Die Sturmflut von 1953 kostete in den Niederlanden 1.835 Menschenleben. Daraufhin legten die Niederländer den sogenannten Deltaplan auf, um ihre Küste vor Hochwasser zu schützen. Ein Netzwerk von Dämmen hält heute das Meer zurück, während bewegliche Barrieren mit IT-gesteuerten Sensoren im Notfall Wasserwege abschotten. Zugleich überfluten aber auch kriminelle und/oder staatsnahe Angreifergruppen – die Grenzen sind hier fließend – die Welt mit zerstörerischen, teils gezielten Angriffen wie etwa Ransomware. Das Security-Startup ForeNova aus Amsterdam hat dafür Abwehrmaßnahmen entwickelt.
Fast ein Viertel der Landesfläche haben die Niederländer über die Jahrhunderte hinweg dem Meer abgetrotzt. Diese trockengelegten Gebiete liegen unterhalb des Meeresspiegels und stünden deshalb bei einer Sturmflut schlicht unter Wasser – so auch die Hauptstadt Amsterdam, Sitz von ForeNova. Bei dem 2021 gegründeten Security-Startup weiß man also, was es heißt, einer existenziellen Gefahr ausgesetzt zu sein – aber auch, dass man Bedrohungen mit Verstand, Ingenieurskunst und Hartnäckigkeit in den Griff bekommen kann.
ForeNova vertreibt die NDR-Lösung (Network Detection and Response) NovaCommand, die nach Herstellerangaben über 100 Angriffsarten der Mitre-Att&ck-Matrix erkennt. Die Cloud-Lösung ist – so Paul Smit, Mitbegründer und Director Customer Services von Forenova, gegenüber LANline – bei Equinix in Frankfurt gehostet, ein Failover würde notfalls innerhalb des Frankfurter RZs erfolgen. Die Software lasse sich aber auch lokal beim Anwenderunternehmen betreiben.
Eine NDR-Lösung erkennt Attacken mittels rein passiver Überwachung anhand von Auffälligkeiten im Netzwerk-Traffic. Ein aktives Eingreifen im Angriffsfall, beispielsweise das automatische Isolieren verdächtiger Endgeräte, unterstützt eine NDR-Lösung hingegen nicht – in Industrie- und Krankenhausnetzwerken wäre dies auch gar nicht gewünscht.
Vom Damm zum Sperrwerk
Allerdings gibt es – in der Katastrophenvorsorge wie in der der IT – zahlreiche Szenarien, die schnelles Handeln erfordern. So beschützen zum Beispiel die beiden 237 Meter langen, beweglichen Stahlbarrieren des Maeslant-Sperrwerks den Großraum Rotterdam samt seines wichtigen Hafens vor Hochwasser. Mit Dämmen und Sensorik allein lässt sich im Ernstfall weder Schiffs- noch Datenverkehr schützen: Man muss auch aktiv eingreifen können.
Für Reaktionsmaßnahmen wie das Isolieren eines mit Ransomware befallenen Endpoints war ForeNova bislang auf das Zusammenspiel mit EDR-Tools (Endpoint Detection and Response) angewiesen. Nun aber haben die Niederländer nachgerüstet und eine eigene EDR-Software namens NovaGuard vorgestellt. Sie ergänzt die NDR-Software um Endpunkt-Überwachung und eben auch die bis dato fehlende Reaktionsmöglichkeit. Auf diese Weise, so Thomas Krause, Regional Director DACH bei Forenova, könne die hauseigene Software bei einem Ransomware-Angriff nicht nur Netzwerksegmente abschotten, sondern auch bis zum einzelnen Endpunkt rettend eingreifen.
Für die Kombination aus NDR und EDR – teils auch deren Zusammenspiel mit einem SIEM-System (Security-Information- und Event-Management) verwenden manche Security-Anbieter das Kürzel XDR (für Extended Detection and Response). ForeNova verzichtet angenehmerweise auf diesen schwammigen Marketing-Begriff. Im LANline-Interview sprachen die beiden ForeNova-Manager auch lieber schlicht von Anomalieerkennung oder statistischer Analyse und vermieden die Modebegriffe KI und ML (Machine Learning).
Jedenfalls erlernt NovaGuard – wie auch jene Lösungen, deren Anbieter sie mit den Labeln KI und ML schmücken – laut Krause ein Verhaltensprofil eines Endpunkts, um in der Folge bei Abweichungen Alarm schlagen zu können. Nützlich: Ein Ransomware-Honeypot ist bereits Teil des EDR-Agents. Ein Security-Team spart sich somit die Arbeit, separate Lockfallen für Erpresser aufsetzen zu müssen.
Der EDR-Agent unterstützt laut ForeNova diverse Betriebssysteme: Windows, macOS sowie die Linux-Varianten CentOS, Debian, Oracle, Red Hat, SUSE und Ubuntu. Zudem biete man Kompatibilität mit Legacy-Systemen ab Windows XP und Windows Server 2008 – wichtig für den Einsatz in vielen Industrie- und Healthcare-Umgebungen.
NovaGuard biete zudem eine Mikrosegmentierung. Für derlei granulare Abschottung nutzten IT-Teams bislang Firewalls, dies könne man nun direkt über die Endpoints umsetzen. Dazu, so Krause, bilde ForeNova Endpoint-Gruppen, die untereinander kommunizieren dürfen.
Und schließlich unterstützt ForeNovas EDR-Software auch Hot Patching, also die Umsetzung schneller Workarounds, um Code-Injection-Angriffe abzuwehren. Dies verschafft einem Anwenderunternehmen einen wichtigen zeitlichen Spielraum, bis der jeweilige Software-Hersteller den offiziellen Patch liefert.