Antivirus, SIEM, EDR – Wie hängt das zusammen?

Antivirus, EDR, SIEM

Die Kombination macht’s!

Antivirus, SIEM, EDR – Wie hängt das zusammen?

Im SoftwareONE Blog-Artikel - Wissen ist Macht – Endpoint Detection & Response – konnten Sie bereits erfahren, was Endpoint Detection and Response (EDR) ist und warum EDR zu einer funktionierenden Cybersicherheitslösung unbedingt dazugehören sollte. Dieser Beitrag dringt noch tiefer in die Materie ein und richtet sich speziell an Sicherheitsbeauftragte in IT-Abteilungen. Sie erfahren, was EDR von Endpoint Security (Antivirus / Endpoint Protection) unterscheidet, welche Herausforderungen Standalone-EDR-Lösungen mit sich bringen und was SIEM von EDR abgrenzt.

EDR vs. Antivirus / Endpoint Protection

Was unterscheidet die beiden Ansätze eigentlich genau? Früher reichte eine klassische Antivirenlösung häufig schon aus, um Endgeräte zuverlässig zu schützen. Mittlerweile hat sich Malware aber derart weiterentwickelt und verändert, dass zusätzliche Präventions- und Erkennungsmechanismen notwendig sind, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten. EDR-Lösungen verfügen über eine Reihe spezieller Features und Vorteile, die über lange Zeit nicht von den etablierten Sicherheitsanbietern auf dem Markt angeboten wurden. Man kann sogar so weit gehen, zu sagen, dass die klassischen Lösungen einfacherer Natur sind, und obwohl sie einen wichtigen Bestandteil von EDR ausmachen, übernehmen sie nur grundlegende Aufgaben, wie das Scannen, Erkennen und Entfernen von bekannter Malware.

EDR-Tools sind deutlich umfangreicher und umfassen zusätzliche Sicherheitskomponenten z. B. zur Abwehr von Angriffen und dem Missbrauch legitimer Anwendungen, zum Blockieren von Exploits, zum Schutz vor intelligenter dateiloser Malware und auch zur Abwehr von Datendiebstahl, um nur einige Schwerpunktbereiche zu nennen. Darüber hinaus bieten sie umfassende Möglichkeiten zur Gefahren- und Ursachenanalyse und geben detaillierte Einblicke über betroffene Dateien, Registry-Einstellungen und Netzwerkverbindungen (Root Cause Analysis). Wenn trotz aller Schutzmaßnahmen ein Vorfall entdeckt wurde, ist es wichtig, in der gesamten Umgebung schnell suchen zu können („Threat Hunt“), um festzustellen, ob dasselbe schadhafte Programm auch an anderen Orten greift, um es präventiv und proaktiv zu neutralisieren und weiteren Schaden zu verhindern.

Herausforderungen bei Standalone-EDR-Lösungen

In der Praxis zeigt sich: Unternehmen, die auf eine Standalone-EDR-Lösung setzen, haben mit einigen Herausforderungen zu kämpfen:

  • Sichtbarkeit und Erkennung: Blinde Flecken erschweren es, das Geschehen zu verstehen.
  • Analyse und Aufklärung: Security-Teams leiden unter Datenmangel oder werden mit großen Datenmengen überflutet.
  • Reaktion auf Vorfälle: Es werden immer mehr Ressourcen und Zeit benötigt, um auf Vorfälle präzise reagieren zu können.

Darüber hinaus haben klassische EDR-Lösungen folgende Nachteile:

  • Schwierig in der Anwendung: EDR kann komplex in der Anwendung sein und hängt stark von Experten und verfügbaren Sicherheitsanalysten ab.
  • Begrenzter Mehrwert: Der Mangel an proaktivem Schutz und automatischer Reaktion führt zu überlasteten Sicherheitsteams.
  • Ressourcenintensiv: Sie sind teuer, zeitaufwendig und erfordern engagiertes (Fach-)Personal.

Das Ergebnis ist, dass Anwender überfordert sind und mit Fragen zurückbleiben wie: Ist die Bedrohung vorbei oder werde ich jetzt angegriffen? Hat sich die Bedrohung ausgebreitet, sind wir nicht mehr compliant? Was sollte ich priorisieren, wie sollte ich reagieren und wo befindet sich die Bedrohung noch? Und vielleicht am wichtigsten: Wie verhindere ich, dass so etwas in Zukunft passiert?

Um dem entgegenzuwirken, ist es ratsam, eine Lösung mit intelligentem EDR in Betracht zu ziehen. Das gesamte Know-how wird dann von „innen heraus“ bereitgestellt. Die folgenden drei Punkte fassen die wesentlichen Merkmale einer sinnvollen und wirksamen EDR-Lösung zusammen:

  • Erkennen: in verständlicher Form ausgedrückt, nach Prioritäten geordnet und für automatische Aktionen vorgesehen.
  • Untersuchen: Durchsuchung und Überprüfung von Bedrohungen im gesamten Unternehmensbereich.
  • Daten aufbereiten: automatisch in den richtigen Zusammenhang und Kontext gebracht und in einer übersichtlichen Art und Weise dargestellt.

EDR bietet nur deshalb einen so wirksamen Schutz, weil Angriffe gestoppt werden können, noch bevor sie starten. Eine solche intelligente Funktion und die dafür benötigten Hintergrunddaten müssen in einer wirksamen EDR-Lösung bereits integriert sein. Das gilt auch für die entsprechenden Reaktionen auf einen Störfall. Auch diese sollten so weit wie möglich automatisiert erfolgen.

Was unterscheidet SIEM von EDR?

Um die Unterschiede zwischen EDR und SIEM deutlich zu machen, muss zunächst geklärt werden, was SIEM eigentlich ist und warum Unternehmen so eine Lösung benötigen. SIEM steht für Security Information and Event Management. Eine SIEM-Lösung sammelt Echtzeitdaten von mehreren Systemen und analysiert sie, um auffällige oder untypische Verhaltensweisen und potenzielle Cyberangriffe zu erkennen. Man kann also sagen, dass eine SIEM-Lösung einen zentralen Ort zum Sammeln von Sicherheitsereignissen und -warnungen von Endpunkten, Netzwerkkomponenten, verschiedenen Arten von Software und Anwendungen darstellt.

Der Grund dafür, dass viele Unternehmen eine SIEM-Lösung benötigen, um Protokolle zu überwachen und verdächtige Ereignisse zu melden, liegt darin, dass die meisten Unternehmen viel zu viele Ereignisse erzeugen, als dass ein IT-Sicherheitsmitarbeiter signifikante Sicherheitsereignisse aus den Daten korrelieren könnte. Eine der Ursachen für eine große Anzahl von Warnungen in einer SIEM-Lösung kommt von Endpoints (z.B. Laptops), die ein Security Operations Center Team (SOC) schnell überfordern können. Eine EDR-Lösung ist speziell auf die von den Endpunkten ausgelösten Warnungen abgestimmt und kann diese Warnungen auf ein für das SOC handhabbares Volumen reduzieren.

Zu den wichtigsten Einsatzgebieten für SIEM gehören Netzwerkkomponenten (einschließlich IDS/IPS, Switch und Firewall) und Datenbanken. Dies bietet einen größeren Erkennungs- und Analysebereich. Um auf Basis dieser Erkenntnisse Maßnahmen ergreifen zu können, sind jedoch zusätzliche Werkzeuge erforderlich. Die Zeitspanne für die Rückverfolgung von Protokollen ist im Vergleich zu EDR-Lösungen deutlich länger, aber aufgrund der breiten Abdeckung gibt es weit weniger blinde Flecken.

Die reinen EDR-Anbieter, von denen es seit einigen Jahren immer mehr gibt, haben sich auf genau diese Lücken konzentriert, die die traditionellen Anbieter von Security-Lösungen bei der Arbeitsplatzsicherheit hinterlassen haben. Ihr Fokus liegt hauptsächlich auf Endpoints mit "Next-Gen"-Erkennungstechniken, einer besseren und vollständigeren Analyse der Endpoints und Möglichkeiten zur Behebung von Störfällen an Arbeitsplätzen. Allerdings ist der Zeitraum, der für die Analyse genutzt werden kann, oft auf wenige Monate begrenzt und blinde Flecken bleiben bestehen.

Was Sie aus diesem Artikel mitnehmen sollten?

Kurz gesagt: Klassische Antivirus und Endpoint Protection-Lösungen reichen zur Abwehr von Cyberangriffen in der heutigen Zeit nicht mehr aus und sollten mit EDR-Lösungen, die zusätzliche Sicherheitskomponenten enthalten, kombiniert werden. Dabei sind sie mit intelligenten EDR statt Standalone-Lösungen besser beraten, da diese einfacher zu handhaben sind. SIEM-Lösungen bieten die perfekte Ergänzung für EDR-Tools, da sie einen umfassenderen Erkennungs- und Analysebereich beisteuern.

Finden Sie den idealen Weg zur Bekämpfung von Cybersicherheitsrisiken

Sie möchten die Security in Ihrem Unternehmen verbessern, wissen aber nicht, wo Sie anfangen sollen? Die Managed Security Services von SoftwareONE unterstützen Sie dabei. Erfahren Sie mehr darüber, wie wir Ihnen helfen können, Ihre wertvollsten Vermögenswerte zu sichern.

Entdecken Sie unsere Managed Security Solutions

SoftwareONE setzt in Sachen Security auf Lösungen von McAfee und verfügt in der DACH Region über den höchstmöglichen Status als McAfee Solution Provider Platinum. Dieser weist unsere Kompetenz und Kundenzufriedenheit in vielen erfolgreichen Projekten aus.

Platinum-Partner müssen über erprobte Lösungen und Services verfügen, mit denen sie auch die umfangreichsten und komplexesten Security-Lösungen erfolgreich meistern können. SoftwareONE deckt alle von McAfee definierten Kompetenzfelder ab und wird daher als ein sehr wichtiger weltweiter Partner gesehen.

  • Cybersecurity User Awareness, Cybersecurity, Managed Security
  • Endpoint Management, Endpoint Security

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Ivan Vukadin

Solution Specialist - Business Network & Security

Verwandte Artikel