Kommentar zum CrowdStrike-Desaster: Mehr VerfĂĽgbarkeit wagen!
Das CrowdStrike-Desaster hat eines gezeigt: Die IT-Welt sollte die VerfĂĽgbarkeit nicht den anderen, zugegebenermaĂźen ebenfalls wichtigen Schutzzielen opfern.
(Bild: CLS Digital Arts/Shutterstock.com)
- Janis König
Der weltweite Ausfall kritischer IT-Systeme (Distributed DoS mal anders) war ein beeindruckendes Beispiel dafür, was schiefgehen kann, wenn Systeme zur Endpoint Detection and Response (EDR) ohne eine Full-Recovery-Strategie in der Breite ausgerollt werden. Diese priorisieren unter den drei Schutzzielen der Informationssicherheit ganz klar Confidentiality und Integrity höher als Availability: Im Zweifel werden auch systemkritische Komponenten gegebenenfalls gelöscht und unter Quarantäne gestellt, wenn dadurch eine Kompromittierung der Nutzdaten verhindert werden kann.
CrowdStrike ist gerade für sein Threat Hunting und das schnelle Bereitstellen von Indicators of Compromise für Zero Days bekannt – da wird lieber schnell und scharf geschossen, als zu warten. Diese Abwägung ist insbesondere dann sinnvoll, wenn es sich bei den zu schützenden Geräten um Endgeräte der Angestellten handelt, die oft nur schwer gehärtet werden können, ohne ihre Nutzbarkeit arg einzuschränken. Und deren Ausfall gleichzeitig nur geringe Auswirkungen hat.
Irgendeine Fallback-Ebene muss sein
Server und andere Ein-Zweck-Geräte wie Kiosk- oder Digital-Signage-Systeme können hier durch ihren sehr klaren Anwendungszweck und eingeschränkte User-Interaktionen bereits anderweitig gut abgesichert werden: Einschränken von schreibbaren und/oder ausführbaren Orten auf dem Dateisystem, Wegwerf-Nutzerprofile, Allow Lists für Dienste et cetera. In manchen Fällen kann auch schlicht der Zugang zum Internet komplett abgedreht werden.
Ein EDR kann trotzdem sinnvoll sein, gerade für einerseits die "Dreckecken" der Infrastruktur, die keiner mehr überblickt, und andererseits für all das, was mit obigen Einschränkungen nicht abgedeckt werden kann: Erlaubt etwa eine Serveranwendung Uploads in einen Ordner, dann kann dieser zusätzlich durch ein traditionelles Antivirenprogramm (AV) überwacht werden, während das EDR darüber hinaus Logging- und Introspection-Möglichkeiten bietet. Die "Response" in EDR sollte dann aber auf bestimmte Pfade, Einstellungen oder Netzwerke eingeschränkt sein.
Wenn alle Stricke reißen, ist eine Ausfallstrategie essenziell. Das können schlicht Snapshots sein – oder eine komplette Administration der Systeme "in Code": Sind diese Systeme ausschließlich per Infrastructure as Code (IaS) aufgesetzt, kann ein kompletter Reset der Maschinen und ein Redeployment vergleichsweise einfach durchgeführt werden.
Sind solche Maßnahmen zur Ausfall-Recovery nicht umsetzbar und ist es auch nicht möglich, nur "eingeschränkte" AV-Lösungen einzusetzen, da die Verfügbarkeit nicht komplett unerheblich ist, dann sollte man hinterfragen, ob ein Next-Gen-EDR/-XDR (Extended Detection and Response) wirklich die Silver Bullet der Security ist, als die sie oft verkauft wird. Denn Availability gehört immer noch zur CIA-Triade (siehe Abbildung).
All das soll natürlich kein Ablassbrief für CrowdStrike sein, auch wenn das Unternehmen selbst schreibt, dass der Einsatz seines Falcon-EDR-Sensors in kritischen Infrastrukturen (KRITIS) nicht empfohlen wird – aus genau den ausgeführten Gründen. Trotzdem darf es natürlich nicht sein, dass ein einfacher Parse-Fehler in einer von ihm selbst ausgelieferten korrupten Datei solche tiefgreifenden Auswirkungen hat. Aber auch Microsoft sollte nachbessern und es ermöglichen, mehr Komponenten eines EDR außerhalb des Kernels oder in einer VM (wie mit eBPF) auszuführen.
(ur)
