Comparisons of open source endpoint detection and response tools for improvement of cyber resilience

Abstract

The trend of cyber threats has been increasing exponentially in both type and frequency for the past decades. The emergence of new information technologies and multi-platform in digital businesses has been leading to new potential threats and vulnerabilities. Thus, organizations need to invest more in cybersecurity safeguards to prevent and manage ongoing attacks. Cyber resilience enables organizations to be ready and proactively handle cyber threat incidents. Advanced endpoint protection, such as Endpoint Detection and Response (EDR), has the capability to collect security events, which provide visibility to IT security teams to properly detect and respond to cyber incidents. Open-source EDR tools offer cost-effectiveness to organizations but require assessment in terms of performance and functionality when compared to commercial products. This paper implemented and compared open-source EDR tools, OpenEDR and Wazuh, along with the Invoke Atomic Redteam security testing tool to prove the functionality and performance of EDRs, which can improve the cyber resilience of organizations. The threat detection criteria were tested with reference to the MITRE ATT&CK framework, which covers most cyber attacks in real-world scenarios. The result of running the Invoke Atomic Redteam tool to emulate a security attack can identify the amount of security events and threat detection alerts on both OpenEDR and Wazuh EDR. OpenEDR is capable of detecting 237 threat alerts that refer to 4 MITRE ATT&CK techniques, which account for 1.8% of all ATT&CK techniques. Wazuh, on the other hand, can detect 1,611 attack detection alerts referencing 14 MITRE ATT&CK techniques, which results in a 6.5% detection rate. Wazuh was considered superior because it can identify a wider range of attacks and has more flexibility and adaptability to improve cyber resilience. By employing EDR systems, organizations may detect and respond to cyber threats before they cause any further damage. Implication of thematic paper: This comparison is advantageous to the organizations since the results may be utilized to confirm the functioning and performance of a cost-effective endpoint detection and response solution. The organizations can use EDR as an initial layer of defense to fill in security gaps. Furthermore, security testing methods that utilize the comprehensive cyber attack coverage of the MITRE ATT&CK Framework can be applied to various endpoint protection solutions.

แนวโน้มของภัยคุกคามทางไซเบอร์เพิ่มขึ้นอย่างมากในด้านประเภทและปริมาณเป็นเวลาหลายทศวรรษอย่างต่อเนื่อง ธุรกิจดิจิทัลได้เกิดเทคโนโลยีใหม่และหลายแพลตฟอร์มบนระบบไอที ทำให้เกิดภัยคุกคามและช่องโหว่ใหม่ ๆ ดังนั้นองค์กรจึงต้องการการลงทุนเพิ่มเติมในการป้องกันความปลอดภัยทางไซเบอร์เพื่อป้องกันและจัดการการโจมตีอย่างต่อเนื่อง ความสามารถในการรับมือทางไซเบอร์ช่วยให้องค์กรพร้อมและจัดการกับการรับมือต่อภัยคุกคามทางไซเบอร์ในเชิงรุก การป้องกันปลายทางขั้นสูง เช่น เครื่องมือตรวจจับและตอบสนองเครื่องลูกข่าย (EDR) มีความสามารถในการรวบรวมเหตุการณ์ความผิดปกติซึ่งทำให้เกิดการมองเห็นความเคลื่อนไหวและภาพรวมแก่ทีมรักษาความปลอดภัยด้านไอทีเพื่อตรวจจับและตอบสนองต่อเหตุการณ์ทางไซเบอร์อย่างเหมาะสม เครื่องมือ EDR แบบโอเพนซอร์สมีความคุ้มค่าต่อองค์กร แต่ต้องมีการประเมินในแง่ของประสิทธิภาพและฟังก์ชันการทำงานเมื่อเปรียบเทียบกับผลิตภัณฑ์เชิงพาณิชย์ ในงานวิจัยนี้ เราได้นำเครื่องมือ EDR แบบโอเพนซอร์สมาใช้ออกแบบ เปรียบเทียบโดยใช้ OpenEDR และ Wazuh ร่วมกับการทดสอบการโจมตีเสมือนโดยใช้เครื่องมือ Invoke Atomic Redteam เพื่อพิสูจน์การทำงานและประสิทธิภาพของ EDR เกณฑ์การตรวจจับภัยคุกคามจะถูกทดสอบโดยอ้างอิงจากเฟรมเวิร์ก MITRE ATT&CK ซึ่งครอบคลุมเหตุการณ์การโจมตีทางไซเบอร์ใกล้เคียงกับสถานการณ์การทำงานจริง ผลลัพธ์ของการเรียกใช้เครื่องมือ Invoke Atomic Redteam จำลองการโจมตีทางไซเบอร์ที่เครื่องลูกข่าย สามารถที่จะระบุจำนวนเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนการตรวจจับภัยคุกคามบนทั้ง OpenEDR และ Wazuh EDR โดย OpenEDR สามารถตรวจจับการแจ้งเตือนภัยคุกคาม 237 รายการที่อ้างถึงเทคนิคการโจมตีทางไซเบอร์จาก MITRE ATT&CK 4 รายการ หรือ 1.8% ของการโจมตีทั้งหมด ในขณะที่ Wazuh สามารถตรวจจับการแจ้งเตือนการตรวจจับการโจมตีได้ 1,611 รายการโดยอ้างอิง MITRE ATT&CK 14 รายการ ซึ่งถือเป็นอัตราการตรวจจับ 6.5% Wazuh ได้รับการพิจารณาว่ามีความสามารถเหนือกว่าเนื่องจากสามารถระบุการโจมตีได้หลากหลายกว่า มีความสามารถในรับมือและการปรับตัว เพื่อปรับปรุงการต่อต้านทางไซเบอร์ ด้วยการใช้ระบบ EDR องค์กรสามารถตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ก่อนที่จะสร้างความเสียหายเพิ่มเติมได้ การนำผลของสารนิพนธ์ไปใช้: การเปรียบเทียบนี้มีประโยชน์ต่อองค์กร เนื่องจากสามารถใช้ผลลัพธ์เพื่อให้แน่ใจว่าการทำงานและประสิทธิภาพของเครื่องมือตรวจจับและตอบสนองปลายทางซึ่งมีความคุ้มค่าคุ้มราคาต่อองค์กร ในขั้นต้นองค์กรสามารถนำเอาเครื่องมือมาใช้เพื่อเสริมชั้นป้องกันด้านความปลอดภัย นอกจากนี้ วิธีการทดสอบการโจมตีทางไซเบอร์ที่อ้างถึง MITRE ATT&CK Framework การที่มีความครอบคลุมและหลากหลายในการทดสอบ อีกทั้งยังสามารถนำไปใช้กับโซลูชันการป้องกันเครื่องลูกข่ายต่าง ๆ ได้