Auf der diesjährigen Security-Konferenz und -Messe it-sa 2021 sprach unter anderem Felix Kestler in seinem Vortrag über die Evolution der Endpunktsicherheit und wie XDR helfen kann, allerlei Gerätschaften vor Angriffen von innen und außen zu schützen.
Stand heute sind nach wie vor Signatur-basierte Sicherheitslösungen im Einsatz, die allerdings sehr viel Wissen voraussetzen, was das Erkennen und Einschätzen von möglichen Bedrohungsszenarien betrifft. Dabei muss der Mensch seinen Beitrag dazu leisten, damit die Maschine überhaupt versteht, ob das Bedrohliche auch wirklich bedrohlich ist. Damit gehört dieses Sicherheitskonzept mehr und mehr der Vergangenheit an.
[irp posts=“168385″ ]
EDR ist die nächste Stufe der Endpunkt-Sicherheit
Im Gegensatz dazu setzt EDR (Endpoint Detection & Response) auf einen ganz neuen Ansatz. Hierbei stehen die Erkenntnisse der Endpunkte selbst im Vordergrund. Dabei werden die Daten von PC und Co. auf einer meist zentralen Instanz gesammelt, analysiert und zu Bewertungszwecken genutzt. Aber auch hier ist eine Menge Wissen hinsichtlich der Gefahren notwendig, die sich aus den gesammelten Daten ableiten lassen.
[irp posts=“158956″ ]
Die Steigerung des Ganzen stellen aktuelle Sicherheitssysteme wie SentinelOne Singularity dar. Dieser Lösung liegt eine leistungsfähige Datenbank zugrunde, in der sämtliche Daten gespeichert werden (die Entwickler dieses Systems sind übrigens für Google Docs verantwortlich). Dieser „Data Lake“ stellt die Grundlage für sämtliche Aktionen dar, die mithilfe von Singularity durchgeführt werden können.
Singularity setzt sich im Wesentlichen aus 5 Modulen zusammen
Das ist zum einen das Modul „Prevention“, das Angriffe auf dem Endgerät selbst erkennt und unmittelbar stoppen kann. Also ohne Verbindung zu einer zentralen Instanz.
Für das zweite Modul „Detect & Response“ hingegen ist eine Internetverbindung erforderlich, da die Daten aus der Datenbank verglichen werden mit bekannten Mustern. Aus den Erkenntnissen dieser Analysearbeit lassen sich dann erforderliche Maßnahmen ableiten.
„Remidiation & Recovery“ wird immer dann aktiv, wenn ein Angriff nicht sofort als solcher interpretiert werden konnte. Dann ist nämlich das Wiederherstellen des Status Quo erforderlich, der vor dem Angriff vorherrschte. So lassen sich ursprüngliche Zustände quasi per Mausklick erreichen.
Hilfreich ist aber auch das Singularity-Modul „Visibility“. Damit können sämtliche Geräte eines Netzwerk identifiziert und darauf überprüft werden, ob sie mit einem passenden Agenten versehen sind.
Mit dem „XDR Automation“ schließlich lässt sich über offene Schnittstellen nahezu jedes beliebige System mit Singularty verbinden.
Das leistet XDR: eXtended Detection & Response
Nach einem kleinen Ausflug in die Welt von MITRE ATT&CK, in der sich SentinelOne respektive Singularity schon eine ganze Weile sehr wohl fühlen, gab es einen Crashkurs in Sachen XDR, also eXtended Detection & Response.
Dahinter steckt im Grunde eine logische Fortführung des EDR-Konzepts. Dabei wird unterschieden zwischen den „Derivaten“ Hybrid-, Open- und Native-XDR, wozu Singularity gezählt wird.
Bei XDR geht es nicht mehr um den klassischen Endpunkt wie einen PC oder Server, sondern um weitere Angriffspunkte. Dazu gehört der E-Mail-Verkehr genauso wie Login-Identitäten, das gesamte Netzwerke, Firewall-Gerätschaften und natürlich die Cloud.
So hilft Singularity von SentinelOne bei aktuellen Bedrohungen
Im Unterschied zu anderen Sicherheitsanbietern setzt SentinelOne mit seinem XDR-Ansatz auf die Kooperation mit anderen Lösungsanbietern. Daher ist Singularity von Haus aus sehr offen gegenüber anderen Sicherheitsplattformen. Die hierfür notwendigen Funktionen und Schnittstellen liegen in vielen Fällen bereits vor, die über den Singularity Marketplace in die jeweilige Security-Plattform integriert werden können.
XDR ist NICHT SIEM bzw. SOAR
Zu guter Letzt war es Felix ein wichtiges Anliegen, eine Unterscheidung zu bekannten Begriffen wie SIEM und SOAR klarzumachen.
