SentinelOne Security ABC, Folge 1: Von “Active EDR bis “Detection & Response”

geschätzter Leseaufwand: 4 Minuten

Mit diesem Blogbeitrag starte ich für SentinelOne das ultimative Security-ABC. Darin will ich oft benutzte, aber selten erklärte Begriffe meinen Leser*innen anschaulich und auch ein wenig unterhaltsam näher bringen. Für noch mehr Unterhaltung sorge ich dann gemeinsam mit Matthias Canisius von SentinelOne im Podcast-Format.

Los geht es heute mit den ersten acht Begriffen, von “Active EDR” bis “Detection & Response”. Viel Spaß beim Schmökern!

Active EDR: Intelligentes Aufspüren von Malware

In Zeiten von Maze, GandCrab, Ryuk, REvil, Snake und wie sie alle heißen, ist das herkömmliche EDR(Endpoint Detection & Response) zum Aufspüren und Verstehen von Malware leider nicht mehr genug. An dieser Stelle kommt das Thema Active EDR ins Spiel. Damit stehen jedem Endpunkt diverse Mechanismen zur Verfügung, die beim Aufspüren von Malware helfen sollen. Dazu gehören Tools und Maßnahmen wie Echtzeitanalysen, Datenkorrelationen und die Intervention direkt auf dem Endpoint.

APT (Advanced Persistent Threat): Gezielte Angriffe auf bestimmte Ziele

Mit der ins Deutsche übersetzten “Fortgeschrittenen andauernden Bedrohung” sind solche Angriffe gemeint, die bestimmte Personen(kreise) betreffen. Dahinter stecken meist klar definierte Absichten und soll bestimmte Schäden verursachen. Diese speziellen Attacken werden bestimmten Gruppen zugeordnet, die sich APT28 oder AT29 nennen. Gerade diese beiden Hackergruppen werden die Angriffe auf den Deutschen Bundestag (2015) und das DNC (Democratic National Committee) während der Präsidentschaftswahl 2016 zugeordnet.

Behavioral AI: In “Good” und “Bad” unterscheiden können

Die Künstliche Intelligenz zu unterstützenden Zwecken in Security-Lösungen einzusetzen, das ist nicht wirklich neu. Das Besondere an Behavioral AI ist allerdings, dass sie auch solchen bösen Buben auf die Schliche kommt, die vorgeben, sich in bester Absicht Zugriff zum Netzwerk oder auf einen bestimmten Rechner verschafft zu haben. Der Trick hierbei ist so simpel wie effektiv: Die vermeintlich “gute” Software wird isoliert und solange analysiert, bis feststeht, ob sie “good” oder “bad”ist, also gut oder böse. Und das macht Behavioral AI so stark.

Empfehlung >>  Cloud-Daten bestmöglich geschützt und komfortabel austauschen via Tresorit

Brute Force via RDP: unerlaubten Zugang via Internet erlangen

RDP- (oder Remote Desktop Protocol-)Verbindungen kommen immer da zum Einsatz, wo IT-Admins aus der Ferne Zugriff auf Mitarbeiter-Rechner oder Firmenserver erlangen wollen. Und da diese virtuellen Verbindungen oft recht ungeschützt sind, machen sich Hacker einen großen Spaß draus, mithilfe sogenannter Brute-Force-Angriffe Zugang zu fremden Rechnern zu erlangen, um dort Schaden anzurichten. Hierfür probieren die Angreifer solange beliebige Kombinationen von Benutzernamen und Kennwörtern aus, bis sie eine passende Kombi gefunden haben.

Containment: Infizierte Rechner isolieren und analysieren

Die Herausforderung im Falle eines Hacker-Angriffs besteht darin, trotz der Infektion die betroffenen Rechner nicht automatisch auszuschalten, um so größeren Schaden von ihnen abwehren zu können. Beim Containment wird genau diesem Gedanken entsprochen: Die infizierten Endpunkte werden lediglich vom Rest des Netzwerks isoliert, indem sämtliche Kommunikationswege “gekappt” werden. Dann sind die angegriffenen Rechner weiterhin erreichbar und können so schnellstmöglich analysiert werden. Denn der nächste Angriff kommt bestimmt.

CryptoLocker: Dateien verschlüsseln + Geld erpressen

Eine scheinbar harmlose E-Mail mit einem scheinbar harmlosen Anhang, der von einem unvorsichtigen Anwender geöffnet wird – und schon landet die CryptoLocker-Malware auf dem Rechner des Benutzers. Von dort bahnt sich die Schadsoftware ihren Weg durch das gesamte Netzwerk der angegriffenen Firma und verschlüsselt sämtliche Dateien, die ihr in die Quere kommen. Am Ende steht die Aufforderung, eine größere Summe an Bitcoins an den Angreifer zu bezahlen. Andernfalls sind die verschlüsselten Dateien unwiderruflich verloren.

Darknet: Da wo sich Hacker und andere Gesellen tummeln

Das sogenannte Darknet feierte in diesem Jahr seinen zwanzigsten Geburtstag und hat während dieser 20 Jahre nichts an seiner Popularität eingebüßt. Im Gegenteil. Heute tummeln sich auf der dunklen Seite des Internets unter anderem Hacker, die dort ihre “Dienstleistungen” feilbieten und auf diesem meist unentdeckten Weg mit ihren Auftraggebern ins Geschäft kommen. Daher sollten sich die CISOs dieser Welt mit dem Thema Darknet intensiver als bisher beschäftigen. Allein schon der Lernkurve wegen.

Empfehlung >>  Den Apple Mac sicherheitstechnisch entschlüsseln und verstehen

Detection & Response: Aufspüren und Lernen

Vergleicht man (E)DR (Endpoint Detection & Response) mit den herkömmlichen Abwehrmechanismen im Stile eines Virenscanners, wird schnell eines klar: (E)DR schafft zum einen Klarheit über den (vermeintlichen) Hackerangriff und zeigt zum anderen mögliche und notwendige Maßnahmen, die bei künftigen, ähnlichen Hacker-Attacken ergriffen werden sollten. Und genau dafür steht Detection & Reponse: Malware aufspüren und die passenden Antworten finden.

Alle Security-ABC-Beiträge auf einen Blick

SentinelOne Security ABC, Folge 1: Von “Active EDR bis “Detection & Response”

SentinelOne Security-ABC, Folge 2: Von “EPP” (Endpoint Protection Platform) bis “Honeypot”

SentinelOne Security-ABC, Folge 3: Von “Incident Response Policy (IRP)” bis “Kryptotrojaner”

SentinelOne Security-ABC, Folge 4: Von “MITRE ATT&CK” bis “Pyramid of Pain”

SentinelOne Security-ABC, Folge 5: Von “Ransomware-as-a-Service” bis “SOC”

SentinelOne Security ABC, Folge 6: Von “Trojaner” bis “Zero Day Exploit”

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne produziert. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.