Welcome back aspiring hackers!

In this chapter, we’re going deeper into the ways defenders can spot you and the traps they set to catch you off guard. We’re talking about defensive mechanisms and key Windows Event IDs that can make your life harder if you’re not careful. Every hacker knows that understanding defenders’ tools and habits is half the battle.

No system is perfect, and no company has unlimited resources. Every growing organization needs analysts constantly tuning alerts and security triggers as new software and users are added to the network. It’s tedious and repetitive work. Too many alerts can exhaust even the sharpest defenders. Eye fatigue, late nights, and false positives all drain attention. That’s where you get a small window to make a move, or a chance to slip through unnoticed.

Assuming nobody is watching is a beginner’s mistake. We’ve seen many beginners lose access to entire networks simply because they underestimated defensive mechanisms. The more professional you become, the less reckless you are, and the sharper your actions become. Always evaluate your environment before acting.

Visibility

Defenders have a few main ways they can detect you, and knowing these is crucial if you want to survive:

Process Monitoring

Process monitoring allows defenders to keep an eye on what programs start, stop, or interact with each other. Every process, PowerShell included, leaves traces of its origin (parent) and its children. Analysts use this lineage to spot unusual activity.

For example, a PowerShell process launched by a Microsoft Word document might be suspicious. Security teams use Endpoint Detection and Response (EDR) tools to gather this data, and some providers, like Red Canary, correlate it with other events to find malicious patterns.

Command Monitoring

Command monitoring focuses on what commands are being run inside the process. For PowerShell, this means watching for specific cmdlets, parameters, or encoded commands. Alone, a command might look innocent, but in combination with process monitoring and network telemetry, it can be a strong indicator of compromise.

Network Monitoring

Attackers often use PowerShell to download tools or exfiltrate data over the network. Monitoring outgoing and incoming connections is a reliable way for defenders to catch malicious activity. A common example is an Invoke-Expression command that pulls content from an external server via HTTP.

What They’re Watching

Let’s break down the logs defenders rely on to catch PowerShell activity:

Windows Security Event ID 1101: AMSI

AMSI stands for Antimalware Scan Interface. Think of it as a security checkpoint inside Windows that watches scripts running in memory, including PowerShell, VBScript, and WMI.

AMSI doesn’t store logs in the standard Event Viewer. Instead, it works with Event Tracing for Windows (ETW), a lower-level logging system. If you bypass AMSI, you can execute code that normally would trigger antivirus scans, like dumping LSASS or running malware, without immediate detection.

But AMSI bypasses are risky. They’re often logged themselves, and Microsoft actively patches them. Publicly available bypasses are a trap for anyone trying to survive quietly.

Windows Security Event ID 4104: ScriptBlock Logging

ScriptBlock logging watches the actual code executed in PowerShell scripts. There are two levels:

Automatic (default): Logs script code that looks suspicious, based on Microsoft’s list of dangerous cmdlets and .NET APIs.

Global: Logs everything with no filters.

Event ID 4104 collects this information. You can bypass this by downgrading PowerShell to version 2, if it exists, but even that downgrade can be logged. Subtle obfuscation is necessary. Here is how you downgrade:

PS > powershell -version 2

Note, that ScriptBlock logging only works with PowerShell 5 and above.

Windows Security Event ID 400: PowerShell Command-Line Logging

Even older PowerShell versions have Event ID 400, which logs when a PowerShell process starts. It doesn’t show full commands, but the fact that a process started is noted.

Windows Security Event IDs 800 & 4103: Module Loading and Add-Type

Module logging (Event ID 800) tracks which PowerShell modules are loaded, including the source code for commands run via Add-Type. This is important because Add-Type is used to compile and run C# code.

In PowerShell 5+, Event ID 4103 also logs this context. If a defender sees unusual or rarely-used modules being loaded, it’s a red flag.

Sysmon Event IDs

Sysmon is a specialized Windows tool that gives defenders extra visibility. Usually defenders monitor tracks:

Event ID 1: Every new process creation.

Event ID 7: Module loads, specifically DLLs.

Event ID 10: Process Access, for instance accessing lsass.exe to dump credentials.

For PowerShell, Event ID 7 can flag loads of System.Management.Automation.dll or related modules, which is often a clear indicator of PowerShell use. Many other Sysmon IDs might be monitored, make sure you spend some time to learn about some of them.

To check if Sysmon is running:

PS > Get-Service -Name sysmon

To view recent Sysmon events:

PS > Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -MaxEvent 20 | Format-List TimeCreated, Id, Message

Not all systems have Sysmon, but where it’s installed, defenders trust it. Essentially, it is like a high-tech security camera that is detailed, persistent, and hard to fool.

Endpoint Detection and Response (EDR) Tools

EDR tools combine all the telemetry above such as processes, commands, modules, network traffic to give defenders a full picture of activity. If you’re working on a system with EDR, every move is being watched in multiple ways.

What’s Likely to Get You Spotted

Attackers are predictable. If you run the same commands repeatedly, defenders notice. Red Canary publishes filters that show suspicious PowerShell activity. Not every system uses these filters, but they’re widely known.

Encoded Commands

Using -encodedcommand or Base64 can trigger alerts. Base64 itself isn’t suspicious, but repeated or unusual use is a warning sign.

Obfuscation & Escape Characters

Adding extra characters (^, +, $, %) can throw off detection, but too much is suspicious.

Suspicious Cmdlets

Some cmdlets are commonly abused. These include ones for downloading files, running scripts, or managing processes. Knowing which ones are flagged helps you avoid careless mistakes.

Suspicious Script Directories

Scripts running from odd locations, like Public folders, are more likely to be flagged. Stick to expected directories or in-memory execution.

Workarounds

Even when your movement is restricted, options exist.

1) Use native binaries. Legitimate Windows programs are less suspicious.

2) Less common commands. Avoid widely abused cmdlets to reduce detection.

3) Living-Off-the-Land. Using built-in tools creatively keeps you under the radar.

We’ll cover these in more depth in the next chapter, how commands meant for one thing can be adapted for another while remaining invisible.

Net Trick

The net command is powerful, but can be monitored. Use net1 to bypass some filters in really strict environments:

PS > net1 user

This lets you run the full suite of net commands quietly.

Logs

Deleting logs can sometimes be a good idea, but you should know that Event ID 1102 flags it immediately. Also, even less experienced defenders can trace lateral movement from log records. Traffic spikes or SMB scans are noticed quickly.

Methods to Evade Detection

Focus on minimizing your footprint and risk. High-risk, complex techniques are not part of this guide.

Avoid Writing Files

Files on disk can betray your tactics. If saving is necessary, use native-looking names, unusual folders, and adjust timestamps. Stick to in-memory execution where possible. Lesser-known commands like odbconf.exe and cmstp.exe are safer and often overlooked. Use them for execution.

PowerShell Version 2

Downgrading can bypass ScriptBlock logging. But you need to obfuscate things carefully. Subtlety is key here.

Change Forwarder Settings

Tweaking log collectors can buy time but is riskier. Always revert these changes after finishing. It’s always good to have a backup of the config files.

Credential Reuse & Blending In

Use known credentials rather than brute-forcing. Work during normal hours to blend in well and dump traffic to understand local activity. Using promiscuous mode can help you get richer network insights. Targeting common ports for file distribution is also a good idea and blends in well with normal traffic patterns.

Summary

In this part we learned more about the enemy and how defenders see your every move. We broke down the main ways attackers get caught, such as process monitoring, command monitoring and network monitoring. From there, we explored Windows Event IDs and logging mechanisms. We emphasized survival strategies that help you minimize footprint by using in-memory execution, sticking to lesser-known or native commands, using version 2 PowerShell or blending in with normal traffic. Practical tips like the net1 trick and log handling process give you an idea how to avoid raising alarms.

When you understand how defenders observe, log, and respond it lets you operate without tripping alerts. By knowing what’s watched and how, you can plan your moves more safely and survive longer. Our goal here was to show you the challenges you’ll face on Windows systems in restricted environments and give you a real sense that you’re never truly alone.

The post PowerShell for Hackers-Survival Edition, Part 3: Know Your Enemy first appeared on Hackers Arise.

BlockEDRTraffic blocks Endpoint Detection and Response telemetry with Windows Firewall or Windows Filtering Platform to create brief stealth windows for red teams.

In der Cybersicherheitsbranche gibt es eine Fülle von Jargon, Abkürzungen und Akronymen. Da immer mehr ausgeklügelte Angriffsvektoren zur Verfügung stehen, von Endpunkten über Netzwerke bis hin zur Cloud, wenden sich viele Unternehmen einem neuen Ansatz zu, um fortschrittlichen Bedrohungen zu begegnen: Extended Detection and Response (Erweitertes Erkennen und Reagieren), was zu einem weiteren Akronym führt: XDR. Und obwohl XDR in diesem Jahr von Branchenführern und Analysten viel Aufmerksamkeit erhalten hat, handelt es sich dabei immer noch um ein sich entwickelndes Konzept, und als solches herrscht Verwirrung rund um das Thema.

• Was ist XDR?
• Wie unterscheidet sich XDR von EDR?
• Ist es dasselbe wie SIEM & SOAR?

Als führendes Unternehmen auf dem EDR-Markt und Pionier derder aufkommenden XDR-Technologie , werden wir oft gefragt, was diese Technologie bedeutet und wie sie letztendlich zu besseren Kundenergebnissen beitragen kann.  Dieser Post soll einige häufig auftretenden Fragen rund um XDR und die Unterschiede zu EDR, SIEM und SOAR klären.

Was ist EDR?

EDR bietet einem Unternehmen die Möglichkeit, Endpunkte auf verdächtiges Verhalten zu überwachen und jede einzelne Aktivität und jedes Ereignis aufzuzeichnen. Dann setzt es Informationen in Beziehung, um wichtigen Kontext für die Erkennung von hochentwickelten Bedrohungen zu liefern. Schließlich führt es automatisierte Reaktionsmaßnahmen durch, wie die Isolierung eines infizierten Endpunkts vom Netzwerk in nahezu Echtzeit.

Was ist XDR?

XDR ist die Weiterwentwicklung von EDR, Endpoint Detection and Response. Anders als EDR, das Aktivitäten über mehrere Endpunkte hinweg sammelt und korreliert, erweitert XDR den Erkennungsbereich über die Endpunkte hinaus und bietet Erkennung, Analyse und Reaktion über Endpunkte, Netzwerke, Server, Cloud-Workloads, SIEM und vieles mehr.

Dies ermöglicht eine einheitliche Sicht über mehrere Tools und Angriffsvektoren hinweg. Diese verbesserte Sichtbarkeit bietet eine Kontextualisierung dieser Bedrohungen, um die Triage, Untersuchung und schnelle Abhilfemaßnahmen zu unterstützen.

XDR sammelt und verknüpft automatisch Daten über mehrere Sicherheitsvektoren hinweg und ermöglicht so eine schnellere Erkennung von Bedrohungen. Somit können Sicherheitsanalysten schnell reagieren, bevor sich die Bedrohung ausweitet.  Sofort einsatzbereite Integrationen und vordefinierte Erkennungsmechanismen für verschiedene Produkte und Plattformen verbessern die Produktivität, Bedrohungserkennung und Forensik.

Wie unterscheidet sich XDR von SIEM?

Wenn wir von XDR sprechen, denken manche Anwender, dass wir ein SIEM-Tool (Security Information & Event Management) auf eine andere Art und Weise beschreiben. Aber XDR und SIEM sind zwei verschiedene Dinge.

SIEM sammelt, aggregiert, analysiert und speichert große Mengen von Protokolldaten aus dem gesamten Unternehmen. SIEM begann seine Entwicklung mit einem sehr breit gefächerten Ansatz: dem Sammeln von verfügbaren Protokoll- und Ereignisdaten aus nahezu jeder Quelle im Unternehmen, um sie für verschiedene Anwendungsfälle zu speichern. Dazu gehören Governance und Compliance, regelbasierter Musterabgleich, heuristische/verhaltensbasierte Bedrohungserkennung wie UEBA und die Suche nach IOCs oder atomaren Indikatoren in Telemetriequellen.

SIEM-Tools erfordern jedoch viel Feinabstimmung und Aufwand bei der Implementierung. Sicherheitsteams können auch von der schieren Anzahl der Warnmeldungen, die von einem SIEM kommen, überfordert werden, was dazu führt, dass das SOC kritische Warnmeldungen ignoriert. Darüber hinaus ist ein SIEM, auch wenn es Daten aus Dutzenden von Quellen und Sensoren erfasst, immer noch ein passives Analysetool, das Warnmeldungen ausgibt.

Die XDR-Plattform zielt darauf ab, die Herausforderungen des SIEM-Tools für eine effektive Erkennung und Reaktion auf gezielte Angriffe zu lösen und umfasst Verhaltensanalyse, Bedrohungsdaten, Verhaltensanalysen und Analysen.

Wie unterscheidet sich XDR von SOAR?

SOAR-Plattformen (Security Orchestration & Automated Response) werden von ausgereiften Sicherheitsteams verwendet, um mehrstufige Playbooks zu erstellen und auszuführen, die Aktionen über ein API-verbundenes Ökosystem von Sicherheitslösungen automatisieren. Im Gegensatz dazu wird XDR die Integration von Ökosystemen überMarketplace ermöglichen und Mechanismen zur Automatisierung einfacher Aktionen gegen Sicherheitskontrollen von Drittanbietern bereitstellen.

SOAR ist komplex, kostspielig und erfordert ein sehr ausgereiftes SOC zur Implementierung und Pflege von Partnerintegrationen und Playbooks. XDR ist als „SOAR-lite“ gedacht: eine einfache, intuitive Zero-Code-Lösung, die von der XDR-Plattform aus mit angeschlossenen Sicherheitstools agieren kann.

Was ist MXDR?

Managed Extended Detection and Response (MXDR) erweitert die MDR-Dienste auf das gesamte Unternehmen, um eine vollständig verwaltete Lösung zu erhalten, die Sicherheitsanalysen und -abläufe, fortschrittliche Bedrohungssuche, Erkennung und schnelle Reaktion in Endpunkt-, Netzwerk- und Cloud-Umgebungen umfasst.

Ein MXDR-Dienst erweitert die XDR-Funktionen des Kunden um MDR-Dienste für zusätzliche Überwachungs-, Untersuchungs-, Bedrohungsjagd- und Reaktionsmöglichkeiten.

Warum gewinnt XDR an Attraktivität und sorgt für Aufsehen?

XDR ersetzt isolierte Sicherheitslösungen und hilft Unternehmen, die Herausforderungen der Cybersicherheit von einem einheitlichen Standpunkt aus anzugehen. Mit einem einzigen Pool von Rohdaten, der Informationen aus dem gesamten Ökosystem umfasst, ermöglicht XDR eine schnellere, tiefgreifendere und effektivere Erkennung von und Reaktion auf Bedrohungen als EDR, da Daten aus einer größeren Anzahl von Quellen gesammelt und zusammengestellt werden.

XDR sorgt für mehr Transparenz und Kontext bei Bedrohungen. Vorfälle, die sonst nicht erkannt worden wären, tauchen auf einer höheren Bewusstseinsebene auf, so dass Sicherheitsteams Abhilfemaßnahmen ergreifen und weitere Auswirkungen reduzieren sowie das Ausmaß des Angriffs minimieren können.

Ein typischer Ransomware-Angriff durchquert das Netzwerk, landet in einem E-Mail-Posteingang und greift dann den Endpunkt an. Wenn man die einzelnen Sicherheitsaspekte unabhängig voneinander betrachtet, sind die Unternehmen im Nachteil. XDR integriert unterschiedliche Sicherheitskontrollen, um automatisierte oder Ein-Klick-Reaktionsmaßnahmen im gesamten Sicherheitsbereich des Unternehmens zu ermöglichen, wie z. B. die Sperrung des Benutzerzugriffs, die Erzwingung der Multi-Faktor-Authentifizierung bei vermuteter Kontokompromittierung, die Sperrung eingehender Domänen und Datei-Hashes und vieles mehr – alles übervom Benutzer geschriebene Regeln oder über die in die Prescriptive Response Engine integrierte Logik.

Mit einem einzigen Pool von Rohdaten, der Informationen aus dem gesamten Ökosystem umfasst, ermöglicht XDR eine schnellere, tiefgreifendere und effektivere Erkennung von und Reaktion auf Bedrohungen als EDR, da Daten aus einer größeren Anzahl von Quellen gesammelt und zusammengestellt werden.

Diese umfassende Sichtbarkeit bringt mehrere Vorteile mit sich, darunter:

• Verkürzung der Mean Time to Detect (MTTD) durch Korrelation zwischen verschiedenen Datenquellen.
• Verkürzung der mittleren Untersuchungszeit (MTTI) durch Beschleunigung der Triage und Verkürzung der Zeit für die Untersuchung und den Umfang.
• Verkürzung der mittleren Reaktionszeit (MTTR) durch einfache, schnelle und relevante Automatisierung.
• Verbesserung der Transparenz im gesamten Sicherheitsbereich.

Darüber hinaus trägt XDR dank KI und Automatisierung dazu bei, den manuellen Arbeitsaufwand von Sicherheitsanalysten zu verringern. Eine XDR-Lösung kann proaktiv und schnell hochentwickelte Bedrohungen aufspüren, die Produktivität des Sicherheits- oder SOC-Teams erhöhen und dem Unternehmen einen massiven ROI-Schub verschaffen.

Abschließende Gedanken

Für viele Unternehmen ist es eine Herausforderung, sich in der Anbieterlandschaft zurechtzufinden, insbesondere wenn es um Erkennungs- und Reaktionslösungen geht. Oft besteht die größte Hürde darin zu verstehen, was die einzelnen Lösungen bieten, vor allem, wenn die Terminologie von Anbieter zu Anbieter unterschiedlich ist und verschiedene Dinge bedeuten kann.

Wie bei jeder neuen Technologie, die auf den Markt kommt, gibt es eine Menge Hype, und Käufer müssen vorsichtig sein. Tatsache ist, dass nicht alle XDR-Lösungen gleich sind. SentinelOne Singularity XDR vereinheitlicht und erweitert die Erkennungs- und Reaktionsfähigkeit über mehrere Sicherheitsebenen hinweg und bietet Sicherheitsteams eine zentralisierte End-to-End-Unternehmenstransparenz, leistungsstarke Analysen und automatisierte Reaktionen über den gesamten Technologiebereich hinweg.

Wenn Sie mehr über die SentinelOne Singularity Platform erfahren möchten, kontaktieren Sie uns oder fordern Sie eine kostenlose Demoan.

 

The post Der Unterschied zwischen EDR, SIEM, SOAR und XDR appeared first on SentinelOne DE.

Einem CISO wird klar, dass sein Unternehmen Schlagzeilen macht.

Es sind keine positiven Schlagzeilen, sondern Schlagzeilen darüber, dass die Daten des Unternehmens auf „Pastebin“ veröffentlicht wurden. Dieser Albtraum ist schon häufig Realität geworden, beispielsweise in Singapur. Hier wurden 2018 die Krankenakten von 1,5 Millionen Bürgerinnen und Bürgern – unter ihnen auch Premierminister Lee Hsien Loong – von Hackern gestohlen.

Oder aber die Systeme des Unternehmens wurden gar nicht von Hackern oder einer staatlich finanzierten Hackergruppe angegriffen. Vielleicht beziehen sich die Schlagzeilen auch auf einen bösartigen Mitarbeiter. Die PR-Abteilung spricht in solchen Fällen von einem „unredlichen Mitarbeiter, der illegal gehandelt und das Vertrauen seines Arbeitgebers missbraucht hat“. Das kann zum Beispiel ein böswilliger IT-Vertragsadministrator sein, der die Domäne des Kunden gekapert hat und dem Unternehmen nun gegen ein Lösegeld von 10.000 US-Dollar damit droht, die Seite zur Adresse Teenie[sexuelle Orientierung][Körperteil].com umzuleiten.

Unternehmen können auf verschiedenste Weise in die Negativ-Schlagzeilen und in diese Art von Cybersicherheitsmisere geraten. Meist ist auch die Polizei involviert – entweder das Unternehmen erstattet Anzeige oder es wird von der Polizei auf den Zwischenfall aufmerksam gemacht. Für die genauen Details interessieren sich auch Journalisten und die Staatsanwaltschaft. Viel wichtiger für das Sicherheitskontrollzentrum (SOC) ist jedoch der Ablauf der Angriffe: Wie sind sie passiert, wer ist dafür verantwortlich und wie lässt sich der Angriff abwehren (sofern noch nicht geschehen)? Diese Geschichten bleiben oft genug unbekannt, weil sie in der Datenflut so schwer erkennbar sind. Schließlich umfasst diese sowohl verdächtige als auch ganz banale Systemaktivitäten, die das Team zu aufwändigen Untersuchungen veranlassen und sich am Ende als harmlose Systemanomalien herausstellen.

Diese komplizierten Storylines beginnen häufig auf den Endpunkten in einem Unternehmenssystem. Eventuell findet ein Mitarbeiter ein USB-Gerät auf dem Parkplatz und verbindet es aus reiner Neugier mit seinem Endgerät. Oder eine Mitarbeiterin öffnet auf ihrem Endgerät einen schädlichen PDF-Anhang, den sie per E-Mail bekommen hat.

Um einen genauen Überblick zu erhalten, ist es also sinnvoll, die für Angriffe typischen Endpunkte im Blick zu behalten. Bei einer Umfrage des SANS Institute im Jahr 2018 gaben 42 % der Befragten an, dass es bei ihnen zu mindestens einer Endpunktausnutzung gekommen ist, die zu Offenlegung, Exfiltration oder geschäftlichen Störungen führte. Hinzu kommt, dass die Verschlüsselung auf Endpunkten unauffällig im Hintergrund erfolgt, da hier die Netzwerk- und Prozessaktivitäten verfügbar bleiben und selbst externe Geräteüberwachung möglich ist. So lässt sich zum Beispiel feststellen, wer das USB-Gerät angeschlossen hat – und auch wann und wo.

Zu viele Datenpunkte, nicht genug Antworten

Wir haben durchaus schon Lösungen zur Endpunktüberwachung, die uns Antworten liefern können. Angriffe sind für uns heute sehr viel transparenter als zu EPP-Zeiten (Endpoint Protection Platform). Diese Produkte stützten sich auf Virussignaturen, waren aber für speicherbasierte Malware, laterale Bewegungen, dateilose Malware oder Zero-Day-Angriffe gänzlich blind.

Und hier liegt das Problem: EPP bietet durchaus Schutz für Endpunkte, bietet Unternehmen jedoch keinen Einblick in die Bedrohungen. EDR-Tools (Endpoint Detection and Response) der ersten Generation waren ein Nebenprodukt des von EPPs nicht bedienten Bedarfs nach Transparenz. Diese EDR-Generation – nennen wir sie passive EDR – bietet uns zwar Daten, jedoch ohne Kontext. Wir haben die Puzzleteile, aber kein Gesamtbild, das uns hilft, sie zusammenzusetzen.

Betrachten wir zum Beispiel integrierte, passive Endpunktüberwachung und nehmen wir an, dass Windows-Ereignisprotokolle eine USB-Kompromittierung erkannt haben, die zu einem PowerShell-Aufruf über eine virtuelle Tastatur führte. Sie erfahren, dass der Angriff hochentwickelte Techniken verwendet (etwa das Protokoll gelöscht) hat oder dass eine Backdoor installiert wurde, um Persistenz zu erzielen. Es wurden Login-Daten gestohlen, die für eine erfolgreiche Anmeldung genutzt wurden – und dann, Überraschung!, klappte die Anmeldung auf einmal nicht mehr. Stattdessen wurden Berechtigungen eskaliert, Protokolle gelöscht, ein lokaler Benutzer angelegt, der dann in eine Admin-Gruppe aufgenommen wurde, und so weiter. Viel Spaß beim Lösen des Problems.

Was als Demo vielleicht ganz nett aussah, bewährt sich im Alltag nicht unbedingt. Wer wird daraus schlau – außer vielleicht ein paar wenigen erfahrenen, sachkundigen Analysten, von denen es viel zu wenige gibt. Außerdem müssen sie ja irgendwann auch mal schlafen. Wenn also um Mitternacht ein Angriff stattfindet, freuen sich die Angreifer über die längere Verweilzeit, bis die Analysten wieder an die Arbeit gehen und alle Fragen zum Was, Wo, Wie und Wer beantworten.

CISOs wollen nicht unbedingt jeden einzelnen, zusammenhanglosen Datenfetzen zum Angriff erwischen. Es ist eher wie eine Partie Cluedo: War es Oberst von Gatow im Salon, ein Auftragnehmer mit einem USB-Laufwerk oder die staatlich unterstützte Hackergruppe? Wurde die Bedrohung schon abgewehrt, und wenn ja, wie lange war sie aktiv? Wer von den viel zu wenigen Analysten im SOC analysiert gerade diesen Daten-Tsunami, der aus der passiven EDR herausströmt?

Was ist verhaltensbasierte KI und wie kann sie helfen?

Was passiert nach einem Angriff? Die Geschichte kann zwei unterschiedliche Wege nehmen. Den ersten, sehr problematischen kennen Sie wahrscheinlich: Sicherheitsanalysten müssen sich durch alle Warnmeldungen und Anomalien wühlen, die die passive EDR ausgibt. Diese Untersuchungen erfordern ein knappes Gut – Zeit und Knowhow. Es ist bekanntlich schwer, Personal zu finden, zu schulen und zu halten, das die nötigen Kenntnisse für den Betrieb von Sicherheitsplattformen hat und in der Lage ist, die Spreu vom Weizen zu trennen, also die echten Exploits von den zufälligen Fehlern.

Doch die Geschichte kann auch eine andere Wendung nehmen und beinhaltet dann Storylines – durch die Kontextualisierung aller unterschiedlichen Datenpunkte in einem kurzgefassten Bericht. SentinelOne nennt das dann ActiveEDR. Durch dieses verhaltensbasierte KI-Modell sind Unternehmen nicht mehr ausschließlich auf die schwer aufzutreibenden Analystenfähigkeiten angewiesen. Es ist rund um die Uhr verfügbar, zeichnet durchgängig alles auf und liefert Kontextinformationen dazu, was auf jedem mit Ihrem Netzwerk verbundenen Gerät passiert.

Das verhaltensbasierte KI-Modul von SentinelOne erstellt das, was SentinelOne auch „Storyline“ bezeichnet: eine Reihe von Spuren, über die Unternehmen Zwischenfälle zurückverfolgen und herausfinden können, wer für einen Kompromittierungsindikator (Indicator of Compromise, IOC) verantwortlich ist. Das ist zwar EDR, aber nicht die passive EDR, die Sie vielleicht bereits kennen. Die traditionelle EDR sucht erst nach einer isolierten Aktivität und versucht dann, sie mit einer anderen Aktivität und noch einer und noch einer zu korrelieren. Das ist der langwierige, nachträgliche Versuch, das große Ganze zu verstehen, für den zudem umfangreiche Fachkenntnisse erforderlich sind.

Bei SentinelOne ActiveEDR übernimmt die Maschine die Arbeit der Analysten. Alle Aktivitäten auf einem Gerät werden verfolgt sowie kontextualisiert und schädliche Handlungen in Echtzeit identifiziert. Erforderliche Reaktionen laufen dann automatisch ab. Wenn die Analysten eingreifen wollen oder müssen, vereinfacht ActiveEDR das Threat Hunting mit umfassenden Suchvorgängen von einem einzigen IOC ausgehend.

Im Gegensatz zu anderen EDR-Lösungen benötigt ActiveEDR keine Cloud-Konnektivität für eine Erkennung, wodurch die Verweildauer von Bedrohungen effektiv verkürzt wird. Die KI-Agenten auf den einzelnen Geräten benötigen keine Cloud-Verbindung, um Entscheidungen zu treffen. Sie zeichnet durchgängig die Abläufe der Ereignisse auf dem Endgerät auf. Wenn sie schädliches Verhalten entdecken, können sie nicht nur schädliche Dateien und Prozesse entfernen, sondern die komplette Storyline herunterfahren – und sogar automatisch rückgängig machen.

Warum ist ActiveEDR besser darin, dateibasierte und dateilose Angriffe aufzuhalten?

Raffinierte Angreifer haben eine Möglichkeit gefunden, sich ohne Dateien und Spuren zu bewegen. Sie verwenden dafür dateilose speicherinterne Malware, die selbst ausgereiften Sicherheitslösungen entgeht. Da ActiveEDR jedoch alles nachverfolgt, können Sie Angreifer erkennen, die vielleicht schon Anmeldedaten für Ihre Umgebung haben und nach dem LotL-Prinzip (Live off the Land) vorgehen: Dieser Begriff beschreibt dateilose Angriffe ohne Malware, die die systemeigenen, komplett seriösen Tools verwenden, um ihre schmutzige Arbeit zu erledigen. Dadurch fügen sie sich in das Netzwerk ein und verstecken sich zwischen den legitimen Prozessen, um den Exploit im Verborgenen durchzuführen.

Verhaltensbasierte KI – Ein Szenario aus der Praxis

Dieses reale Szenario zeigt die Funktionsweise: Die Polizei meldet sich bei Ihnen und teilt Ihnen mit, dass Ihre Anmeldedaten über Pastebin offengelegt wurden. Sie wollen wissen, wie es dazu gekommen ist. Also sehen Sie im Deep Visibility Threat Hunting-Modul nach. Deep Visibility ist ein Output der Storylines von SentinelOne. Es beschleunigt das Threat Hunting, da Sie nach Referenzen – in diesem Fall zu Pastebin – suchen können.

Mit der Storyline erstellt jeder autonome Endpoint-KI-Agent ein Modell seiner Endgerätestruktur sowie des Echtzeitverhaltens und weist ihm eine Storyline-ID zu, die einer Gruppe zusammenhängender Ereignisse zugeordnet wird. Durch die Suche nach „Pastebin“ finden Sie eine Storyline-ID, die Sie schnell zu allen zugehörigen Prozessen, Dateien, Threads, Ereignissen sowie anderen Daten führt, die auf diese Anfrage zutreffen. Deep Visibility gibt vollständige, kontextualisierte Daten zurück, mit denen Sie schnell die Ursache der Bedrohung verstehen können, einschließlich ihres gesamten Kontexts, allen Beziehungen und Aktivitäten.

Jeder Endpoint-Agent kann einen Angriff automatisch oder manuell bereinigen, das System in seinen früheren Zustand zurückversetzen, es vom Netzwerk trennen oder eine Remote Shell im System nutzen. Das alles kann automatisch erfolgen – einfach mit einem Mausklick. Es dauert nur wenige Sekunden, erfordert keine Cloud-Verbindung und keine Datei-Uploads, die von Menschen ausgewertet werden müssen. Weil der Agent alles übernimmt, sind auch keine Cloud-Analysen nötig.

Die möglichst weitgehende Automatisierung löst mehrere Probleme: Erstens werden durch die Erkennung von schädlichem Verhalten dateibasierte Angriffe problemlos aufgedeckt, ohne dass dafür Signaturen erforderlich sind. Außerdem können so dateilose Angriffe verhindert und vorhergesagt werden.

Die Endpunkt-Sicherheit von SentinelOne greift bereits vor der Ausführung ein, um Angriffe noch vor der Durchführung aufzuhalten – ganz gleich, ob es sich um eine manipulierte PDF-Datei, ein Word-Dokument oder etwas anderes handelt. Der erste Schritt ist die Analyse, durch die ermittelt wird, ob die Datei irgendwie ungewöhnlich ist. Ist das der Fall, wird sie isoliert. Wenn der Code den ersten Test bestanden hat und die Ausführung beginnt, sucht ActiveEDR, der autonome, automatisierte Threat-Hunting-Mechanismus, der Funktionen für die Erkennung und Reaktion umfasst, nach ungewöhnlichen Verhaltensweisen. Er achtet beispielsweise auf Benutzer, die Word öffnen und damit eine PowerShell aufrufen und per Internetzugriff irgendetwas herunterladen. In den meisten Fällen ist das kein gutes, normales Verhalten. ActiveEDR sieht sich das Verhalten in Echtzeit an und erfasst alles, was innerhalb des Betriebssystems passiert, als einzelne Storyline – von Anfang bis Ende und unabhängig davon, ob sie nun eine Sekunde, einen Monat oder länger dauert. Die Technologie wägt ständig das Verhalten ab, um festzustellen, ob es eine negative Richtung einschlägt.

Menschliche Note durch verhaltensbasierte KI-Unterstützung

Das ist zwar gut, reicht aber nicht aus, weil es unmöglich ist, immer alles zu erwischen. Hier kommen die Threat-Hunting-Funktionen von ActiveEDR ins Spiel, durch die der Ansatz für dateibasierte und dateilose Angriffe von SentinelOne so überragend ist.

Angenommen, Sie haben ein Gerät gefunden, das mehrmals mit Pastebin kommuniziert hat. Wenn Sie auf die Storyline-ID klicken, gelangen Sie zur vollständigen Storyline des Angriffs mit allen relevanten Kontextinformationen. Sie sehen eine Übersicht zum Angriffsursprung und eine Prozessbaum-Zeitleiste mit den erzeugten Prozessen: Ein Microsoft Word-Dokument wurde geöffnet, eine Windows PowerShell wurde aufgerufen und diese Shell erzeugte dann selbst sieben weitere Prozesse. Die Storyline umfasst sogar komplette Befehlszeilenargumente, die zum vollständigen Verständnis benötigt werden. Enthalten sind auch vollständige Kontextinformationen zum Angriff, die nicht von einem kompletten Incident-Response-Team, sondern durch eine einzige Abfrage erstellt wurden.

Mit einem KI-Assistenten – zumal mit einem KI-Agenten auf jedem Gerät mit einer Netzwerkverbindung – sparen Sie erheblich Zeit. Dadurch ist Ihr Unternehmen nicht mehr ausschließlich darauf angewiesen, dass Mitarbeiter etwas analysieren müssen, das diesen Aufwand mitunter gar nicht Wert ist.

Sie können beruhigt schlafen: Wir schützen Sie!

Haben Sie sich nicht schon lange genug Sorgen gemacht? Das ist jetzt vorbei.

Sie können festlegen, dass die verhaltensbasierte KI Probleme automatisch behebt – und das macht enorm viel aus. Die Technologie ist in der Lage, direkt auf dem Gerät eine Entscheidung zu treffen – und zwar ohne Cloud-Verbindung und ohne dass ein Mensch ihr sagen muss, was zu tun ist. Wenn ActiveEDR sich im Erkennungsmodus befindet, erhalten Sie kontextualisierte Warnmeldungen. Im Schutzmodus wird ein entdecktes manipuliertes Word-Dokument einfach blockiert – menschliches Eingreifen ist nicht erforderlich. Wenn ein Benutzer versucht, die Word-Datei zu öffnen, wird die Bedrohung erkannt, blockiert und schnell entfernt. Wenn ActiveEDR sich im Schutzmodus befindet, zeigt die Storyline des Angriffs an, dass der Angriff nicht weit gekommen ist: Er wurde blockiert, bevor eine externe Kommunikation möglich war.

Weil diese verhaltensbasierten KI-Agenten in jedes Endgerät integriert sind, kann schädliches Verhalten gestoppt werden – und zwar sofort. Wenn Sie im Nachhinein entscheiden, dass etwas nicht blockiert werden soll, können Sie den früheren Zustand ganz leicht wiederherstellen. Im Gegensatz zum Menschen braucht ActiveEDR, die verhaltensbasierte KI von SentinelOne, keinen Schlaf und macht auch nicht um 17 Uhr Feierabend.

Die Realität der automatischen Bedrohungsbeseitigung mit verhaltensbasierter KI sieht so aus: keine Datenexfiltration, keine Schlagzeilen und kein Anruf von der Polizei.

Wenn Sie mehr über die verhaltensbasierte KI von SentinelOne und erfahren möchten, wie sie Ihr Unternehmen schützen kann, kontaktieren Sie uns oder fordern Sie eine kostenlose Demo an.

The post Verhaltensbasierte KI: Der uneingeschränkte Schutzansatz für Unternehmen appeared first on SentinelOne DE.

Over the years, endpoint security has evolved from primitive antivirus software to more sophisticated next-generation platforms employing advanced technology and better endpoint detection and response.

Because of the increased threat that modern cyberattacks pose, experts are exploring more elegant ways of keeping data safe from threats.

Signature-Based Antivirus Software

Signature-based detection is the use of footprints to identify malware. All programs, applications, software and files have a digital footprint. Buried within their code, these digital footprints or signatures are unique to the respective property. With signature-based detection, traditional antivirus products can scan a computer for the footprints of known malware.

These malware footprints are stored in a database. Antivirus products essentially search for the footprints of known malware in the database. If they discover one, they’ll identify the malware, in which case they’ll either delete or quarantine it.

When new malware emerges and experts document it, antivirus vendors create and release a signature database update to detect and block the new threat. These updates increase the tool’s detection capabilities, and in some cases, vendors may release them multiple times per day.

With an average of 350,000 new malware instances registered daily, there are a lot of signature database updates to keep up with. While some antivirus vendors update their programs throughout the day, others release scheduled daily, weekly or monthly software updates to keep things simple for their users.

But convenience comes at the risk of real-time protection. When antivirus software is missing new malware signatures from its database, customers are unprotected against new or advanced threats.

Next-Generation Antivirus

While signature-based detection has been the default in traditional antivirus solutions for years, its drawbacks have prompted people to think about how to make antivirus more effective. Today’s next-generation anti-malware solutions use advanced technologies like behavior analysis, artificial intelligence (AI) and machine learning (ML) to detect threats based on the attacker’s intention rather than looking for a match to a known signature.

Behavior analysis in threat prevention is similar, although admittedly more complex. Instead of only cross-checking files with a reference list of signatures, a next-generation antivirus platform can analyze malicious files’ actions (or intentions) and determine when something is suspicious. This approach is about 99% effective against new and advanced malware threats, compared to signature-based solutions’ average of 60% effectiveness.

Next-generation antivirus takes traditional antivirus software to a new level of endpoint security protection. It goes beyond known file-based malware signatures and heuristics because it’s a system-centric, cloud-based approach. It uses predictive analytics driven by ML and AI as well as threat intelligence to:

• Detect and prevent malware and fileless attacks
• Identify malicious behavior and tactics, techniques and procedures (TTPs) from unknown sources
• Collect and analyze comprehensive endpoint data to determine root causes
• Respond to new and emerging threats that previously went undetected.

Countering Modern Attacks

Today’s attackers know precisely where to find gaps and weaknesses in an organization’s network perimeter security, and they penetrate these in ways that bypass traditional antivirus software. These attackers use highly developed tools to target vulnerabilities that leverage:

• Memory-based attacks
• PowerShell scripting language
• Remote logins
• Macro-based attacks.

To counter these attackers, next-generation antivirus focuses on events – files, processes, applications and network connections – to see how actions in each of these areas are related. Analysis of event streams can help identify malicious intent, behaviors and activities; once identified, the attacks can be blocked.

This approach is increasingly important today because enterprises are finding that attackers are targeting their specific networks. The attacks are multi-stage and personalized and pose a significantly higher risk; traditional antivirus solutions don’t have a chance of stopping them.

Explore IBM Security QRadar Solutions  

Endpoint Detection and Response

Endpoint detection and response (EDR) software flips that model, relying on behavioral analysis of what’s happening on the endpoint. For example, if a Word document spawns a PowerShell process and executes an unknown script, that’s concerning. The file will be flagged and quarantined until the validity of the process is confirmed. Not relying on signature-based detection enables the EDR platform to react better to new and advanced threats.

Some of the ways EDR thwarts advanced threats include the following:

• EDR provides real-time monitoring and detection of threats that may not be easily recognized by standard antivirus
• EDR detects unknown threats based on a behavior that isn’t normal
• Data collection and analysis determine threat patterns and alert organizations to threats
• Forensic capabilities can determine what happened during a security event
• EDR can isolate and quarantine suspicious or infected items. It often uses sandboxing to ensure a file’s safety without disrupting the user’s system.
• EDR can include automated remediation and removal of specific threats.

EDR agent software is deployed to endpoints within an organization and begins recording activity on these endpoints. These agents are like security cameras focused on the processes and events running on the devices.

EDR platforms have several approaches to detecting threats. Some detect locally on the endpoint via ML, some forward all recorded data to an on-premises control server for analysis, some upload the recorded data to a cloud resource for detection and inspection and others use a hybrid approach.

Detections by EDR platforms are based on several tools, including AI, threat intelligence, behavioral analysis and indicators of compromise (IOCs). These tools also offer a range of responses, such as actions that trigger alerts, isolate the machine from the network, roll back to a known good state, delete or terminate threats and generate forensic evidence files.

Managed Detection and Response

Managed detection and response (MDR) is not a technology, but a form of managed service, sometimes delivered by a managed security service provider. MDR provides value to organizations with limited resources or the expertise to continuously monitor potential attack surfaces. Specific security goals and outcomes define these services. MDR providers offer various cybersecurity tools, such as endpoint detection, security information and event management (SIEM), network traffic analysis (NTA), user and entity behavior analytics (UEBA), asset discovery, vulnerability management, intrusion detection and cloud security.

Gartner estimates that by 2025, 50% of organizations will use MDR services. There are several reasons to support this prediction:

• The widening talent shortage and skills gap: Many cybersecurity leaders confirm that they cannot use security technologies to their full advantage due to a global talent crunch.
• Cybersecurity teams are understaffed and overworked: Budget cuts, layoffs and resource diversion have left IT departments with many challenges.
• Widespread alert fatigue: Security analysts are becoming less productive due to “alert fatigue” from too many notifications and false positives from security applications. This results in distraction, ignored alerts, increased stress and fear of missing incidents. Many alerts are never addressed when, ideally, they should be studied and acted upon.

The technology behind an MDR service can include an array of options. This is an important thing to understand when evaluating MDR providers. The technology stack behind the service determines the scope of attacks they have access to detect.

Cybersecurity is about “defense-in-depth” — having multiple layers of protection to counter the numerous possible attack vectors. Various technologies provide complete visibility, detection and response capabilities. Some of the technologies offered by MDR services include:

• SIEM
• NTA
• Endpoint protection platform
• Intrusion detection system.

Extended Detection and Response

Extended detection and response (XDR) is the next phase in the evolution of EDR. XDR provides detection and protection across various environments, including networks and network components, cloud infrastructure and Software-as-a-Service (SaaS).

Features of XDR include:

• Visibility into all network layers, including the entire application stack
• Advanced detection, including automated correlation and ML processes capable of detecting events often missed by SIEM solutions
• Intelligent alert suppression filters out the noise that typically reduces the productivity of cybersecurity staff.

Benefits of XDR include:

• Improved analysis to help organizations collect the correct data and transform that data with contextual information
• Identify hidden threats with the help of advanced behavior models powered by ML algorithms
• Identify and correlate threats across various application stacks and network layers
• Minimize fatigue by providing prioritized and precise alerts for investigation
• Provide forensic capabilities needed to integrate multiple signals. This helps teams to construct the big picture of an attack and complete investigations promptly with high confidence in their findings.

XDR is gaining in popularity. XDR provides a single platform that can ingest endpoint agent data, network-level information and, in many cases, device logs. This data is correlated, and detections occur from one or many sources of telemetry.

XDR streamlines the functions of the analysts’ role by allowing them to view detections and respond from a single console. The single-pane-of-glass approach offers faster time to value, a shortened learning curve and quicker response times since the analysts no longer need to pivot between windows. Another advantage of XDR is its ability to piece multiple sources of telemetry together to achieve a big-picture view of detections. These tools are able to see what occurs not only on the endpoints but also between the endpoints.

The Future of Antivirus Software

Security is constantly evolving, and future threats may become much more dangerous than we are observing now. We cannot ignore these recent changes in the threat landscape. Rather, we need to understand them and stop these increasingly destructive attacks.

The post The Evolution of Antivirus Software to Face Modern Threats appeared first on Security Intelligence.

In one company my boss asked me: “hey, is it possible to check whether we are well protected against ransomware, and whether we are able to detect infected devices, so that we can isolate them from the network fairly quickly?”

When a manager asks you a question like that, you know the next month is going to be tough.

I’ve spent