Werbung – Wenn es um das Thema IT-Sicherheit geht, bleibt die Erkenntnis, ein einzelnes Produkt kann nicht alle Bedrohungen erkennen, alle Exploits verhindern oder alle Angriffe abwehren kann. Mein ehemaliger MVP-Kollege Helge Klein hat mit seiner Firma vast limits GmbH das Produkt uberAgent Endpoint Security Analytics (ESA) entwickelt. Es handelt sich um eine Lösung, die der IT-Abteilung die benötigten Informationen zum Monitoring sowie zu potentiellen Sicherheitsvorfällen liefert. Das im Artikel vorgestellte Produkt uberAgent ESA läuft auf macOS sowie auf Windows-Systemen und besitzt eine Splunk-Integration.
Anzeige
Wo es bei EDR-Lösungen häufig hakt
Endpoint Detection and Response-Systeme (EDR) wird in der IT eingesetzt, um einen Endpunkt (Macs oder Windows-Systeme) kontinuierlich auf Cyber-Bedrohungen zu überwachen. Das Problem: Die EDR-Systeme können nicht alle Sicherheitsbedrohungen erkennen – manche Produkte weisen sogar alarmierende Lücken auf.
In einer Studie haben George Karantzas und Constantinos Patsakis sogar gravierende "blinde Flecken" in der Überwachung der IT durch EDR-Systeme aufgedeckt. So können diese Systeme DLL-Sideloading-Angriffe nicht erkennen, geschweige denn blockieren. Eine ähnliche Aussage wird in diesem aktuellen heise-Artikel getroffen.
Oft fokussieren die Systeme auf die Erkennung von Angriffen über ausführbare Dateien und Skripte, ignorieren aber Dokumente oder komprimierte Dateien. Oft ist auch nicht klar oder nicht dokumentiert, welche Sicherheitsbedrohungen die EDR-Lösungen erkennen und abwehren können. Das mag auch mit "Schutz der Technologie" zu tun haben – für den Kunden ist das aber nicht optimal, da er mit einer Black-Box hantiert und hoffen muss, dass es gut geht.
Und es gibt für IT-Verantwortliche noch eine weitere Problemstelle: EDR-Produkte fokussieren sich auf die Erkennung und Blockierung bösartiger Ereignisse. Aber die betreffenden Produkte liefern der IT keinen Einblick in das normale Anwendungs- (oder Benutzer-) Verhalten. Das reicht vom Startverhalten eines Systems bis hin zur Anmeldedauer von Nutzern oder warum Anwendungen oder das Netzwerk hängen bzw. nicht die erwartete Leistung bringen. Diese Informationslücke erschwert die Erkennung von Ausreißern und Anomalien, eine Aufgabe, die normalerweise von Analysten mit Hilfe eines SIEM durchgeführt wird.
Anzeige
Um die "Mängelliste" voll zu machen, ist es in manchen Fällen auch kompliziert bis unmöglich, EDR-Daten in ein SIEM-System (Security Information and Event Management) wie Splunk zu bekommen. Manchmal gibt es eine beträchtliche Zeitverzögerung, bevor die Daten im SIEM auftauchen, wodurch sich Alarme und Benachrichtigungen verzögern. Eine Einführung in die Analyse der Endpunktsicherheit mit uberAgent ESA lässt sich über ein YouTube-Video abrufen.
Ein SIEM-System wie Splunk aggregiert Event-Daten aus verschiedenen Datenquellen innerhalb der Netzwerkinfrastruktur. Das umfasst Server, Systeme, Geräte und Anwendungen, vom Perimeter bis zum Endbenutzer. Letztendlich bietet eine SIEM-Lösung der IT eine zentrale Sicht mit zusätzlichen Erkenntnissen, in der Kontextinformationen über Benutzer, Assets und mehr bereitstehen. Diese Lösung konsolidiert und analysiert die Daten auf Abweichungen von den von Unternehmen definierten Verhaltensregeln, um potenzielle Bedrohungen zu erkennen.
Splunk ist eine Log-, Monitoring- und Reporting-Plattform der in San Francisco angesiedelten Splunc Inc., die Daten nahezu jeder Art und aus nahezu jeder Quelle für Benutzer zugänglich und nutzbar macht. Die Plattform durchsucht Logs, Metriken und weitere Daten von Applikationen, Servern und Netzwerkgeräten und indiziert sie in ein durchsuchbares Repository. Der Anbieter wurde von Gartner 2021 zu den Marktführern unter den SIEM-Anbietern gezählt.
uberAgent als Monitoring-Tool
An dieser Stelle kommt das von vast limits GmbH entwickelte Produkt uberAgent Endpoint Security Analytics (ESA) zum Tragen. Ziel von Helge Klein und seiner Mannschaft war es, der IT-Abteilung mit einem Monitoring-Tool die Informationen zu liefern, die sie benötigt, um die Benutzerfreundlichkeit und die Sicherheit zu verbessern. Zu den hochwertigen Funktionen (Metriken) von uberAgent gehören:
- die Bereitstellung detaillierter Informationen über die Boot- und Anmeldedauer der überwachten Systeme (Informationen, die zeigen, warum und wann Boote/Anmeldungen langsam sind),
- die Erkennung der Reaktionsgeschwindigkeit von Anwendungen,
- Drilldowns zur Netzwerkzuverlässigkeit sowie die Dauer von Prozessstarts,
- die Messung der Anwendungsnutzung, der Browsergeschwindigkeit pro Website
- und Einblicke in Remoting-Protokolle.
Monitoring/Analyse von Maschinen mit uberAgent
Dies ermöglicht der IT-Abteilung eine Vielzahl unterschiedlicher Systeme im Auge zu behalten und deren reibungslosen Betrieb zu gewährleisten.Mit uberAgent erhält die IT beispielsweise einen Überblick:
- was vor sich geht: wie viele Sitzungen, wie viele Benutzer, wie viele Maschinen, etc. aktuell laufen.
- aber auch die Antwortzeiten pro Maschine, pro Anwendung und sogar pro Sitzung sind abfragbar.
Selbst die Dauer der Anmeldung, die Verarbeitung von Gruppenrichtlinien und die Dauer des Ladens von Benutzerprofilen in allen Einzelheiten sind darstellbar.
Mit uberAgent wird das Management bei der Überwachung der SLA-Einhaltung (Service Level Agreement) unterstützt. Denn das Produkt zeigt, ob es unnötige Pausen und Unterbrechungen im Arbeitsablauf durch IT-Systeme gibt, indem es Antworten auf Fragen wie:
- Wie lange dauert es, bis ein PC oder Laptop hochgefahren ist?
- Wie lange dauert eine Anmeldung?
- Wie lange müssen die Endnutzer warten, bis die Anwendungen starten?
liefert. Dabei lässt sich der Ressourcenverbrauch einer durchschnittlichen Benutzersitzung (RAM, IOPS, Netzwerkdurchsatz, CPU-Nutzung), die Ressourcennutzung pro Anwendung etc. überwachen und darstellen. Unverzichtbar, wenn es um die Skalierung und Kapazitätsplanung geht. Selbst Fragen zur korrekten Lizenzierung von Produkten kann uberAgent über die entsprechenden Informationen liefern.
CPU- und RAM-Nutzung im Windows Defender
Natürlich deckt uberAgent auch die IT-Sicherheitsanforderungen im Hinblick auf den Schutz von Systemen vor Malware und die Erkennung von ausgeklügelten Angriffen ab.
- Die Activity Monitoring Engine von uberAgent spürt Bedrohungen und riskantes Verhalten auf.
- Administratoren bzw. IT-Mitarbeiter können jeden Prozess über seine gesamte Lebensdauer verfolgen und Aufrufketten in Echtzeit oder im Nachhinein analysieren.
- Alle Netzwerkverbindungen werden aufgezeichnet und können pro Benutzer, Netzwerkziel, Anwendung oder Endpunkt abgebildet werden.
Für die Fehleranalyse lässt sich mit Hilfe der gesammelten Daten herausfinden, ob es Korrelationen bezüglich bestimmter Verhaltensweisen zwischen einer einzigen Maschine oder einem bestimmten Nutzer und verschiedenen Systemen gibt. Einen Überblick über die verschiedenen Funktionen findet sich hier sowie in der Dokumentation des Produkts, Beiträge zu verschiedenen Aspekten der Datenerfassung und Auswertung lassen sich in Blog-Beiträgen nachlesen.
Obiges Bild verlinkt auf ein Youtube-Video mit einer Einführung in die Analyse der Endpunktsicherheit mit uberAgent ESA. Eine Einführung in das User Experience & Application Performance Monitoring mit uberAgent ist hier als Video auf Youtube abrufbar.
Integration in Splunk
uberAgent basiert auf einer leistungsstarken Plattform, Splunk, die es ermöglicht, die Daten von uberAgent mit Informationen aus beliebigen anderen Quellen (z.B. Filer, Firewalls) anzureichern und echte operative Intelligenz zu generieren.
Die Activity Monitoring-Engine von uberAgent basiert dabei auf uAQL, einer leistungsstarken Ereignisabfragesprache. Wann immer eine Activity Monitoring-Regel auf verdächtiges oder ungewöhnliches Verhalten trifft, erzeugt der Endpunkt-Agent ein Ereignis im SIEM. Obwohl uAQL nur minimale Ressourcen auf dem Endpunkt benötigt, unterstützt es alle Aspekte der Sigma- und Sysmon-Regelspezifikationen, so dass eine Konvertierung ohne Verlust der Originaltreue möglich ist.
Ein Vorteil von uberAgent ist dessen Skalierbarkeit und Flexibilität. Die größten Kunden der vast limits GmbH haben uberAgent auf mehr als 100.000 Endpunkten implementiert (siehe hier für weitere Informationen). Dies zeigt, dass es keine eingebauten Beschränkungen in der Architektur des Produkts gibt. Es zeigt auch, dass uberAgent von Natur aus flexibel konfiguriert und eingesetzt werden kann. Schließlich haben Unternehmen mit Hunderttausenden von Endpunkten meist heterogene Netzwerke und komplexe Anforderungen.
uberAgent ESA ist wahrscheinlich das Windows- und macOS-Sicherheitsprodukt, das die detaillierteste Basislinie regelmäßiger Systemaktivitäten zur Überwachung der Benutzererfahrung (UXM) und zur Analyse der Endpunktsicherheit (ESA) sammelt. Die Komponente zur Überwachung der Benutzererfahrung von uberAgent umfasst u.a. Anwendungsaktivitäten, Benutzersitzungen, Netzwerkverbindungen und Browserkommunikation.
Demos und Community-Lizenz
Demos lassen sich über die Partner der vast limits GmbH oder direkt mit dem Hersteller vereinbaren, Referenzen sind hier verfügbar. Evaluierungs- und Community-Lizenzen zum Testen können über folgenden Link angefordert werden.
Anmerkungen: Der Artikel wird für einige Tage auf der Startseite des Blogs verankert – also nicht irritiert sein, wenn da ein Artikel mit festem Datum steht.
Ich lasse die Kommentierung für den sponsored Post zu, da ein Kunde beim letzten Projekt wertvolles Feedback zum Produkt bekam. Ich war, als die Anfrage kam, von dem, was ich von Helge Klein und vast limits GmbH so gesehen habe, recht angetan (deutscher Anbieter, sinnvolles Produkt), verfüge aber über keine praktische Erfahrung mit uberAgent ESA. Falls es also konkrete Fragen gibt, kontaktiert den Anbieter. Bei Erfahrungen gerne auch ein Feedback als Kommentar hinterlassen.
Anzeige
Sind Benutzerdaten so Anonymisiertbar das sich zwar unterscheiden lässt welche Prozesse, Anwendungen und Sitzungen von einem Benutzer ausgeführt wurde, jedoch nicht *wer* diese Aktionen getätigt hat?
Sonst sind eine vielzahl der Funktionen *Arbeitnehmer Überwachung* und dürften früher oder später im Unternehmen entweder sehr sauer aufstoßen bzw. wird die Einführung und Genehmigung dann recht kompliziert.
Passend zum neusten EDR-Beitrag auf Heise:
Ich nehme an hier werden die vorhandenen Leistungsindikatoren von Windows verwendet? Bzw. ebenfalls die ntdll Apis mit den gleichen "schwächen" der bekannten EDR-Lösungen?
Zum "heise-Beitrag": Du meinst diesen Artikel zu EDR, der das reflektiert, was ich oben im Text kurz angerissen habe.
Zum Thema "Benutzerdaten": Die IT legt ja selbst fest, welche Daten an den Endpunkten gesammelt werden (ist ja der Vorteil gegenüber manchen anderen Lösungen, die als Black-Box daherkommen). Daher kann die IT das Erfassen von Benutzerdaten im Einklang mit den Arbeitnehmervertretern steuern. Aber vielleicht schreibt Helge Klein da noch einen Kommentar zu.
Benutzernamen können bereits auf dem Endgerät von uberAgent verschlüsselt werden (Doku: https://uberagent.com/docs/uberagent/latest/uxm-features-configuration/username-and-configuration-setting-encryption/). Dies vereinfacht in manchen Unternehmen die Diskussion mit dem Betriebsrat, hat aber den Nachteil, dass der Helpdesk nicht mal eben nachschauen kann, welche Probleme bei einem bestimmten Nutzer auftreten.
uberAgent verwendet unterschiedliche Datenquellen, u.a. auch einige Leistungsindikatoren, aber nur wenige. API-Hooking, wie es bei EDR-Produkten üblich ist, wird von uberAgent gar nicht betrieben. API-Hooking ist invasiv, es verändert jeden laufenden Prozess. uberAgent beobachtet nur, ohne zu verändern.
uberAgent ESA versteht sich nicht als Ersatz für EDRs, sondern als Ergänzung.
Ich bin übrigens der Geschäftsführer von vast limits, der Firma, die uberAgent entwickelt.
Vielen Dank für die Informationen :)
Produkt ist mal in die Todo-Liste aufgenommen.
XDR inkl. SOC macht mehr Sinn. EDR ist schon ein bisschen überholt. Das gilt zumindest für den kleineren Mittelstand. Wer kann sich schon inHouse Analysten und Forensiker leisten. Z.B. ist Sentinelone einen Blick wert wenn vieles zusammen sollte.
Und das Red Team nicht vergessen :)
Vielen Dank für den Artikel. Da wir uns fast immer an Ihre Empfehlungen halten, werden wir das wahrscheinlich auch hier uberAgent kaufen. Besten Dank nochmal!
Ich gehe davon aus, dass ihr das Produkt vorher evaluiert. Als Blogger kann ich nur eine grobe Vorauswahl treffen. Was durch kommt, ist von mir i.d.R. als "möglicherweise für die Leserschaft sinnvoll/interessant" klassifiziert worden – aber ob es passt, entscheidet jeder Admin/IT-Verantwortliche immer noch selbst.