27. Juli 2023 it-daily.net | Jochen Koehler; Ontinue

EDR bietet Unternehmen keinen ausreichenden Schutz

EDR-Tools eignen sich hervorragend, um Clients zu schützen. Aber Hacker zielen durch Phising- und Ransomware-Attacken mittlerweile verstärkt auf die Nutzeraccounts und Infrastrukturen. Unternehmen benötigen daher neue Sicherheitskonzepte. [...]

Foto: Kris/Pixabay

Eine komplexe IT-Infrastruktur zu betreiben, ähnelt dem Steuern eines Schiffes. Nicht umsonst orientieren sich die Namen und Logos vieler Tools wie Kubernetes an maritimer Symbolik. Wie die Bordcrew bei einer Seefahrt, müssen sich IT-Abteilungen in Unternehmen vor den Gefahren ihrer Reise auf dem Cybermeer schützen. Dafür gibt es verschiedene Ansätze und Hilfsmittel.

Endpoint Security ist ein guter Anfang

Ein guter Start, um klar Schiff zu machen und die Daten-Ladung zu sichern, sind Endpoint Detection and Response (EDR)-Tools, die in ihrer Funktionalität deutlich über einfache Antiviren-Software hinausgehen. Statt Dateien nach vorgegebenen Erkennungsmustern auf Signaturen bekannter Viren zu durchsuchen, analysieren EDR-Tools sämtliche Vorgänge, die auf einem Endpunkt ablaufen.

Darunter unter anderem Zugriffe auf bestimmte Dateien, die Registry oder den Speicher. Die Software überprüft zudem, welche Prozesse und Anwendungen der Nutzer ausführt oder stoppt, und erkennt Transaktionen, die er im Netzwerk durchführt.

Basierend auf einer Echtzeitanalyse all dieser Vorgänge evaluieren EDR-Tools das Verhalten der User und geben Warnungen, wenn sie Anomalien feststellen. Die IT-Abteilung kann sie mit Hilfe von Machine-Learning-Algorithmen und künstlicher Intelligenz auch darauf trainieren, eigenständig auf wiederkehrendes Verhalten zu reagieren. Klassischerweise würde die Software beispielsweise einen Endpunkt isolieren und aus dem Unternehmensnetzwerk ausschließen, wenn sie ein auffälliges Verhalten feststellt.

Nur auf EDR zu setzen, wäre allerdings fahrlässig, denn Cyberkriminelle zielen längst nicht mehr nur auf die Clients ab, sondern nehmen in zunehmendem Maße auch die User selbst durch Phishing-Attacken ins Visier.

Ziel dieser Angriffe ist es, Zugangsdaten zu erhalten, um dann eben nicht den Client zu kapern, sondern tiefer in die IT-Infrastruktur des Unternehmens vorzudringen. Gelingt das, nutzt auch die beste EDR-Lösung nichts mehr.

Setzen Unternehmen rein auf die Sicherheit der Endpunkte, bleiben Administratoren blind für die sicherheitsrelevanten Vorgänge, die sich innerhalb der gesamten IT-Infrastruktur abspielen. Um dieser Blindheit zu begegnen und den nächsten Schritt zu einer ganzheitlichen Sicherheitsstrategie zu gehen, benötigen Unternehmen eine sogenannte Security Information and Event Management (SIEM)-Plattform.

SIEM-Tools erweitern die Sichtbarkeit der Security-Teams auf die gesamte IT-Infrastruktur und entsprechen einer Schiffsbrücke, auf der sämtliche Informationen zusammenlaufen. Sie geben der IT-Abteilung eine Übersicht über den Status und allokieren Daten aus sämtlichen Anwendungen, (Cloud-)Services und Geräten wie Netzwerkkomponenten.

Eine SIEM-Plattform ist darüber hinaus auch in der Lage, die gesammelten Daten zu analysieren, die Ergebnisse in Dashboards zu visualisieren und Warnungen auszugeben. Natürlich könnten Administratoren diese Arbeit auch manuell durchführen, also aktives  Monitoring betreiben und die Informationen auswerten.

In der Praxis ist dieser Vorgang angesichts der Datenmengen unmöglich und noch dazu fehleranfällig. Anders als EDR-Tools sind SIEM-Plattformen allerdings nicht in der Lage, eigenständig auf Bedrohungen zu reagieren und vordefinierte Schutzmaßnahmen zu ergreifen.

Die von ihnen gesammelten Daten bilden jedoch die Grundlage für holistischere Ansätze wie Extended Detection and Response (XDR)-Tools. Diese Tools bieten reaktive Funktionalität der EDR-Tools, nutzen dafür aber die umfangreiche Sichtbarkeit, die die Daten einer SIEM-Plattform bieten.

MXDR-Anbieter erweitern die unternehmensinternen Security-Plattformen wie Microsoft Sentinel mit eigenen Tools und bieten vollständige Security Operations Center als Service. (Quelle: Ontinue)

Der Faktor Mensch entscheidet

Ob Unternehmen nun auf eine reine SIEM-Lösung wie Microsoft Sentinel oder auf elaboriertere Sicherheits-Tools wie eine XDR-Lösung setzen, am Ende ist der Mensch der limitierende Faktor für die Sicherheit. Keine Software lässt sich komplett automatisiert betreiben, einrichten und überwachen.

Selbst EDR- und XDR-Lösungen bieten nicht für jede Eventualität rein KI- oder regelbasierte Maßnahmen, die dem Menschen die Arbeit abnehmen. Gleichzeitig steigt die Zahl der Cyberattacken und deren Varietät ständig, während Hacker neue Angriffsvektoren suchen. Dadurch geraten Unternehmen immer häufiger unter Druck, eigene Security Operations Center (SOCs) aufzubauen und zu betreiben.

SOCs bestehen in der Regel aus verschiedenen IT-Sicherheitsexperten, die sich auf unterschiedliche Gebiete spezialisieren. Neben Personal für klassische Aufgaben wie der Auswertung von Warnungen und dem Schließen von Sicherheitslücken sind immer häufiger auch Fachkräfte gefragt, die sich mit Threat Hunting und Threat Intelligence beschäftigen.

Bei der Threat Intelligence geht es um Aufklärungsarbeit: Experten beobachten die Bedrohungslage weltweit und evaluieren, was das jeweilige Unternehmen benötigt, um auf sie zu reagieren.

Das Threat Hunting ist der exekutive Gegenpart dazu, nämlich die Suche nach eben diesen Schwachstellen und potentiellen Lücken in der eigenen Sicherheitsinfrastruktur. Viele SOCs haben auch ein Automatisierungs-Team, dessen Mitglieder analysieren, welche Schritte in den Cybersecurity-Workflows automatisiert werden können.

Sie konfigurieren Tools beziehungsweise trainieren KIs dementsprechend. Ein Security Operations Center in Verbindung mit einer nahtlos aufeinander abgestimmten Sicherheitsinfrastrukur bestehend aus EDR-, SIEM- und XDR-Plattform ist derzeit das Optimum in Sachen Cybersecurity.

Da jedoch selbst die finanzstärksten Konzerne am Aufbau und Betrieb eines eigenen SOC scheitern, setzen viele Unternehmen auf Managed Extended Detection and Response (MXDR) Partner und erweitern somit ihre Flotte. Gute MXDR-Anbieter nutzen die bestehenden Tools und erweitern sie mit eigenen Security-Plattformen, die auf ihnen aufsetzen und eine noch größere Funktionsvielfalt sowie eine KI-basierte Automatisierung ermöglichen.

Sie bieten zudem ganze SOCs, die mit den internen Experten zusammenarbeiten, um ein engmaschiges Sicherheitsnetz zu spinnen, das Unternehmen nicht nur zu den üblichen Geschäftszeiten, sondern rund um die Uhr schützt. Auf diese Weise haben es Hacker umso schwerer, IT-Abteilungen weniger Stress und ihr Unternehmen genügt den höchsten Sicherheitsansprüchen für seine gefährliche Reise auf dem Cyber-Meer.

powered by www.it-daily.net


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Christoph Mutz, Senior Product Marketing Manager, AME, Western Digital (c) AME Western Digital
Interview

Speicherlösungen für Autos von morgen

19. September 2024 Klaus Lorbeer

Autos sind fahrende Computer. Sie werden immer intelligenter und generieren dabei jede Menge Daten. Damit gewinnen auch hochwertige Speicherlösungen im Fahrzeug an Bedeutung. Christoph Mutz von Western Digital verrät im Interview, welche Speicherherausforderungen auf Autohersteller und -zulieferer zukommen. […]

Andreas Schoder ist Leiter Cloud & Managend Services bei next layer, Alexandros Osyos ist Senior Produkt Manager bei next layer. (c) next layer
Interview

Fokus auf österreichische Kunden

19. September 2024 Klaus Lorbeer

Der österreichische Backup-Experte next layer bietet umfassendes Cloud-Backup in seinen Wiener Rechenzentren. Im Interview mit ITWelt.at erläutern Andreas Schoder, Leiter Cloud & Managed Services, und Alexandros Osyos, Senior Produkt Manager, worauf Unternehmen beim Backup achten müssen und welche Produkte und Dienstleistungen next layer bietet. […]

Miro Mitrovic ist Area Vice President für die DACH-Region bei Proofpoint.(c) Proofpoint
Kommentar

Die Achillesferse der Cybersicherheit

19. September 2024 Miro Mitrovic*

Eine immer größere Abhängigkeit von Cloud-Technologien, eine massenhaft mobil arbeitende Belegschaft und große Mengen von Cyberangreifern mit KI-Technologien haben im abgelaufenen Jahr einen wahrhaften Sturm aufziehen lassen, dem sich CISOS ausgesetzt sehen. Eine große Schwachstelle ist dabei der Mensch, meint Miro Mitrovic, Area Vice President DACH bei Proofpoint. […]

Alexander Graf ist Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH. (c) Antares-NetlogiX Netzwerkberatung GmbH
Interview

Absicherung kritischer Infrastrukturen

19. September 2024 Wolfgang Franz

NIS2 steht vor der Tür – höchste Zeit, entsprechende Maßnahmen auch im Bereich der Operational Technology (OT) zu ergreifen. »Wenn man OT SIEM richtig nutzt, sichert es kritische Infrastrukturen verlässlich ab«, sagt Alexander Graf, Experte für OT-Security (COSP) und Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH, im ITWelt.at-Interview. […]

Brian Wrozek, Principal Analyst bei Forrester (c) Forrester
Interview

Cybersicherheit in der Ära von KI und Cloud

19. September 2024 Christof Baumgartner

Die Bedrohungslandschaft im Bereich der Cybersicherheit hat sich zu einer unbeständigen Mischung von Bedrohungen entwickelt, die durch zunehmende Unsicherheit und steigende Komplexität bedingt ist. Zu diesem Schluss kommt der Report »Top Cyber-security Threats In 2024« von Forrester. ITWelt.at hat dazu mit Studienautor Brian Wrozek ein Interview geführt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*