Anzeige

Security Operations Center (SOC)

Das Security Operations Center (SOC) entwickelt sich in vielen Unternehmen zu einem essentiellen Element der Unternehmenssicherheit, wie Vectra berichtet. Im aktuellen Gartner-Forschungsbericht Applying Network-Centric Approaches for Threat Detection and Response stellen Augusto Barros, Anton Chuvakin und Anna Belak das Konzept der SOC Visibility Triad vor.

  1. SIEM/UEBA bietet die Möglichkeit, Protokolle zu sammeln und zu analysieren, die von der IT-Infrastruktur, Anwendungen und anderen Sicherheitswerkzeugen erzeugt werden.
     
  2. Die Endpunkterkennung und -reaktion bietet die Möglichkeit, die Ausführung, lokale Verbindungen, Systemänderungen, Speicheraktivitäten und andere Vorgänge von Endpunkten zu erfassen.
     
  3. Netzwerkzentrierte Erkennung und Reaktion (NTA, NFT und IDPS) wird durch die Tools bereitgestellt, die sich auf die Erfassung und/oder Analyse des Netzwerkverkehrs konzentrieren.

In der Studie heißt es weiter: „Die SOC-Triade versucht, die Wahrscheinlichkeit, dass Angreifer lange genug im Netzwerk operieren, um ihre Ziele zu erreichen, deutlich zu verringern.“

Ebenso schreiben die Autoren, dass „Endpoint Detection and Response (EDR) eine detaillierte Verfolgung von bösartigen Aktivitäten auf einem Endpunkt ermöglicht. Angreifer könnten jedoch in der Lage sein, ihre Tools vor EDR zu verstecken. Aber ihre Aktivität wird durch Netzwerktools sichtbar, sobald sie mit einem anderen System über das Netzwerk interagieren“.

Die Studie fährt fort: „Logs können die notwendige Transparenz in höheren Schichten bieten. So können sie beispielsweise einen Überblick darüber geben, was Benutzer auf der Anwendungsebene tun. EDR und Protokolle können auch die Probleme im Zusammenhang mit verschlüsselten Netzwerkverbindungen mildern – eine häufige Ursache für blinde Flecken in netzwerkzentrierten Technologien.“

Als Experte für Cybersicherheit auf Grundlage künstlicher Intelligenz steht Vectra im regen Austausch mit vielen Sicherheitsteams. Diese stellen sich bei ihren Aktivitäten rund um Bedrohungssuche und Reaktion auf Cyberattacken sehr ähnliche Fragen: Wie hat sich dieser Asset oder Account vor der Benachrichtigung verhalten? Wie hat er sich nach dem Alarm verhalten? Können wir herausfinden, wann die Dinge anfangen, sich gefährlich zu entwickeln?

Die Bedrohungshistorie ist in der Regel an drei Stellen verfügbar: Network Data Representation (NDR), EDR und SIEMs. EDR bietet eine detaillierte „bodennahe“ Ansicht der auf einem Host laufenden Prozesse und der Interaktionen zwischen ihnen. NDR bietet eine „Luftaufnahme“ der Interaktionen zwischen allen Geräten im Netzwerk, unabhängig davon, ob EDR auf ihnen läuft oder nicht. Sicherheitsteams konfigurieren wiederum SIEMs, um Ereignisprotokollinformationen von anderen Systemen zu sammeln.

Sicherheitsteams, die eine Triade aus NDR, EDR und SIEMs einsetzen, sind nach Meinung von Vectra in der Lage, ein breiteres Spektrum an Fragen zu beantworten, wenn sie auf einen Vorfall reagieren oder nach Bedrohungen suchen.

Zum Beispiel können sie die folgenden Fragen beantworten:

  • Hat sich ein anderer Asset nach der Kommunikation mit dem potenziell gefährdeten Asset seltsam verhalten?
     
  • Welcher Dienst und welches Protokoll wurde verwendet?
     
  • Welche anderen Assets oder Accounts können betroffen sein?
     
  • Hat ein anderer Asset die gleiche externe Command-and-Control-IP-Adresse kontaktiert?
     
  • Wurde das Benutzerkonto unerwartet auf anderen Geräten verwendet?

Obwohl NDR und EDR hier eine Perspektive bieten können, ist NDR kritischer, weil NDR eine Perspektive bietet, die für EDR nicht erreichbar ist. So können Exploits, die auf BIOS-Ebene eines Geräts arbeiten, EDR unterdrücken. Wenn EDR nach einer Liste von Geräten gefragt wird, mit denen ein Host kommuniziert, kann es die Geräte B, C und E melden. In der Zwischenzeit würde NDR melden, dass derselbe Host mit den Geräten A, B, C, E und F kommuniziert.

Dieser Ansatz für ein modernes Security Operations Center ist auch der Grund, warum Vectra nicht nur auf ein Plattform auf Basis künstlicher Intelligenz, sondern auch auf Integrationsmöglichkeiten mit branchenführenden Technologiepartnern wie CrowdStrike, Carbon Black und Splunk setzt.

www.vectra.ai
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!