen gemeinsam haben, ist der Bedarf an Bedrohungsmanagement und der Wert von Identitätsreaktionsfunktionen in diesem Bereich.

"Wir haben gesehen, dass sich Malware auch über kompromittierte hybride Zugangsdaten verbreitet hat", bemerkt Lanzi. "Es gibt einige großartige Beispiele von Unternehmen, die nicht nur ihre On-Prem-Infrastruktur infiziert haben, sondern auch ihre hybride Infrastruktur. Das Problem der Identitätsverbreitung von Malware besteht für die Cloud genauso wie für die On-Premise-Infrastruktur."

5. Menschen sind die treibende Kraft für XDR und Identitätsintegration

"In der Vergangenheit gab es für Identitätsspezialisten kaum einen Grund, mit Endpunktsicherheitsexperten zusammenzuarbeiten", schließt Lanzi. "Das wird sich ändern - und es ist eine gute Idee, schon im Vorfeld Beziehungen aufzubauen. Ich habe neulich mit jemandem darüber gesprochen, dass ein Großteil der Arbeit, die in Unternehmen geleistet wird, auf informellen Netzwerken beruht und nicht auf formellen Berichtsbeziehungen."

Anders ausgedrückt: XDR steht wahrscheinlich bereits auf der Roadmap Ihres Sicherheitsteams für Endgeräte. Daher ist es wichtig, dass Identitätsexperten jetzt eine Beziehung zu Ihren Kollegen aufbauen - nicht nur, um die Implementierung zu erleichtern. Indem Sie die Kommunikationswege öffnen, können Sie vielleicht auch sicherstellen, dass jede XDR-Lösung, für die sich Ihr Unternehmen entscheidet, effektiv mit Ihrem Identitätsstack zusammenarbeitet.

Traditionell gab es eine große Trennung zwischen Endpunktmanagement und Identitätsmanagement. Aber jeder, der schon einmal im Bereich der Cybersicherheit gearbeitet hat, wird bestätigen, dass Traditionen nicht viel bedeuten. Wir leben in einer Welt, in der selbst die fortschrittlichste Technologie in nur wenigen Jahren veraltet sein kann.

Um in dieser Welt zu gedeihen, müssen wir als Identitätsvermittler den Wandel annehmen - und offen mit denen zusammenarbeiten, die ihn fördern.

Implementieren Sie eine erstklassige ITDR-Lösung als Ergänzung zu XDR

Der Missbrauch von Zugangsdaten ist eine der Hauptmethoden, die Angreifer verwenden, um auf Systeme zuzugreifen und ihre Ziele zu erreichen. Zu den wichtigsten CISO-Prioritäten von Gartner für das Jahr 2022 gehören Identity Threat Detection and Response (ITDR)-Lösungen, die XDR um einen umfassenden Schutz für Identitätssysteme ergänzen können. ITDR wurde kürzlich in Gartners Hype Cycle for Security Operations aufgenommen und ist eine relativ neue Kategorie mit einer Vielzahl von Anbietern und Strategien. Geben Sie ITDR-Lösungen den Vorzug, die den gesamten Lebenszyklus eines Identitätsangriffs abdecken - vor, während und nach dem Angriff.

Gartner betont auch, dass Sie sich auf das Unerwartete vorbereiten müssen. Zum Beispiel werden neue Zero-Day-Angriffe auf AD auftauchen. Die Einbeziehung von AD in das Schwachstellen- und Bedrohungsmanagement Ihres Unternehmens und die Planung der Reaktion auf Vorfälle ist von entscheidender Bedeutung, und es reicht nicht aus, sich auf Präventions- und Erkennungsfunktionen zu verlassen.

Stellen Sie sicher, dass Ihre ITDR-Lösung Angriffe mit automatischer Wiederherstellung eindämmen, bösartige Aktionen rückgängig machen und dem Angreifer einen Schritt voraus sein kann. Im schlimmsten Fall verbessern ITDR-Lösungen, die AD-spezifische Ransomware-Wiederherstellung und forensische Funktionen für die Zeit nach dem Einbruch umfassen, die Cyber-Bereitschaft erheblich.