Die IA veränderte das Cyber-Sicherheitsspiel: Warum EDR und NDR zusammenarbeiten sollten

Wenn es etwas gibt, das nie an Cybersicherheit fehlt, ist die kontinuierliche Veränderung: die Angreifer suchen immer wieder nach neuen Wegen, um Verteidigung zu verspotten. In den letzten Jahren haben wir gesehen, wie künstliche Intelligenz, die zuvor als Hilfe für Analyse und Produktivität verkauft wurde, auch ein Offensive-Tool geworden ist, das in der Lage ist, Angriffe zu automatisieren, bösartigen Code zu verbergen und "a la carte" Nutzlasten in Echtzeit zu generieren. Dieser Sprung ist nicht hypothetisch: Forschungsteams wie die Google Threat Intelligence Group haben dokumentiert, wie Sprachmodelle heute helfen, Skripte zu tarnen und Malware zu transformieren, um unbemerkt gegen klassische Kontrollen zu übergeben.

Die Raffinesse ist nicht nur technisch, sondern auch betriebsbereit. Öffentliche Berichte, wie die, die sie veröffentlichte Anthropin sie beschreiben Kampagnen, in denen die IA komplette Phasen des Angriffs orchestrierte, von der ersten Intrusion bis zur Exfiltration, mit einem Grad der unveröffentlichten Autonomie. Gleichzeitig erscheinen kreativere und gefährlichere Vektoren: die Verwendung von Steganographie, um Malware in falschen Bildern zu verstecken oder Bildschirme zu aktualisieren, die Opfer überzeugen, Werkzeuge zu laufen, die Remote Access Trojans oder Anmeldeinformationen Barker installieren.

Das Wachstum dieser Taktiken hat ein weiteres Problem aufgedeckt: viele Angriffe nutzen heute menschliche und Vertrauensprozesse und nicht reine technische Schwachstellen. Kampagnen, die Social Engineering, Midpoint-Angriffe und Techniken wie SIM-Swaps kombinieren, haben es geschafft, Organisationen zu veranlassen, Schutz zu deaktivieren oder Alarme zu entfernen, Malware verbreiten, ohne Erkennungssysteme zu aktivieren. Microsoft hat Varianten dieses Modus operandi in seinen Drohungsteam-Untersuchungen dokumentiert und zeigt, wie Schauspieler die Opfer davon überzeugt haben, Sicherheitsprodukte zu deaktivieren und frühzeitige Reaktion zu erschweren ( siehe Bericht)

In Angesicht dieses Bildes ist die Begrenzung der Abhängigkeit nur auf eine endpunktfokussierte Verteidigung offensichtlich. Die Endpunkterkennungs- und Antwortlösungen (EDR) sind entscheidend, weil sie lokale Prozesse und Verhaltensweisen inspizieren, aber viele der neuen Techniken - von Werkzeugen, die ihre Unterschrift in Echtzeit ändern, bis zu Angriffen, die von unmanaged Devices profitieren - werden entwickelt, um genau solche Kontrollen zu vermeiden.

Deshalb entsteht die Idee, dass DDR und Netzwerkerkennung und -reaktion (NDR) eng zusammenarbeiten müssen. Während die EDR das Innere jeder Maschine untersucht, beobachtet die NDR Verkehrsmuster, Anomalien in der Transit-Telemetrie und Seitenbewegungen, die oft von einem Endpunkt Agenten unsichtbar sind. Diese Netzwerkschicht kann Variationen in Volumen, Herkunft oder Sequenzen von Paketen erkennen, die verdächtige Aktivität melden, auch wenn Endpunkte sauber aussehen. Die jüngsten Fälle von Akteuren, die sich zwischen Domänen bewegen - die Identitäten, Wolken und IoT-Geräte zu kompromittieren - wurden im Netzwerk sichtbar, bevor jeder der Endpunkte rote Fahnen anzog.

Es gibt konkrete Beispiele, die diese Synergie illustrieren. Gruppen, die unbemannte Systeme für Skalierungs- und Verschlüsselungsdaten nutzen, wurden dank der Sichtbarkeit NDR Angebote verfolgt und dann mit EDR zufrieden, wenn der Angriff Endpunkte verwaltet. Öffentliche Forschung zu Akteuren wie Blockade Spider zeigen, wie ein kombinierter Ansatz es Ihnen ermöglicht, die Bewegung durch virtuelle Infrastrukturen und Wolken zu sehen und gleichzeitig bösartige Aktivität in Workstations und Servern enthalten.

Bei anderen Vorfällen war der entscheidende Punkt die Analyse des Netzwerkverkehrs: das Leben von den Landtechniken, die Signaturen in Endpunkten vermeiden, kann weiterhin Spuren in Kommunikationsmustern hinterlassen, in der scheinbaren Geographie von Paketen oder in der Weise, wie legitime Sitzungen maskiert werden. Dort wirkt die NDR als Sicherheitsnetz, das erkennt, was die DDR nicht zu sehen hat. Darüber hinaus fügt die Zunahme der Remote-Arbeit und die Verwendung von VPN oder Managed Services eine weitere Komplexität hinzu: Ein Team, das in einem vertrauenswürdigen Netzwerk engagiert ist, kann zu einem Ausbreitungsvektor werden, wenn niemand Netzwerksignale mit Endpoint-Indikatoren korreliert.

Die Antwort ist nicht, eine Technologie oder eine andere zu wählen, sondern die Telemetrie mit dem Austausch von Metadaten und Kontext zu integrieren und zu bereichern. Die Freigabe von Signalen zwischen Systemen beschleunigt die Bedrohungsjagd und reduziert falsche Positive, indem dem Analyten ein umfassenderes Bild gegeben wird: wo der Eingriff begann, wie er sich bewegte und welche Vermögenswerte betroffen waren. Es erfordert auch eine Sicherheitsvision, die Silos transzendiert - Identität, Endpunkt, Netzwerk, Cloud- und IoT-Geräte müssen zusammenarbeiten, um die Belichtungsfenster zu schließen.

Für Sicherheitsteams bedeutet dies, SOC-Verfahren zu modernisieren: Web-basierte Erkennung, Automatisierung der Anreicherung von Alarmen mit Endpunkten Kontext und Priorisierung der Forschung mit kombinierten Daten. Offene NDR-Plattformen bieten beispielsweise mehrschichtige Erkennungen, die sowohl Anomalien als auch bekannte Muster identifizieren und Analysten erlauben, unveröffentlichte Signale, die mit IA-basierten Vermeidungstechniken verknüpft sind, zu untersuchen. Ein solcher Ansatz macht es für Angreifer schwieriger, ihre Bewegungen hinter operativen Komplexitäten oder Unterschriftsänderungen zu verbergen.

Kurz gesagt, die Ankunft der IA in das Arsenal der Assailants beseitigt nicht die Wirksamkeit der traditionellen Werkzeuge, sondern erfordert eine Neukonfiguration, wie sie verwendet werden: EDR und NDR sind nicht mehr parallele Lösungen, um komplementäre Teile einer Verteidigungsstrategie zu werden. Nur durch ständige Datenkorrelation und die Übernahme verschiedener Detektionsschichten wird es möglich sein, den Wettbewerbsvorteil gegen Gegner zu erhalten, die lernen, ihren Code und ihr Verhalten in Echtzeit anzupassen.

Wenn Sie auf der Suche nach einer weiteren Lesung sind, können Sie neben den in diesem Artikel genannten Links Analyse- und technische Ressourcen überprüfen, die von Bedrohungsreaktionsteams und Netzwerkerkennungsanbietern veröffentlicht werden, die konkrete Fälle und aufstrebende Taktiken erklären. Und wenn Ihr Ziel ist, die Verteidigungsposition einer Organisation zu verbessern, ist die praktische Empfehlung klar: Telemetrie integrieren, Kontext zwischen Werkzeugen teilen und Antwortprozesse aktualisieren, so dass sie die Geschwindigkeit und Anpassungsfähigkeit, die die IA den Angreifern bringt, absorbieren können. Für weitere Informationen über NDR-Plattformen, die dazu beitragen, neue und ausweichende Techniken zu erkennen, spezifische Vorschläge wie Kernlicht, die mehrschichtige Ansätze beschreiben, um ungewöhnliche Netzwerkaktivität zu identifizieren.