Herzlich willkommen zu unserem Gespräch über die Frage, warum XDR (Extended Detection and Response) so wichtig ist für das Thema Identity Security und andersherum. Warum ist Identity Security so wichtig für XDR? Also wie hängen diese Themen zusammen? Das ist ein spannendes Thema. Da gibt es auch eine ganze Menge Fachbegriffe, die vielleicht nicht jeder kennt. Wir werden versuchen, die nächsten 15 Minuten das Ganze mal ein bisschen zu beleuchten. Ich bin hier mit Matthias Canisius von SentinelOne. Herzlich willkommen, Matthias.
freue mich, da sein zu dürfen. Und freue mich auf die folgenden 15 Minuten, das Thema so ein bisschen zu beleuchten und auch ein bisschen darüber zu philosophieren, in welche Richtung sich XDR entwickelt, welche Rolle das Thema Identity spielt und was wir in Zukunft vielleicht auch davon erwarten dürfen und vielleicht auch was nicht.
Wenn wir jetzt mal einfach so auf dieses Themenfeld schauen, ich habe jetzt vor 20, 25 Jahren, vielleicht sogar schon länger, mit dem Thema Identity and Access Management angefangen. Damals gab es noch keinen Begriff wie Identity Security. Damals gab es noch keinen Begriff wie XDR. Das hat sich jetzt in den letzten Jahren ja doch relativ stark geändert, und was eine ganz interessante Veränderung ist, ist wirklich so dieses Identity Security. Nämlich diese Begrifflichkeit, wo zwei Welten eigentlich, die für mich auch zusammengehören, zusammenwachsen. Warum gehören sie zusammen?
Das ist wirklich spannend. Und im Nachhinein, finde ich, ist man verwundert, dass es nicht schon viel früher so in aller Munde gewesen ist. Wir haben heute natürlich - eine ganze Menge tun wir ja schon im Bereich Identity - wir haben das Identity Access Management, wir haben das Privilege Management und so weiter. Es gibt ja schon eine ganze Menge Themen, die mit Identität umgehen. Und am Ende geht es darum, Credentials mit Privilegien zu verbinden, Zugänge zu schaffen, et cetera. Das Interessante, was man eben auch jetzt sehr stark gemerkt hat, auch im Hinblick darauf, wie ein Angriff passiert ist, dass eben ein Angriff sehr häufig, gerade zu Beginn, mit dem Diebstahl einer Identität oder mehrerer Identitäten einhergeht, und da..., um letztlich diesen Schutz zu erlangen, dafür sind die klassischen IAM und PAM und wie sie alle heißen, eben nicht ausgestattet, weil beispielsweise auf Workstations liegen etc. Und da hat man einfach ganz klar die Notwendigkeit entdeckt, an den verschiedenen Stellen, wo mit Identitäten umgegangen wird - auch mal die Domain Controller, Workstation, Netzwerk - Technologien zu entwickeln, die uns helfen, wirklich dafür zu sorgen, dass keine Identität in die falschen Hände kommt.
Ich glaube, es ist ein ganz wichtiger Punkt, den du bringst, wenn wir uns anschauen, wo - egal welche Statistik wir nehmen, es gibt ja ganz viele dazu, und alle Statistiken haben aber eines gemeinsam: die Identität, der Zugriff, der unberechtigte Zugriff auf Identitäten ist ganz typisch der Startpunkt für Cyberangriffe. Wenn man das ganz normale tägliche Erleben nehmen. Du kriegst eine Mail, da ist irgendein Link drin und das ist eine malicious Mail, eine eine bösartige Mail, die eben versucht, dich dazu zu bringen, dass du auf diesen Link klickst. Dann geht es im Prinzip immer darum zu sagen, Jetzt am besten gibst du mir gleich mal dein Kennwort oder deine Credentials, andere Dinge. Also Phishing geht ja genau darauf aus, diese Zugriffsrechte zu kriegen und dann eben je nach Art des Angriffs eben von dort aus weiterzuarbeiten. Ich glaube, das ist auch der zentrale Punkt, der dann eben dazu kommt, wo dann auch das Thema Identity Security noch mal ganz wichtig wird. Wir haben ja einerseits: das Security-Risiko beginnt mit dem Identitätsrisiko. Der andere Punkt, den ich dann eben ganz spannend finde, ist: was passiert danach? Und was danach passiert ist ja genau dieser Punkt, Mit der Identität wird was gemacht. Das heißt, ich muss aus der Sicherheitslücke erkennen, was passiert.
Ist absolut so, und das Interessante ist halt, darüber nachzudenken auch, wo liegen denn diese Identitäten? Auf welchen Systemen ist das und wie kann ich die schützen? Das ist der eine Punkt und es ist auch völlig klar, wenn ich heute schau, wie unfassbar gut Phishing Emails gemacht worden sind. Ich bin vor einiger Zeit gefragt [worden], was sich in dem Bereich Phishing verändert hat. Und es ist tatsächlich so: die Qualität ist außerordentlich, da ist kein gebrochenes Deutsch mehr, wo man direkt sagt, dass es Fake ist, sondern es ist, wie gesagt, extrem gut gemacht, um eben an Identitäten ranzukommen. Aber auch unabhängig vom Phishing. Es gibt so viele Vulnerabilities, auch im Bereich AD und Domain Controller. Auch die Tatsache, wenn ich mir überlege, wie viele tausende Berechtigungen ich tagtäglich verwalte. Ein Nutzer greift auf 10 bis 20 Anwendungen, wo ich mich jeweils für authentifizieren muss, bei einem 1000-Mann-Laden, dann sind das Zehntausende an Berechtigungen und Pfade, die ich sozusagen managen muss, um bei der Dynamik auch in heutigen Unternehmen ist doch völlig klar, das ist unfassbar fehleranfällig, Überprovisionierung. Dann habe ich häufig auch das Thema, das ganze Thema geht auch in die Cloud. Dann habe ich einen Teil der AD in der Cloud, in Azure zum Beispiel und ein Teil dann eben on-premise. Und das öffnet Tür und Tor für Fehler, und eben auch..., dazu sind die Systeme an sich auch vulnerabel. Und das führt dazu, dass es auch gar nicht so schwierig ist, tatsächlich an diese fremden Identitäten zu gelangen, um dann unbemerkt im Netzwerk eben Schaden anzurichten.
Und ich glaube, der wichtige Punkt auch ist, es geht nicht nur um die Phishing Mail. Es gibt einfach natürlich immer wieder die Vulnerabilities, die dann entweder - und das sind ja noch mal zwei Welten, die dann kommen, da müssen wir jetzt nicht in alle Tiefen reingehen - aber einerseits natürlich die, die einfach ungepatcht geblieben sind, was ja leider immer noch viel zu oft vorkommt. Andererseits natürlich die, die über dann Zero Day Attacks oder dann, was wir jetzt auch immer mehr gesehen haben, Software Supply Chain Attacks, also über Angriffe auf große Provider, die eben über eine Dritt-Software passieren - da hatten wir ja mit Kaseya mit Solarwinds, ja beispielsweise Fälle, dass wir einfach sehen, es gibt da eine ganze Menge Punkte, wo Leute an Identitäten kommen, und wir haben natürlich mit dem Identity Management etwas, das sagt, okay, ich habe den Benutzer, ich authentifiziere ihn, ich gebe ihm bestimmte Berechtigungen, ich gucke auch drauf, was ein privilegierter Benutzer macht, aber der Fokus liegt natürlich eher darauf, ihm Berechtigungen zu geben, oder ihr, und zu entziehen, aber nicht darauf zu schauen, was passiert eigentlich damit? Und da kommen wir wieder aus der Welt der gesamten Netz-, also der gesamten Technologien, die sich mit der Frage beschäftigen, Welche Events habe ich, welche Log-Informationen habe ich, was mache ich damit? Also Detection und dann auch Response, also Erkennen, Antworten eben auch darüber, was passiert eigentlich? Wo gibt es Anomalien im Verhalten? Und das ist, glaube ich, genau der Punkt, wo die beiden Welten auch zusammenkommen. Dass man auf der einen Seite sagt, wir haben natürlich diese ganzen normalen Verwaltungsthemen, aber auch die permanent wiederkehrenden Authentifizierungsthemen. Aber wir müssen gleichzeitig auch erkennen, wo gibt es Anomalien. Und diese Anomalien sind ja, da kommt der Angreifer, geht ins Netz, und so weiter, die erstrecken sich auch über viele, viele Ebenen.
Exakt. Nein, es ist wirklich mehrschichtig. Zum einen ist die eine Frage, die man sich immer stellen muss: Wo liegen denn die Credentials und wie kann ich diese schützen? Dann habe ich halt mehrere Möglichkeiten. Das eine Thema, das hast du auch zu Beginn angesprochen, ist das typische Thema Attack Surface Management, dass ich also überlege, okay, ich schaue mir mein AD als Beispiel an, weil das ist am Ende dort das Telefonbuch, sozusagen, das Adressbuch meines Unternehmens, worauf auch eben sämtliche PAMs und IAMs etc. drauf zugreifen. Wie kriege ich das sozusagen so konfiguriert, dass es eine möglichst geringe Angriffsfläche ist? Also wie schaffe ich es, in meinem Haus mit 100 Fenstern, die Fenster möglichst geschlossen zu halten und möglichst gut abzusichern? Und das ist, das ist so der erste Schritt, den man tatsächlich tun kann und auch tun sollte innerhalb dieser ganzen Identity-Struktur. Und dann der zweite Aspekt, den du auch genannt hast, ist: nicht nur auf dem AD oder im Domain Controller wird mit Credentials umgegangen, sondern eben auch auf der Workstation selbst. Als Beispiel in der Registry bei Windows, in Applikationen werden Credentials gespeichert, im Browser werden Credentials gespeichert. Und da kann ich, möchte ich natürlich auch sicherstellen, dass der geneigte Angreifer, der sich vielleicht auf welche Art und Weise auch immer Zugang zu meinem System verschafft hat, nicht an höherwertige privilegierte Nutzerrechte et cetera kommt. Und da versuche ich dann natürlich auch genau zu verstehen, wie das Verhalten auf dem System ist, um eben zu vermeiden, dass der Angreifer eben an eine spezielle Credentials herankommt und diese nutzt. Und ein ganz gutes Bild finde ich immer - wir haben ja sehr viele Star Trek-Fans auch in unserer Community - der Gedanke von diesem Formwandler. Am Ende ist es das. Wenn ich mir überlege, dass ein Formwandler, der wirklich jede Gestalt annehmen kann, vom Geschäftsführer bis hin zum Admin, in meinem Unternehmen herumwandern kann, dann habe ich in etwa eine Idee, was passiert, wenn jemand wirklich als Domain-Admin et cetera durch meine digitale Welt wandelt. Und das ist natürlich höchst problematisch. Und da muss man was tun.
Ich würde sagen, ich bin ja eher von der Star Wars-Fraktion. Ich bin nicht so sehr der “Trekkie”, sondern von der anderen Fraktion, wenn man das so möchte. Aber ich denke, diese Analogie ist sehr gut und ich glaube, das ist auch dieser Punkt, warum wir jetzt über XDR reden, und vielleicht können wir auch noch mal so ein bisschen so ein Link zu Zero Trust herstellen. Für mich ist Zero Trust, und das ist, glaube ich, ein ganz zentraler Punkt, für mich ist Zero Trust in erster Linie immer ein Konzept von Multi-Layer Security, weil es eben wirklich darum geht, über viele Schichten hinweg und nicht an einem Einzelpunkt eine Sicherheit zu implementieren. Und das bedeutet natürlich auch, dass ich diese Überprüfung möchte. Und da kommen genau diese Punkte rein, die du jetzt auch genannt hast. Also ich habe den Martin, der geht mit seinem Gerät - also, Martin, Identität, authentifiziert sich an seinem Gerät. Dann passiert an dem Gerät was, dabei auch lokale Zugriffe, das Thema, das du gerade angesprochen hast, geht über irgendwelche Netzwerke zu irgendwelchen Systemen, Zugriffsberechtigungen (Was macht er, was darf er?), bis hin zu den Daten. Das sind ganz verschiedene Punkte. Und wir müssen natürlich, wenn der Angreifer dann sich über verschiedene Systeme hinweg bewegt, vielleicht im Laufe dieses Prozesses bei einem gezielten Angriff auch noch weitere Identitäten “ergattert”, dann müssen wir natürlich in der Lage sein, zu erkennen, wo passiert da was, wo ist da etwas, was so nicht passieren darf. Und das ist, glaube ich, der Punkt, wo dann einfach diese Logik von XDR reinkommt. XDR als etwas, was ja Extended Detection and Response ist, da haben wir eine EPDR, Endpoint Protection, Detection and Response, wir haben eine NDR, Network Detection and Response, wir haben verschiedene “DRs”. Und XDR ist ja letztlich das, was sagt: Nur wenn wir über die gesamte Kette arbeiten, sind wir in der Lage, wirklich zu erkennen, was passiert. Gerade dieses Thema, das ja bei der Grundidee von Zero Trust im Vordergrund stand. Die [Englischsprachigen] nennen das Lateral Movement, also dieses, Ich bewege mich, komme über ein System rein in eine Workstation, dann lande ich irgendwann an dem AD Controller, hole mir da Credentials, komme damit wieder in weitere Systeme rein, bis ich am Schluss bei den Kronjuwelen im Tresorraum bin. Dieses “sich bewegen”, und das kriegen wir nur in Griff, wenn wir wirklich über die gesamte Kette hinweg auch analysieren. Vielleicht kannst du noch ein bisschen erläutern, ihr macht jetzt ja XDR, wie deine Sichtweise auf dieses Thema ist.
Also grundsätzlich stimme ich dem zu 100 % zu. Es ist wirklich dieser Multi-Layer-Ansatz eben von den Daten über Infrastruktur, Netzwerk, Anwendung, Endpunkt, Identität zu gehen und wirklich jeden Teilbereich sozusagen als ein Ganzes zu betrachten, das XDR abstrakt gesprochen kann und soll da so ein stückweit die Klammer bilden. Das ist zunächst mal high level ein Stück weit das Thema. Das zweite ist, spannend an dem Thema Identity ist: es ist am Anfang der Angriffskette. Das heißt, je früher wir also innerhalb der Angriffskette eine Erkenntnis haben, die dazu führt, dass wir den Angriff vereiteln können, umso besser. Also rein von der Logik her betrachtet, ist das, ja letztlich der Traum eines jeden Security Admin, möglichst früh den Angriff zu vereiteln. Nicht erst wenn schon - wenn jemand versucht, das Brecheisen an der Haustür anzusetzen, und ich dann sagen kann, Hey, den Typ kenne ich, der macht das auf keinen Fall aus guten Gründen, sondern das stoppen wir hier und nicht erst, wenn innendrin schon der Raum verwüstet wurde auf dem Weg zu den Kronjuwelen. Das ist auch noch mal zu dem Thema Identity. Das ganze Thema XDR, und das ist auch grundsätzlich, diesen Geist in der Cybersecurity tragen wir schon eine ganze Zeit mit uns herum, indem wir nämlich sagen Cybersecurity ist Teamsport. Das heißt, dass wir Informationen austauschen müssen, nicht nur organisatorisch, sondern auch technologisch. Und grundsätzlich, aus meiner Sicht ist XDR eine Art Ökosystem, eine Art Klammer, die wir bilden können, wo wir jedwede sicherheitsrelevante Information aus den einzelnen Layern und eben nicht nur EDR, Endpoint Detection and Response, machen, sondern genau wie du du das sagtest, ITDR ist jetzt so der neueste Schrei, Identity Threat Detection and Response. Und das geht eben weiter: Network Detection and Response. Genau wie du es auch gerade gesagt hast, dass sich diese Informationen letztlich, alle sicherheitsrelevanten Informationen aus dieser Sensorik heraus, aus diesen verschiedenen Layern in ein System packe, um wirklich ein ganz scharfes und umfassendes Bild der Gemengelage zu bekommen, um bessere, schnellere und präzisere Entscheidungen treffen zu können. Am Ende geht es darum. Und das ist das Spannende an dem Thema XDR, und ich glaube, das ist auch die Riesenchance an dem Thema XDR, dass wir eben genau damit eine zentrale Ebene haben, wo alle Informationen zusammenlaufen, versus unterschiedliche Point Solutions, wie es so schön neudeutsch heißt, wo dann jeder so ein bisschen macht, was er möchte, ohne dass der andere Bescheid weiß, was er tut.
Und es ist ja auch keine Einbahnstraße. Ich glaube, das ist auch noch mal ganz wichtig zu verstehen. Also wenn wir das Thema Identity Security nehmen, mit dem Identity Management Thema auf der einen Seite, mit Security-Themen wie XDR auf der anderen Seite, dann ist es ja auch keine Einbahnstraße, sondern es gibt die Identität bezogenen Events, es gibt die Erkennung einfach, ist da ein Identity Threat? Das ist auch ein Teil dieser DR Geschichte. Es gibt aber gleichzeitig natürlich auch dieses Wissen über Risiken, das ein XDR-System generiert, das ja wiederum zum Beispiel bei einer Authentifizierung genutzt werden kann, um zu sagen: sieht verdächtig aus, ich ich muss ein höheres Level, einen weiteren Authentifizierungs-Faktor et ceterea verlangen, weil das Ganze mir ein bisschen seltsam vorkommt. Ich glaube, das ist auch ganz wichtig zu verstehen. Man kann auch das Identity Management durch XDR wiederum besser machen. Es ist keine Einbahnstraße, sondern es ist wirklich Identity Security, das wir als ein Gesamtes sehen sollten. Ich glaube, das ist einfach der zentrale Punkt. Wir haben jetzt uns eine ganze Weile unterhalten über das Thema. Uns geht leider schon wieder ein bisschen die Zeit aus. Ich hoffe, dass wir Ihnen allen so ein bisschen den Einblick geben konnten darüber, warum Identity Security so wichtig ist, wie das mit XDR zusammenhängt und warum es aus meiner Sicht, und sicher auch aus der Sicht von Matthias, essenziell ist, sich mit diesem Thema in einem Gesamtkontext auseinanderzusetzen. Matthias, ganz vielen Dank für deine Statements, deine Ansichten, die ich sehr, sehr spannend finde.
Super. Vielen Dank auch für die Gelegenheit, das Thema ein bisschen voranzubringen. Und ja, vielen Dank.
Danke schön.
