Refine
Document Type
- Master's Thesis (1)
Year of publication
- 2022 (1)
Language
- German (1)
Keywords
- Malware (1) (remove)
Ransomware-Angriffe konnten in den letzten Jahren einen starken Anstieg zu verzeichnen. Unternehmen müssen dieser Bedrohung gewappnet sein. Eine Möglichkeit, um Angriffe in einer IT-Infrastruktur frühzeitig zu erkennen, ist der Einsatz von SIEM-Tools. Diese sind mittlerweile ein wichtiger Bestandteil in einem SOC. In dieser Masterarbeit wird die Ransomware-Detektion mittels SIEM-Tools ausgetestet. Hierbei wurde mit dem kommerziellen SIEM-Tool Splunk und dem Open-Source-SIEM-Tool Wazuh gearbeitet. Es wurde ein Regelkatalog erstellt, der es ermöglichen soll, Ransomware zu erkennen. Insgesamt wurden 30 Ransomware-Proben auf einem überwachten Windows-System ausgeführt. Bei jeder Ransomware-Ausführung wurde die ungefähre Verschlüsselungsdauer erfasst. Anschließend wurde ein Vergleich zwischen den beiden SIEM-Tools anhand eines zuvor erstellten Kriterienkatalogs gezogen. Dabei wurde erkannt, dass es bezüglich der Ransomware-Erkennung keine großen Unterschiede zwischen den beiden Tools gab. Splunk weist zwar eine deutlich bessere Performance auf, doch Wazuh stellt eine gute kostenlose Alternative für den Einsatz in kleineren Unternehmen dar. Allerdings ist neuere Ransomware darauf ausgelegt, den Verschlüsselungsprozess zu beschleunigen und die Weiterleitung der Logdaten an das SIEM zu unterbinden, um eine Detektion zu umgehen. Dies zeigt, dass SIEM-Systeme alleinig nicht ausreichend sind, um Ransomware effektiv zu erkennen.