Partner Blog

Living-off-the-Land-Angriffe: Eine Herausforderung für die Erkennung und Reaktion in Managed Services, die von WatchGuard Advanced EPDR abgedeckt werden

26 September 2024 Von Iratxe Vazquez
Blog_AdvEPDR_launch

Im Bereich der Cybersicherheit stellen Living-off-the-land (LotL)-Angriffe eine bedeutende Herausforderung dar, insbesondere für Managed Service Provider, die für die Sicherheit ihrer Kunden verantwortlich sind. Diese Angriffe nutzen legitime Systemwerkzeuge und -funktionen anstelle von herkömmlicher Malware und erfordern daher eine ausgeklügelte Strategie zur Erkennung und Abwehr.

Die Wichtige Rolle der Advanced Partner bei der Erkennung von LotL-Angriffen

Als Advanced Partner spielt Ihre Rolle bei der Verteidigung gegen LotL-Angriffe eine entscheidende Rolle. Diese Angriffe sind schwer zu erkennen, da sie keine bösartigen Dateien in die Systeme Ihrer Kunden einführen, die vom Zero-Trust Application Service in WatchGuard EDR, EPDR und Advanced EPDR blockiert würden. Stattdessen verwenden die Angreifer native Tools wie PowerShell, WMI und Office-Makros, um bösartige Aktivitäten durchzuführen, ohne Verdacht zu erregen.

Wie WatchGuard Advanced EPDR bei der Erkennung und Reaktion auf LotL-Angriffe hilft

WatchGuard Advanced EPDR ist darauf ausgelegt, Partnern die Werkzeuge zur Verfügung zu stellen, die sie benötigen, um effektiv auf LotL-Angriffe zu reagieren. Durch den Zugriff auf angereicherte Telemetrie und fortschrittliche Verhaltensanalysefähigkeiten identifiziert WatchGuard Advanced EPDR verdächtige Aktivitäten, die den Taktiken und Techniken des MITRE ATT&CK-Frameworks zugeordnet sind, selbst wenn Angreifer versuchen, sich durch LotL-Techniken zu verbergen. Dies hilft Analysten dabei, den Verlauf eines Angriffs besser zu erkennen.

Spezifische Strategien für Advanced Managed Security Services Partner

  • Implementierung von Anwendungskontrollrichtlinien: Als Partner können Sie Anwendungskontrollrichtlinien einrichten, die die Verwendung von Tools wie PowerShell oder WMI nur auf autorisierte Benutzer beschränken. Dies minimiert das Risiko, dass Angreifer diese Tools missbrauchen, um die Systeme Ihrer Kunden zu kompromittieren.
  • Überwachung und Untersuchung in Echtzeit: Die neue Version von WatchGuard Advanced EPDR ermöglicht es Sicherheitsexperten, auf angereicherte Telemetrie mit Bedrohungsinformationen über eine zentrale Cloud-basierte Konsole zuzugreifen, um ein IoA (Indicator of Attack), das in den Umgebungen ihrer Kunden erkannt wurde, zu untersuchen.
    Diese Funktion ist entscheidend, um schnell die Verhaltensmuster von LotL-Angriffen zu erkennen, mit Informationen über die MITRE ATT&CK-Taktik und -Technik, wie zum Beispiel die Ausführung dateiloser Skripte in PowerShell oder die Nutzung von WMI für die Fernsteuerung.
  • Erweiterte Untersuchungen und schnelle Reaktionen durch Remote-Shell auf allen Plattformen: Die neue Version von WatchGuard Advanced EPDR ermöglicht es, eine Remote-Shell zu öffnen, um Dateien abzurufen, Prozesse zu inspizieren und sogar direkt auf dem Endpunkt Maßnahmen zu ergreifen, sei es auf Windows, Linux oder macOS.
  • Netzwerksegmentierung und Verbindungssteuerung: Zusätzlich zur Segmentierung im Netzwerk ermöglicht WatchGuard Advanced EPDR das Blockieren von Verbindungen von Endpunkten, die ein Risiko darstellen. Dies stärkt die allgemeine Sicherheitslage Ihrer Kunden zusätzlich, indem verhindert wird, dass sich Angreifer seitlich im Netzwerk bewegen.
  • Kontinuierliche Schulungen und Sensibilisierung: Ein wesentlicher Bestandteil Ihrer Strategie als Partner ist es, sicherzustellen, dass Endbenutzer gut über die Risiken von Makros und den sicheren Umgang mit Verwaltungstools geschult werden. Kontinuierliche Schulungen können verhindern, dass Mitarbeiter versehentlich bösartige Skripte ausführen, die die Sicherheit der gesamten Organisation gefährden könnten.

Vorteile für Ihre Kunden durch den Einsatz von WatchGuard Advanced EPDR

Durch die Nutzung von WatchGuard Advanced EPDR als Teil Ihrer Managed Services bieten Sie Ihren Kunden eine robuste Lösung, die dank des Zero-Trust Application Service nicht nur Angriffe durch unzuverlässige Anwendungen erkennt und blockiert, sondern auch Ihr Team befähigt, fortschrittliche Angriffstechniken wie LotL zu bewältigen. Ihre Kunden können sich darauf verlassen, dass Ihre Managed Security Services ihre Systeme selbst vor den heimtückischsten Bedrohungen schützen.

Fazit

Living-off-the-land-Angriffe stellen eine einzigartige Herausforderung dar, die eine Kombination aus fortschrittlichen Technologien und kontinuierlicher Überwachung erfordert. Als Advanced Partner haben Sie die Verantwortung und die Möglichkeit, Ihre Kunden vor diesen Bedrohungen zu schützen, indem Sie Lösungen wie WatchGuard Advanced EPDR einsetzen. Durch die Integration dieser Fähigkeiten in Ihre Managed Services können Sie einen überlegenen Schutz und eine schnelle Reaktion auf Vorfälle bieten und das Vertrauen der Kunden in Ihre Dienstleistungen stärken.

Gespeichert unter: Endpoint-Security, Detection & Response, Endpoint-Geräte, Endpoints schützen, Threat Hunting, Channel-Partner, Managed Security
Blog Startseite

Ähnliche Beiträge

Img_Blog_Post_XDR_Generic-(1)_0.jpg
Artikel

Mehr Flexibilität bei WatchGuard MDR, inkl. der aktiven Reaktion durch Partner während der Geschäfts…

Artikel

Mehr Flexibilität bei WatchGuard MDR, inkl. der aktiven Reaktion durch Partner während der Geschäfts…

WatchGuard freut sich, eine leistungsstarke Erweiterung unseres MDR-Angebots ankündigen zu können, die es Partnern ermöglicht, rund um die Uhr Bedrohungsüberwachung, -erkennung und proaktive Eindämmung bereitzustellen und gleichzeitig eine aktive Reaktion von Partnern während der Geschäftszeiten zu…

Artikel lesen
Blog Startseite