Der Versprechen klingt zu schön, um wahr zu sein: IT, die sich selbst heilen kann. Wir haben uns das einmal genauer angeschaut und teilen unsere Erkenntnis.
Sysadmins might think endpoints that can fix themselves in the wake of a data loss event or malware attack might sound too good to be true.
aus einem Blogpost von Acronis
Um eines gleich vor weg zu nehmen: IT kann sich nicht selbst heilen – jedenfalls nicht, ohne dass vorher ein paar Parameter definiert werden. Der Rest ist AI und Automation. Und so verlockend die Versprechen der Hersteller sind, so enttäuschend dürfte das Erwachen auf Anwenderseite sein. Wir haben Hersteller gefunden, die viel versprechen und welche, die nicht so viel versprechen und dafür einfach machen. Einen Anbieter stufen wir sogar als gefährlich ein. Wir sagen euch aber auch, wer es besser macht, wem ihr mehr vertrauen könnt und worauf es bei der Auswahl eines geeigneten Anbieters ankommt.
Ein alter Hut
Self-Healing-Mechanismen gibt es seit einigen Jahren im Storage und noch ausgeprägter im Netzwerkbereich. In letzter Zeit beanspruchen diese Funktionalität immer mehr Anbieter von Endpoint Protection. Aber auch für Endpunkte ist das Konzept nicht so ganz neu und es gibt bereits jede Menge Hersteller, die so etwas im Portfolio haben. Technisch handelt es sich um eine KI-gestützte Form der Automatisierung, wie sie mittlerweile jedes EDR-gestützte Device Management in irgendeiner Form beherrscht – ganz einfach ausgedrückt.
Verwenden Sie Software, um Ihre Systeme auf Anomalien zu überwachen, Abhilfestrategien zu definieren und Lösungen als Ansible-Playbooks bereitzustellen.
Red Hat über wie man eine selbstheilende Infrastruktur aufbaut (Quelle: Blogpost)
Selbstverständlich gibt es auch jede Menge Anbieter, die bereits fertige Lösungen im Portfolio haben. Einer davon bettelt gerade besonders um Aufmerksamkeit. Für uns war das ein Grund, genauer hinzuschauen. Im Zuge unserer Recherchen stießen wir auf einige Sicherheitsrisiken. Daher raten wir nicht nur ab, sondern stufen diesen Anbieter zudem als gefährlich ein. Zum Glück gibt es aber auch jede Menge positiver Beispiele.
Was findest du in diesem Artikel:
Betrachten wir zunächst einmal das schwarze Schaf der Branche.
Corporate Spyware 2022
Ein Großteil erfolgreicher Angriffe auf Software-Lieferketten verdankt ihren Durchbruch laut Microsoft:
- Kompromittierte Entwicklungswerkzeuge oder -infrastruktur
- Gestohlene Zertifikate oder schädliche Apps, welche die Identität eines vertrauenswürdigen Herstellers vortäuschen
- Code, der in Hardware- oder Firmwarekomponenten ausgeliefert wird
- vorinstallierte Schadsoftware auf Geräten.
Eigentlich dachten wir, dass in Zeiten angreifbarer Lieferketten, Schwachstellen im Kernel, CPU Sicherheitslücken, kompromittierter Firmware, usw. usf. corporate spyware kein Thema mehr ist. Au contraire! Wir fanden tatsächlich einen Anbieter mit dem Potential, alle vier Angriffsvektoren zu erfüllen. Unser schwarzes Schaf unter allen evaluierten Anbietern ist Absolute Software. Deren Aussagen sind im besten Fall naiv. Unsere Redaktion nennt es eher grob fahrlässig.
Das Killerargument
Auszug aus einer Originalmail des Herstellers: Wir sind jedoch der einzige Anbieter, dessen Agententechnologie äußerst widerstandsfähig ist, da unsere Technologie bereits in über 600 Millionen Geräten von 28 Systemherstellern aus der ganzen Welt eingebettet ist.
Nun ist ja kein Anbieter (hoffentlich!) freiwillig Steigbügelhalter für potentielle Angreifer. Aber dann lasen wir das:
Auszug aus einer Originalmail des Herstellers: Die permanente Präsenz der Technologie wird durch die Vertrauensbasis garantiert, die dadurch entsteht, dass die in die Firmware eingebettete Mikro-Ausführungsdatei von Microsoft signiert ist, wodurch sichergestellt wird, dass ihr beim Start vertraut wird ... Die Binärdateien sind kodiert signiert und stehen auf der weißen Liste aller großen Antiviren- und Anti-Malware-Anbieter.
Was soll da schon schief gehen
Zertifikate sind immer wieder Ziel erfolgreicher Angriffe. Das gilt besonders, wenn man als Anbieter selbst keine Kontrolle über die Root-CA hat und erst recht für so beliebte Ziele wie Microsoft:
- 2019 entdeckten israelische Forscher eine Schwachstelle, die Angreifern Zugriff auf die Schlüssel von über 3.000 Kunden u. a. Coca Cola oder Exxon Mobil verschaffte.
- 2020 entdeckte die NSA einen Fehler in einer Microsoft Windows Standardbibliothek. Damit konnte ein eigentlich ungültiges Zertifikat als gültig gekennzeichnet werden und eine eigentlich nicht vertrauenswürdige Verbindung wird vertrauenswürdig oder ein Softwarepaket bzw. Update erhält den Eindruck, es kommt von einer vertrauenswürdigen Quelle.
- Im Mai 2022 konnten Dienste wegen eines Authentifizierungsfehlers nicht ausgeführt werden.
- Im Juni 2022 wurde publik, dass eine Schwachstelle es einem authentifizierten User mit geringen Benutzerrechten ermöglicht, ein Zertifikat von privilegierten Konten zu nutzen.
- Im Dezember 2022 gab Microsoft bekannt, Schutzmaßnahmen implementiert und Konten gesperrt zu haben, die zur Veröffentlichung bösartiger, vom Windows Hardware Developer Program zertifizierten Treiber verwendet wurden.
Auch Allow-Lists führen immer wieder zu Problemen, indem Angreifer vorgeben, jemand anders zu sein. Selbst ein so renommierter Anbieter wie Palo Alto Networks musste das vor Jahren am eigenen Leib erfahren: Zur Verbesserung der Performance wurden einmal als vertrauenswürdig validierte Anwendungen dauerhaft ohne weitere Prüfung erlaubt. Ratet, wie es weiterging….
Nun ist ja eine Sicherheitsarchitektur immer mehrstufig. Das weiß natürlich auch Absolute.
Die zähe Matrjoschka
Auszug aus einer Originalmail des Herstellers: Führende Systemhersteller integrieren unsere bewährte Technologie werkseitig in einen privilegierten Abschnitt der Firmware ihrer Geräte. Die eingebettete ausführbare Mikrodatei auf Firmware-Ebene macht das System widerstandsfähig gegen menschliches Versagen, böswillige Handlungen, Softwarekollisionen und normalen Verfall.
Allein bei HP wurden erst im September 2022 in der Firmware von Notebooks und Desktops für den Business-Bereich sechs gravierende Schwachstellen entdeckt, die seit bis zu einem Jahr nicht behoben wurden.
Auszug aus einer Originalmail des Herstellers: Beim Start eines Windows-Geräts lädt es den Agent. Der Agent kommuniziert dann mit der ausführbaren Mikrodatei, die in die Firmware dieser Windows-Geräte eingebettet ist. Dies ermöglicht die Aktivierung und Registrierung des Geräts und wird verwendet, um den anderen Agenten zu installieren. Der wird über den ersten Agent installiert. Die beiden Agenten kommunizieren mit den Cloud-basierten Servern hauptsächlich über search.namequery.com über die Ports 80 und 443.
Ein Agent, der einen anderen Agent installiert, der über Standardports mit dem Mutterschiff spricht.
Das kennen wir bereits von Computrace, einer Anti-Diebstahl-Trace-Anwendung, die nach dem Start des Computers unbemerkt vom Betriebssystem installiert wird und Daten ins Ausland überträgt. Außerdem kann diese Software aus der Ferne die Dateien der Benutzer von ihren Computern abrufen, ihr Verhalten überwachen und unbekannte Programme unbefugt herunterladen und installieren. Computrace befindet sich im BIOS-Chip von Computern verschiedener Modelle. Es stellt Netzwerkprotokolle für die Fernsteuerung zur Verfügung und kann so von einem entfernten Server ohne Verschlüsselung oder Authentifizierung gesteuert werden. Diese Funktion wird automatisch beim Start ausgeführt und befindet sich dauerhaft auf den Computern der Benutzer. Ist ein Angreifer in der Lage, den Netzwerkverkehr des Opfers zu kontrollieren – z. B. durch ARP-Poisoning, DNS-Hijacking usw. – ist es möglich, beliebigen Code aus der Ferne auszuführen.
Es ist wenig überraschend, dass Computrace die Technologie von Absolute ist.
Auszug aus einer Originalmail des Herstellers: Nach der Aktivierung übersteht unsere Technologie Versuche, sie zu deaktivieren, selbst wenn das Gerät neu erstellt, die Festplatte ausgetauscht oder die Firmware geflasht wird. Keine andere Technologie kann dies leisten.
Nun, das hoffen wir auch sehr stark. Denn wenn das Ding erstmal cracked wurde, dann sind über 600 Millionen Geräte von 28 Systemherstellern bis in alle Ewigkeit verflucht! Da hilft dann auch das beste Schwachstellenmanagement und die schönste Automation nichts mehr.
Auf die Pflicht folgt die Kür
Nachdem Absolute die Voraussetzung geschaffen hat, ein Endgerät jedes freien Willens und eigener Entscheidungsfähigkeit zu berauben, fehlte noch ein wenig Intelligenz. Die kommt von Ivanti Neurons, einer Hyper-Automation Plattform für Endgeräte. Die Lösung scannt pausenlos das Verhalten eines Devices, sucht Schwachstellen und reagiert gemäß vorher festgelegter Regeln.
Keine Magie, keine Selbstheilung, nur hochgradige Automatisierung – huckepack auf einer unglaublich penetranten Technologie: selbst wenn der Software-Client durch Flashen der Firmware, Austauschen der Festplatte, Reimaging des Geräts oder Zurücksetzen des Geräts auf die Werkseinstellungen von einem Gerät entfernt wird, löst der eingebettete Code sofort eine automatische Neuinstallation des Software-Clients aus. Immerhin bietet Dell Unternehmen, die sich des lästigen Parasiten entledigen wollen, eine Hilfestellung an. Zwar lässt sich die Software damit nicht entfernen, aber zumindest soll sie daran gehindert werden, Daten ins Universum zu senden.
Zum Glück gibt es weniger obskure Lösungen, die zudem allesamt noch höhere Ansprüche an die Sicherheit erfüllen.
Marktübersicht
Detection & Response gehört zu einer verantwortungsvollen, mehrstufigen Sicherheitsarchitektur im Unternehmen dazu. Extended, Endpoint oder Netzwerk Detection & Response Lösungen (XDR, EDR, NDR) erhöhen nicht nur die Widerstandsfähigkeit. Sie helfen auch, die ITSM-Kosten zu reduzieren. Je nach Anforderung finden Unternehmen Cloud-basierte, hochsichere oder auch stand-alone Lösungen am Markt. Wir haben einige für euch aufgelistet.
Die Alleskönner
Cloud4C ist eine cloud-native, host-based Hyperautomation Plattform mit zahlreichen Threat Detection und Response Funktionen.
Auch der Microsoft 365 Defender oder VMware Carbon Black sind eine mehrstufige cloud-basierte Lösung.
Mit den Cloud-Lösungen lassen sich Netzwerke ganzheitlich scannen, verschiedene Indikatoren in Zusammenhang setzen und frühzeitig Angriffsmuster erkennen. Die Selbstheilungsfähigkeiten beinhalten das Eliminieren von Schadcode oder das Reparieren von Konfigurationen. Automatisiert können Patches ausgerollt werden, komplett neue Images ausgespielt oder auf die zuletzt als sicher eingestufte Version zurückgerollt werden.
Dem cloudbasierten Ansatz kommt ein weiterer Trend sehr entgegen: Unternehmen nutzen mittlerweile oft SaaS-Plattformen und setzen auf VDI. Das verändert auch den Umgang mit dem Risiko der Endpunkte.
Allerdings besonders im Fall von Microsoft und VMware Carbon Black ist eines nicht zu unterschätzen – deren Vorteil, bereits in jedem Unternehmen drin zu sein, kann auch ein großer Nachteil sein.
Die Sicherheitsspezialisten
Alternativen bei den cloudbasierten Anbietern bieten reine Security-Plattformen wie Platzhirsch SentinelOne mit der Singularity XDR oder CowdStrike mit seiner Falcon-Plattform. Letztere überzeugen mit einer beeindruckenden Liste an Zertifikaten, die sämtliche Compliance-Herzen höher schlagen lassen dürfte. Allerdings sind beide trotz deutscher GmbH-Töchter immer noch amerikanische Unternehmen. Das sollte man nicht vergessen.
Auch für den klassischen Endpunktbetrieb gibt es innovative Ansätze: Einer davon kommt von Faronics, die mit Snapshots arbeiten. Das ist im Backup äußerst populär und hilft auch Endgeräten, sich schnell wieder in einen sicheren Zustand zu versetzen. Faronics Deep Freeze Technologie gibt es sowohl Client- als auch Cloudbasiert. Ein Vorteil: Es gibt es auch für Mac. Wer profitiert davon? Schulen, z. B. öffentliche Computer (Hotels, Cafes, Coworking, etc.), Testumgebungen, Shared Arbeitsplätze sowie Unternehmen, die Daten ohnehin ausschließlich auf Netzlaufwerken speichern. Selbst wenn das nicht möglich ist, weil remote worker auch offline auf Daten zugreifen können müssen, hat Faronics eine Lösung.
Besondere Sicherheitsanforderungen erfüllt HP Wolf Security. Der Anbieter bedient sich dabei in der Hochsicherheit: HP Wolfs SAE setzt auf hardwaregestützte Virtualisierung. Damit werden geschützte VMs erstellt, die vom Desktop-Betriebssystem isoliert sind. Das Betriebssystem kann die so erzeugte VM weder sehen noch beeinflussen und auch nicht kontrollieren. Das stellt die Vertraulichkeit und Integrität der Anwendung und der Daten innerhalb der geschützten VM sicher. Natürlich verfügt auch die SAE über EDR und self-healing-Mechanismen. Der besondere Vorteil: Das Kontrollzentrum kann auch on premises installiert werden.
Ebenfalls on-premises kann filewave installiert werden. Die Lösung besteht aus einem Server- und einem Client-Modul, ist neben Windows ebenfalls für Mac sowie mobile devices und CHromebooks verfügbar und verfügt wie die anderen über Möglichkeiten zu Geräte-Management Remote-Freischaltung & -Support, Bereitstellung und Software-Verteilung, Patch-Verwaltung und natürlich Selbstheilung & Auto-Resuming. Zielgruppe sind hier vor allem Kanzlei- und Praxisbetriebe, Schulen sowie KMU. Systemhäuser und filewave-zertifizierte Administratoren helfen bei der Einrichtung und Betreuung.
Einen anderen Ansatz geht die deutsche itwatch: Auf einem USB Datenträger (USB-Stick) erhält der Nutzer eine vollständig bootfähige Arbeitsumgebung. Der Stick kann zentral invalidiert und bei Bedarf auf Werkseinstellungen (hilfreich beim Offboarding) zurückgesetzt oder automatisch mit dem Initial-Image bespielt werden. Die komplette Suite beinhaltet u. a. auch ein Device Management sowie Friendly Net Profiling. Die zentrale Komponente kann on-premises installiert werden.
Der Newcomer
Als letztes Unternehmen stellen wir Acronis vor. Die haben fast 20 Jahre Erfahrung im Schutz von Daten und widmen sich neu auch dem Schutz von Endgeräten. Dazu entmystifiziert Acronis VP of Cyber Protection Research Candid Wüest erst einmal die Mär von den Selbstheilungskräften. Das Unternehmen bietet mit Acronis Cyber Protection schon länger Sicherheitsprodukte für Unternehmen an. Allerdings beschränkte sich die Endpoint Protection bisher auf das Patch-Management und diverse Remote Services. Auf der it-sa 2022 stellte das Unternehmen mit Advanced Security + Endpoint Detection and Response (EDR) die Erweiterung der Produktlinie vor. Der Launch ist für Dezember 2022 geplant. In der Ankündigung weisen sie bereits auf zwei Qualitätsmerkmale einer guten EDR-Lösung hin: der Erkennung und Analyse von Bedrohungen und Angriffsvektoren anhand Frameworks wie MITRE ATT&CK und NIST.
Die neuen Funktionen der Acronis-Plattform kombinieren Sicherheits-, Backup- und DR-Produkte inkl. automatisierte Abhilfemaßnahmen wie Isolierung, Beendigung von Prozessen oder Rollbacks.
Ermöglicht wird das u. a. durch die auf Machine Intelligence (MI) basierten Fernüberwachung zur kontinuierlichen Erkennung von Anomalien, herstellerübergreifende vorhersagebasierte Überwachung des Festplattenzustands und eine ausfallsichere Patch-Verwaltung mit Rollback von automatisierten Backups für den Fall, dass ein Patch fehlschlägt. Verschiedene Entwicklungen im Bereich Remote Desktop ermöglichen zudem eine bessere Leistung in langsamen Netzwerken, sowohl für Benutzer als auch für Administratoren. Neu ist auch die Plattformunterstützung für MacOS und Linux. Verbesserte Sicherheitsvorkehrungen für Remote Desktop und Cyber Scripting durch 2-Faktor-Authentifizierung (2FA) und ein neues Protokoll mit 2-Wege-AES minimieren das Risiko, dass Management-Tools neue Schwachstellen öffnen.
Zielgruppe sind vor allem Service-Provider, die mit der Lösung ihr eigenes Portfolio schärfen oder erweitern können. Eine Advanced Automation soll MSPs auch im Backend entlasten. Dazu wird die Plattform mit folgenden Funktionen ausgestattet:
- Automatisierung der Rechnungsstellung mit Unterstützung für verbrauchsbasierte Services
- SLA-Tracking, Reporting und Technikerleistung
- Support-Ticketing-System
- Automatische, granulare Nachverfolgung von fakturierbarer und nicht fakturierbarer Zeit pro Mandant
- Betriebs- und Rentabilitätsberichte und Dashboards
- Unterstützung für mehrere Sprachen
- Zentralisierte Kontrolle und Sichtbarkeit über die Acronis-Konsole
MI-Monitoring- als auch das Advanced Automation-Produkt werden im ersten Quartal 23 erscheinen.
Wir haben Acronis auf der it-sa getroffen und wollten wissen, was ein Backup-Spezialist auf einer IT-Security-Messe macht. Und genau das erklärt Markus Fritz von Acronis am besten selbst:
Erwähnenswert ist noch das anhaltende soziale Engagement des Unternehmens mit der Acronis Cyber Foundation.
Auswahlkriterien für eine geeignete Lösung
Zunächst einmal ist es heute fast schon grob fahrlässig, sich nur auf die Sicherheit bzw. den Zustand eines Endgerätes zu konzentrieren. Erreicht eine Bedrohung das Gerät eines Users, haben vorher schon jede Menge andere Sicherheitsmechanismen versagt – oder wurden gar nicht erst berücksichtigt.
Cyberangriffe auf Unternehmen durchlaufen verschiedene Phasen. Je früher ein Angriff erkannt wird, desto besser. In diesem Zusammenhang fällt oft der Begriff Dwell Time. Das ist die Zeit, in der ein Angreifer sich unbemerkt im Netz bewegen kann. Und die sollte möglichst kurz sein. Dazu braucht es einen umfassenden Einblick in alle Devices, Informationen, Services und Anwendungen innerhalb der Unternehmensinfrastruktur – egal, wo diese sich befinden. Auch historische Daten müssen berücksichtigt werden. Advanced Persistent Threats sind Angriffe, die sich über lange Zeiträume hinziehen können.
Ein wichtiges Merkmal einer guten Lösung ist Correlation. Ist eine Lösung in der Lage, in Echtzeit historische mit aktuellen Daten in Relation zu bringen, um so z. B. drohende Gefahr zu erkennen? Werden diese Daten mit bekannten Angriffsvektoren und Schwachstellen abgeglichen?
Für eine eine kontinuierliche Risikobewertung ist die andauernde Analyse des Benutzerverhaltens in Echtzeit eine wichtige Voraussetzung. Hier wird es etwas schwerer, die Spreu vom Weizen zu trennen. Bedauerlicherweise gibt es (noch) keine Benchmarks für KI- und ML-Algorithmen. Es ist also fast unmöglich zu beurteilen, wie gut eine KI das typische Nutzerverhalten versteht und die Maschine lernt, Anomalien zu erkennen. Hinweise liefern Antworten auf Fragen wie z. B.: Wie lange gibt es das Unternehmen schon? Betreibt der Anbieter ein eigenes Labor und publiziert er regelmässig Ergebnisse seiner Forschungen und Tests? Hat der Anbieter selbst schon Schwachstellen evaluiert und gemeldet? Gibt es Hinweise zu einer größeren Anzahl von False Positives bzw. False Negatives? Wie wird das Verhalten überwacht? Wo findet die Auswertung statt? Besteht die Option, die Lösung komplett on-prem zu betreiben?
Oft lohnt auch der Blick ins Dashboard: wie übersichtlich ist es? Wie intuitiv lässt es sich bedienen? Wie verständlich sind die Fehlermeldungen formuliert? Gibt es eine Priorisierung? Können Dashboards und Reports customized werden? Werden Handlungsanweisungen zur Behebung von Problemen oder Workarounds als Alternativen angeboten?
Achte darauf, dass die Lösung Frameworks wie MITRE ATT&CK und NIST oder BSI Grundschutz berücksichtigt. Frage, woher der Anbieter seine Indicators of Compromise bzw. of Attack (IoC/IoA) bekommt. Hat er eine eigene Threat Intelligence oder vertraut er Marktführern wie Mandiant oder Recorded Future? Einige Anbieter berücksichtigen sogar HCLs in ihrer Risikobewertung.
Am besten vereinbarst du eine Demonstration der Lösung. Frage auch nach Referenzkunden, die du kontaktieren darfst. Im Zweifel hilft auch immer ein Blick in die Bewertungen der Gartner Peer Insights – Pro-Tipp: lies die negativen Kritiken und prüfe, wie ein Anbieter im Vergleich abschneidet. Hilfreich sind auch die Market-Radars von unabhängigen Analystenhäusern wie GigaOm.
Gute Lösungen berücksichtigen unterschiedliche Indikatoren und nutzen die gesammelten Telemetriedaten für eine Vielzahl an Aktionen. Nicht immer muß ein Endgerät sofort geblockt oder neuinstalliert werden. Ist die Lösung in der Lage, verdächtiges von kompromittierten Verhalten zu unterscheiden, z. B. wenn ein Nutzer sich an einem für ihn ungewöhnlichen Standort aufhält? Werden Maßnahmen wie verstärkte Authentifizierung oder der Entzug von Rechten angeboten?
Last not least: Analysiere immer zuerst dein Risiko und deine spezielle Situation, um eine für dich geeignete Lösung zu finden.
Fazit
Self-Healing gibt es nicht. Das ist eine Erfindung des Marketings für viel SW-Design-, Architektur- und Programmierleistung und noch mehr Automatisierung, die ohne vorher definierte Parameter und Regeln jedoch so hilfreich ist wie ein Sandkorn in der Wüste.
Bei fertigen Lösungen macht so einiges den Unterschied: Willst du eine agent- oder netzwerk-basierte Lösung? Musst du die Lösung aus Sicherheitsgründen on-prem betreiben? Werden Frameworks wie NIST, MITRE u. ä. berücksichtigt?
Vergiß nie: niemand ist unverwundbar oder unangreifbar – auch ein Lösungsanbieter nicht. Bei allen Integritäts- und Sicherheitsversprechen der Hersteller lohnt sich immer ein Blick in die CVE-Datenbank.
Um ein möglichst hohes Sicherheitslevel zu erreichen, macht ein Mix aus unterschiedlicher Technologie von verschiedenen Herstellern Sinn (Defense in Depth oder auch Layered Security). Verlasse dich nie auf nur eine Lösung oder einen Anbieter.
