Auf der jährlichen internen ESET-Technologiekonferenz 2024 (ETeC) fand eine Reihe hochkarätiger Workshops, Seminare, Hackathons und Präsentationen statt. ESET-Experten Gabriel Balla (Produktmanager für Enterprise-Lösungen und -Dienstleistungen), James Rodewald (Analyst für Sicherheitsüberwachung) und Michal Hajovsky (Global Sales Lead) gaben einen exklusiven Einblick in ESET MDR (Managed Detection and Response) – seine Entwicklung, Back-End-Systeme und Anwendungserfolge, die den Mehrwert für Unternehmen jeder Größe veranschaulichen.
Der Weg zum Erfolg mit ESET MDR
In der Eröffnungssitzung mit Gabriel Balla und James Rodewald wurden die einflussreichsten Aspekte von ESET MDR im Hinblick auf die Unternehmenssicherheit, vergangene Erfolge und zukünftige Perspektiven diskutiert. Balla begann mit der Schilderung einer vertrauten Situation, die viele IT-Generalisten kennen: eine Überlastung von Aufgaben, die die Qualität der Unternehmenssicherheit beeinträchtigen, da sich Administratoren täglich mit Benutzersupport, Wartung von Geräten und Sicherheitsüberwachung auseinandersetzen müssen.
Kleine und mittelgroße Unternehmen (KMUs) sind hier besonders belastet, da ihnen oft Folgendes fehlt:
- Budget: KMUs verfügen über begrenzte Mittel für hochrangige Sicherheitsmaßnahmen und stehen in hartem Wettbewerb um Fachkräfte, die oft teuer und rar sind.
- Zeit: Ein durchschnittliches EDR/XDR-System kann bis zu 160.000 Warnmeldungen pro Monat für ein KMU mit etwa 250 Arbeitsplätzen erzeugen. Die Verarbeitung all dieser Warnungen erfordert viel Zeit und Fachkenntnis, was zur „Alarmmüdigkeit“ führen kann.
- Wissen: Die Identifizierung von Bedrohungen verlangt spezifische Fähigkeiten und Fachwissen über aktuelle Bedrohungen, was für KMUs oft schwer zu stemmen ist.
Große Unternehmen haben zwar möglicherweise mehr Ressourcen, kämpfen jedoch mit spezifischen Herausforderungen wie einer größeren Angriffsfläche und erhöhten Anforderungen an präventive Sicherheit. Für Unternehmen ist es unerlässlich, dass Sicherheitslösungen umfassend angepasst sind, da die Größe eines Unternehmens das Risiko für Sicherheitslücken und Compliance-Verstöße erhöht.
Rodewald schilderte ein Beispiel, bei dem ein Unternehmen einen Sicherheitsdienst erwarb, diesen jedoch vergaß zu implementieren – eine Situation, die humorvoll klingen mag, jedoch ernsthafte und teure Folgen nach sich ziehen kann.
Wie der Wert von MDR in 30 Tagen demonstriert werden kann
Warum sollten KMUs eine MDR-Dienstleistung benötigen? Ebenso könnte man fragen, warum Großunternehmen über ein eigenes Security Operations Center (SOC) hinaus MDR-Dienste benötigen. Michal Hajovsky beantwortete diese Frage einfach: „82 Prozent der Ransomware-Angriffe richten sich gegen KMUs. Bedrohungsakteure können in Systeme eindringen, ohne Malware zu verwenden, indem sie Schwachstellen in RDP oder MS SQL ausnutzen. Daher ist eine kontinuierliche Überwachung entscheidend", erklärte er.
Hajovsky führte weiter aus, dass ohne EDR/XDR-Lösung die Erkennung böswilligen Verhaltens im Durchschnitt 277 Tage dauert, während es in einem Unternehmens-SOC etwa 16 Stunden in Anspruch nimmt. Bei ESET MDR sind Bedrohungen jedoch in weniger als 30 Minuten erkennbar, da der MDR-Dienst effizient eingerichtet ist. Da vielen Unternehmen die Kapazität fehlt, sich ausschließlich auf Sicherheitsmanagement zu konzentrieren, und sie oft nicht die Expertise für Bedrohungsanalyse und Vorfallreaktion haben, bietet MDR eine wichtige Unterstützung.
ESET MDR wird von Experten betrieben, die mit leistungsstarken internen SOAR- und SIEM-Tools arbeiten, die Daten aus mehreren Quellen integrieren und künstliche Intelligenz, ESET-Forschung und Threat Intelligence nutzen, um schnelle Bedrohungserkennung und proaktive Bedrohungsjagd zu ermöglichen. Zudem erfüllt der MDR-Dienst Compliance- und Versicherungsanforderungen – häufig eine Bedingung für reduzierte Prämien oder grundlegender Schutz.
Erfolgsgeschichten von ESET MDR
James Rodewald erzählte detailliert von einigen Erfolgen mit ESET MDR.
In einem Fall bemerkten ESET MDR-Betreiber, dass seltsame Benutzerkonten erstellt und Administratorrechten hinzugefügt wurden. Dies geschah über einen Mesh-Agenten (ein Open-Source-Tool für Netzwerkmanagement), der normalerweise nicht bösartig ist. Allerdings wurde der Agent im Ordner „c2Update“ (verdächtig ähnlich einem C&C-Server) installiert und lief über „notepad.exe“ aus dem Ordner ProgramData, was auf bösartige Aktivitäten hindeutete.
Als das Benutzerkonto anfing, mehr verdächtige Aktionen auszuführen, wie das Erstellen eines Reverse-Shells oder das Einfügen einer EXE-Datei, die Sicherheitslücken in der Veeam-Software ausnutzte, um Backups zu entleeren, wurde der bösartige Hintergrund klar. Rodewald vermutete: „Dies war wohl der Beginn eines Ransomware- oder Erpressungsangriffs, da wir Mesh-Agenten zur Verbreitung von Ransomware gesehen haben.“
In einem anderen Fall entdeckten ESET-Analysten, dass eine IP-Adresse auf einer offenen SQL-Server-Verbindung auf der Blacklist stand. Durch eine externe Verbindung über „sqlserver.exe“ konnte der Angreifer Administratorrechte erlangen und Betriebssystembefehle ausführen. Das MDR-Team isolierte das Gerät sofort, um den Angriff zu stoppen.
Weitere Analysen ergaben, dass ein PowerShell-Skript namens „updt.ps1“ heruntergeladen und über WMI ausgeführt werden sollte. Ohne EDR-Lösung wären die Verbindungen zwischen diesen Prozessen kaum erkennbar gewesen. Nach weiteren Recherchen konnte der Angriff auf Mallox-Ransomware zurückgeführt werden. ESET MDR stoppte den Angriff, bevor ein EXE-Programm ausgeführt werden konnte, was diesen Fall zu einem großen Erfolg machte.
„Prevention First“ mit ESET MDR
Laut ESET-Telemetrie stiegen die Ransomware-Angriffe im ersten Halbjahr 2024 um 32 % im Vergleich zum Vorsemester. Dies betrifft sowohl KMUs als auch große Unternehmen sowie kritische Infrastrukturen, wie Krankenhäuser, und verdeutlicht das wachsende Problem. Dienstleistungen wie ESET MDR sind für diese hochentwickelten Bedrohungen geschaffen. Sie basieren auf dem „Prevention First“-Ansatz, der Unternehmen schützt, ohne Arbeitsabläufe zu stören.
Die wichtigste Erkenntnis, wie Gabriel Balla betonte, ist eine sorgenfreie Sicherheit, ohne ständige Benachrichtigungen über Bedrohungserkennung oder -beseitigung. So lässt ESET MDR Unternehmen in dem Wissen arbeiten, dass ihre Sicherheit durchgehend gewährleistet ist.