Big-Data-Technik schützt das Unternehmensnetz

Netzwerkschutz im Inneren

von - 11.07.2019
Team Rapid Detection Center bei F-Secure
Ganz ohne Mensch geht es nicht: Für die manuelle Auswertung verdächtiger Aktionen steht bei den meisten Security-Anbietern rund um die Uhr ein Threat-Hunting-Team bereit.
(Quelle: F-Secure)
Als reines Stand-alone-Produkt wird Endpoint Detection and Response nur vereinzelt angeboten, meist ist EDR Bestandteil einer umfangreichen Next-Generation-Lösung. Alle verfügbaren Mechanismen sollen besser zusammenarbeiten und Unternehmensnetzwerke an sämtlichen Endpunkten schützen.
Hinzu kommen moderne Techniken wie Machine Learning und Big Data. Sie sind heutzutage für einen umfassenden Schutz unabdingbar. Damit lassen sich die in Netzwerken anfallenden Daten zur Angriffserkennung analysieren. Anomalien spürt man durch Vergleiche mit bekannten Abläufen mittels Big Data leichter auf. Eine solche Datenanalyse hat den großen Vorzug, nicht nur auf die interne Datenbank mit bekannten Angriffsmustern angewiesen zu sein.
Viele Security-Hersteller bieten ihre EDR-Lösung auch gemanagt an. Hierfür ist durchaus ein Markt vorhanden: „56 Prozent der deutschen Unternehmen fehlen Fachkräfte in der IT-Sicherheit“, betont Richard Werner, Business Consultant bei Trend Micro. Bei der gemanagten Form übernimmt die primäre Betreuung oft ein Systemhaus mit geschulten Mitarbeitern. Bei auftretenden Anomalien informieren sie die Systemadministratoren des Unternehmens und verfolgen den Fall. Wird dieser zu komplex, kann das Systemhaus das Problem an ein Spezialistenteam des Herstellers eskalieren. Das erwähnte Threat-Hunting-Team hilft dann bei der forensischen Auswertung des Vorfalls.
Ein Unternehmen kann eine EDR-Lösung natürlich auch ausschließlich intern betreuen. Das setzt allerdings einige Administratoren-Schulungen voraus. Im Notfall können diese sich ebenfalls an die Spezialistenteams der Hersteller wenden.
Richard Werner
Richard Werner
Business Consultant bei Trend Micro
www.trendmicro.de
Foto: Trend Micro
„56 Prozent der deutschen Unternehmen fehlen Fachkräfte in der IT-Sicherheit.“
Dass das Thema EDR für Unternehmen immer bedeutender wird, zeigen auch die Analysen des Marktforschungsunternehmens Gartner, das die Anbieter von EDR-Lösungen schon seit Jahren unter die Lupe nimmt. Gartner listet hier Symantec, Trend Micro und Sophos als Leader. Aufgeführt sind ebenfalls die Unternehmen ESET, Kaspersky Labs, Mc-Afee, F-Secure, Bitdefender, Panda Security und Microsoft.
Auch IDC hat bereits 2017 in der Studie „Next Gen Endpoint Security in Deutschland“ festgestellt, dass EDR ein wichtiger Bestandteil der Sicherheitsstrategie im Unternehmen sein sollte. Darin beschreibt IDC-Analyst Matthias Zacher Next Gen Endpoint Security als Erweiterung etablierter Lösungen zum Schutz der Endpoints „um neue Advanced-Security-Technologien und Security-Architekturen sowie proaktive Vorgehensweisen zum Erkennen und Beseitigen von Schwachstellen und Vorfällen auf den Endpoints.“ Eine gute Umschreibung, was EDR leisten kann. In seinem Fazit erklärt der IDC-Analyst: „Die Ergebnisse der Studie zeigen auch, dass sich der Umgang mit Security in den Firmen gewandelt hat. Der Security-Fokus verschiebt sich von eher reaktiven Ansätzen hin zur kontinuierlichen Überwachung in Echtzeit, kombiniert mit entsprechenden Reaktionen auf Auffälligkeiten im System. Das ermöglicht den Unternehmen somit, ihre Organisation viel stärker proaktiv und vorausschauend abzusichern. Dennoch nutzt erst die Hälfte der Unternehmen diesen Ansatz.“
Anomalien im Netzwerk: EDR vs. SIEM
EDR analysiert Anomalien im Netzwerk ähnlich wie SIEM-Lösungen und reagiert auch ähnlich darauf. Dabei geht SIEM technologisch gesehen völlig andere Wege als EDR.
Security Information and Event Management, kurz SIEM, überwacht Unternehmensnetzwerke in Echtzeit auf Anomalien durch Nutzer oder Anwendungen. Anders als bei einer EDR-Lösung wird bei SIEM in der Regel kein Agent auf einem Endpunkt benötigt. Lediglich Kollektoren auf Servern sind oft zur Datensammlung notwendig. SIEM sammelt möglichst viele Log-Daten und vergleichbare Informationen aus dem gesamten Netzwerk. Eine SIEM-Lösung muss daher Zugriff auf Datenbanken, Server, Netzwerkkomponenten, Anwendungen, die Datenkommunikation und Ereignisprotokolle erhalten. Leistungsfähige SIEM-Produkte berücksichtigen auch Assets, Bedrohungen, bekannte Verwundbarkeiten und Informationen, die durch eventuell vorhandene Intrusion-Protection-Systeme gewonnen wurden. Somit ist eine SIEM-Lösung in der Lage, die angefallenen Event-Daten über einen längeren Zeitraum zu speichern, und kann speziell im eingesetzten Netzwerk Verhaltensanalysen erstellen und so Bedrohungen und Anomalien erkennen.
Verglichen mit einer EDR-Lösung ist die Datenbasis sehr unterschiedlich. Denn EDR vergleicht bekannte Vorfälle oder Abläufe in einem Netzwerk und erkennt die Anomalien mit Hilfe von Big Data. Da SIEM-Lösungen die Abläufe im eingesetzten Netzwerk sammeln, erlernen und analysieren, kann die Auswertung noch granularer sein als bei einer EDR-Lösung. Das ist allerdings nur dann der Fall, wenn die Datenbasis bei SIEM recht groß ist. Und genau das ist der kleine Haken bei diesen Lösungen, den etwa Experten von F-Secure in einem Blog-Beitrag nennen: Sie müssen die Datenbasis meist ein bis zwei Jahre aufbauen und auswerten, bevor die Ergebnisse sehr fein werden. Zudem muss die Lösung in der gesamten Zeit von den IT-Experten betreut und bei Fehleinschätzungen korrigiert werden.
Seite
  1. Teil: Big-Data-Technik schützt das Unternehmensnetz
  2. Teil: Netzwerkschutz im Inneren
  3. Teil: Lösungen im Überblick
Verwandte Themen

Mehr zum Thema