Bedrohungserkennung: EDR und/oder SIEM?

24. April 2024

Die Herausforderung bei der Erkennung von modernen Cyber-Bedrohungen wurde mit der Einführung von generativen KI-Technologien nicht reduziert. Noch immer reicht ein falscher Klick für die Infektion des gesamten IT-Systems einer Organisation. Jeden Tag fällt mindestens ein weiteres mittelständisches Unternehmen den Ransomware-Gruppen wie Black Basta, Lockbit und anderen zum Opfer. Genauso treten jeden Tag neue an die Stelle derer, die von den Strafverfolgungsbehörden aus dem Netz genommen werden. Das Geschäftsmodell ist immer noch viel zu lukrativ.

Vor allem der Mittelstand läuft Gefahr ins Hintertreffen zu geraten, obwohl die bislang eingesetzten KI-Mittel der Angreifer noch begrenzt sind, ist ihre aktuelle Strategie mit Phishing und Ransomware-Infektionen zu arbeiten immer noch viel zu erfolgreich. Da sich der Klick auf eine gefährliche E-Mail nicht mit technischen Mitteln allein verhindern lässt, lässt sich auch das Risiko einer Infizierung durch Malware nicht vermeiden. Der Fachkräftemangel zwingt deshalb immer mehr Unternehmen zu einem Engagement von externen Partnern, die durch Managed Security Services die nötigen Fachleute aber auch Technologien und Prozesse vorhalten können, um eine Infektion und Ausbreitung der Schadsoftware zu erkennen und einzuschränken.

Es stellt sich jedoch die Frage nach dem richtigen Technologie-Ansatz bei der Bedrohungsbekämpfung. In den letzten Jahren wurden vor allem zwei Lösungen diskutiert Endpoint Detection & Response (EDR) und Security Information & Event Management (SIEM). Der Versuch, eine EDR-Lösung mit SIEM zu vergleichen, ist wie der Vergleich zwischen Äpfeln und Birnen.
Aus der Sicherheitsperspektive ist ein EDR darauf ausgelegt, Endpunkte zu überwachen und zu sichern, während sich SIEM auf das Sammeln, Speichern und Analysieren von Daten aus vielen verschiedenen Protokollquellen, einschließlich Endpunktsystemen, zur Erkennung, Untersuchung und Reaktion auf Bedrohungen konzentriert. Anstatt sich auf den Unterschied zwischen SIEM und EDR zu konzentrieren, sollten Unternehmen sich also lieber ansehen, wie beide Systeme gegen Angriffe vorgehen.

EDR scannt und identifiziert gefährliche Dateien

Die Software scannt nach verschiedenen Arten von Indikatoren für eine Gefährdung, sogenannten IOC’s und suchen nach Dateien und Änderungen, bei denen es sich möglicherweise um Viren und Malware handeln könnte. Sie können eine Vielzahl von Daten aus dem System auslesen und Aktionen auf dem Rechner durchführen, z. B. die Ausführung eines Skripts zum Entfernen einer Datei oder die Isolierung des Rechners vom Netzwerk.

Allerdings wirkt dieser Ansatz nicht gegen ausgefeilte Bedrohungen wie die sogenannten Advanced Persistent Threats (APTs). APTs wie andere auch versuchen, den mit dem Internet verbundenen Teil des Systems zu kompromittieren und diese Endpunkte sind in der Regel weniger hoch abgesichert. Sie versuchen darüber hinaus, tiefer in das System einzudringen. Dies gelingt in der Regel durch laterale Bewegungen zum aktiven Domain Controller. Auf diese Weise können sie sich im Netzwerk festsetzen und sich anderen Teilen des Computer Netzwerks nähern.

Im besten Fall erkennt und beseitigt EDR die Bedrohung. Da sich die Angreifer darauf konzentrieren alle Arten von Hintertüren zu schaffen und zu erhalten, können Unternehmen die Bedrohung manchmal nicht mehr loswerden. Security Analysten haben letztendlich keine Möglichkeit, seitlichen Bewegungen im Netzwerk zu verfolgen, sondern können nur die einzelnen Endpunkte in den Blick nehmen. Dies ist zu wenig gegen moderne Bedrohungsakteure.

SIEM als umfassenderes Analyse-Tool

Nach einer Kompromittierung beginnen alle Teams mit der Incident Response, um den Cyberangriff zu beheben und die Auswirkungen abzumildern. Zu diesem Zweck versuchen die Analysten mit forensischen Mitteln den digitalen Fußabdruck der Bedrohung zu erfassen. Hier spielen gute Protokollquellen eine große Rolle. Bei APTs ist es äußerst schwierig, festzustellen, ob die Bedrohung beseitigt wurde. Erstens, weil Angreifer immer versuchen werden, EDRs zu deaktivieren, so dass man nicht wirklich sicher sein kann, dass die EDR-Aufzeichnungen nicht manipuliert wurden.

Unternehmen mit einem guten Protokollierungssystem können alle im SIEM verfügbaren Daten für die Forensik nutzen, um zu untersuchen, was tatsächlich passiert ist und die richtigen Abhilfemaßnahmen beschließen. Unternehmen ohne SIEM hingegen können sich dessen nicht sicher sein.

Letztlich sind EDR und SIEM weil sie auf unterschiedlichen Ansätzen basieren, keine sich gegenseitig ausschließenden Technologien. Mit der Converged SIEM-Plattform erhalten Unternehmen eine vollständige SIEM-Lösung, die ihnen die Sammlung, Speicherung und Analyse von Protokollen sowohl für die Einhaltung von Vorschriften als auch für forensische Zwecke ermöglicht. Darüber hinaus basiert das SIEM auf einer End-to-End-Sicherheitsplattform mit SOAR für die Automatisierung und Reaktion sowie einem nativen Endpunkt-Agenten namens AgentX, mit dem sie mehr Endpunkte erreichen die Protokolle speichern und deren Schwachstellen bewerten können.

In Kombination mit dem SIEM und SOAR bietet AgentX dem Converged SIEM sofort einsetzbare EDR-Funktionen. Da der Endpunkt-Agent nativ integriert ist, müssen die generierten Bedrohungsinformationen nicht extrapoliert werden, um zu verstehen, welche Bereiche von der Bedrohung betroffen sind.

Andreas Kunfermann ist Sales Engineer für die Region CEMEA bei Logpoint.

Logpoint

Lesen Sie auch