Endpoint-driven security: Vom EDR zum SIEM zum SOC
Nicht erst seit der geplanten Einführung des IT-Sicherheitsgesetz 2.0 (ITSG) und der Novelle der EU-DSGVO ist Sicherheit in der IT-Infrastruktur ein zentrales Thema. Doch wie sollten die für ein umfassendes Sicherheitsbild notwendigen Daten erfasst werden, um im Rahmen eines Security Operation Center (SOC) genutzt zu werden - und welche Datenquellen sind dabei relevant? Hier verschiebt sich der Fokus immer mehr in Richtung der Endpunkte.
Aktuell werden für viele IT-Sicherheitsanwendungen noch hauptsächlich Infrastruktur-Daten (Switche, Router, Firewalls, …) herangezogen. Diese bieten ohne Frage ein umfassendes Bild der Vorgänge innerhalb eines Unternehmensnetzwerkes. Dabei wird jedoch nicht allzu selten außer Acht gelassen, wo sich ein Großteil der Cyber-Sicherheitsvorfälle ereignet: auf den Endpunkten, sprich auf Client- und Serversystemen und aktuell auch immer häufiger auf mobilen Devices. In dieser Blogreihe möchten wir Ihnen präsentieren, warum Daten aus allen Schichten einer IT-Landschaft nötig sind, um ein umfassendes Bild zu erhalten und wie aus dem Zusammenspiel verschiedener Systeme ein „großes Ganzes“ wird.
Endpoint Detection and Response - und die Frage nach den Perimetern
Warum entscheiden sich immer mehr Unternehmen für den Einsatz eines modernen Endpoint Detection and Response (EDR) Systems? In den letzten Jahren hat sich in vielen Unternehmen die Ansicht durchgesetzt, dass eine Perimeter-Überwachung, also das Sammeln der Daten am Übergang zwischen Unternehmensnetzwerk und der „Außenwelt“ ausreichend ist, um Kompromittierungen zu erkennen und Datendiebstahl zu verhindern. Dies ist jedoch nur bedingt richtig. Zum einen lässt dies die Erkennung von Innentätern, die mit physischen Datenträgern arbeiten, nicht zu. Darüber hinaus sind in den meisten Netzwerken dank BYOD (Bring Your Own Device) und mobilen Datenanbindungen gar nicht mehr alle Perimeter eindeutig zu definieren.
Zusätzliche Datenerhebung auf Quellsystemen
Es zeigt sich, dass eine zusätzliche Erhebung der Daten an den Endpunkten viele dieser Schwachstellen deutlich reduziert. EDR-Systeme, welche auch im Unternehmensnetz angemeldete Mobilgeräte erfassen können, sammeln die Daten dort, wo sie zuerst entstehen: auf den Quellsystemen. Ein zusätzlicher Vorteil eines solchen Systems ist die Möglichkeit der Cross-Machine-Correlation, also der Verknüpfung von Ereignissen über mehrere Komponenten hinweg. Dadurch lassen sich auch Cyber-Angriffe erkennen, die mittels Lateral Movement versuchen, den eigentlichen Angriffsvektor zu verschleiern, um länger unentdeckt zu bleiben.
Ein modernes EDR vereint darüber hinaus auch noch die zuvor genannten Funktionen mit denen eines Next Generation Antivirus und einer Ransomware Protection. Diese setzt nicht nur auf signaturbasierte Erkennung, sondern auf Heuristik und verhaltensbasierte Analyse und kann somit auch bislang nicht bekannte Bedrohungen erkennen und bestenfalls stoppen, bevor Schaden entsteht.
Aggregation aller Daten im Security Information and Event Management System
Unserer Erfahrung nach sammeln bereits viele Unternehmen die Daten ihrer Netzwerke und legen sie ab. Daten sammeln ist jedoch nicht gleich Daten auswerten. Sofern Logs und Sensordaten nur in einem Data Lake gespeichert, jedoch nicht nutzbringend analysiert werden, ist abgesehen von einer möglicherweise Compliance-relevanten Speicherung nichts gewonnen. Mit Hilfe eines Security Information and Event Management System (SIEM), wie z.B. Splunk Enterprise Security können heterogene Daten aggregiert, korreliert und nach sicherheitsrelevanten Kriterien ausgewertet werden. Dies ist nach dem ITSG sogar zwingend vorgeschrieben – im Falle eines Cyberangriffs und fehlender Sicherheitsmaßnahmen drohen hier hohe Bußgelder!
Das Security Operation Center als Schaltzentrale
Nicht zuletzt dient ein SIEM auch als Werkzeug für den Betrieb eines Security Operation Center (SOC). Das SOC kann, richtig aufgebaut, in jedem Unternehmen zur Schaltzentrale der IT-Sicherheit werden. Dies funktioniert jedoch nur, wenn nicht mit stumpfen Waffen gekämpft wird, und die Sicherheitsanalysten nur auf bereits erfolgte Angriffe reagieren können.
Der Betrieb dieser Komponenten einer umfassenden IT-Sicherheit stellt vor allem für kleine und mittelständische Unternehmen eine große Herausforderung dar. Oft müssen hierfür Kompetenzen gebündelt werden, die dann in der Unternehmens-IT an anderer Stelle fehlen. EDR- und SIEM-Lösungen lassen sich jedoch auch als Managed Service betreiben. Sprechen Sie hierzu gerne mit den Experten der magellan netzwerke GmbH.
In den nächsten Folgen dieser Reihe werfen wir einen detaillierten Blick auf die genannten Komponenten und zeigen Ihnen, wie sie diese zielgerichtet in Ihrem Unternehmen etablieren oder ausbauen können und welche Fallstricke dabei zu beachten sind.
Folgende Artikel könnte Sie ebenfalls interessieren:
Endpoint-driven security: EPP oder EDR?