Anzeige

Cyber Security

Im letzten Jahr hat sich die Dynamik eines typischen Unternehmensnetzwerks vermutlich massiv verändert. Aktuelle Umfragen gehen davon aus, dass fast die Hälfte der Arbeitgeber beabsichtigen, Mitarbeitern die Möglichkeit zu geben, dauerhaft von zu Hause aus zu arbeiten

Mitarbeiter und Mitarbeiterinnen benötigen von überall aus und jederzeit Zugriff auf Unternehmensdaten, während gleichzeitig die Zahl und Komplexität von Cyberangriffen weiter zunimmt. Das gilt für Ransomware-Attacken ebenso wie für Angriffe, bei denen Daten abgezogen werden sowie für Cryptomining-Angriffe auf Cloud-Dienste und -Infrastruktur.

Geht es um einen singulären Angriff auf ein einzelnes Asset, sind aktuelle Endpoint Detection and Reaction (EDR)-Tools dieser Aufgabe überwiegend gewachsen. Aber ist eine Endpunkt-Technologie auch in der Lage, SIEM-Angriffe gegen sämtliche Benutzeridentitäten, Geräte und Endpunkte zu korrelieren und, was noch wichtiger ist, Angriffe dieser Art zu stoppen? 

XDR-Technologien sollten ausgeklügelte Angriffe problemlos erkennen, korrelieren und beenden, wo immer sie im Netzwerk auftreten. Herkömmliche Lösungen liefern Warnmeldungen, die möglicherweise einige Aspekte der Angriffsoperation erkennen. Warnungen allein zeigen allerdings nur einzelne Aspekte der gesamten Angriffsfolge. Teile eines Angriffs zu erkennen, mag den Angreifer zwar aufhalten, beendet aber nicht unbedingt den Angriff.

Ein rein alarmorientierter, isolierter Ansatz zum Schutz komplizierter Netzwerkinfrastrukturen mit lokalen, Hybrid-, Cloud- und mobilen Assets, erlaubt es Angreifern sich in den „Zwischenräumen“ einzunisten. Diese Tatsache macht es fast unmöglich, Angreifer aufzuspüren, zu verfolgen und unschädlich zu machen. Der Schlüssel einer leistungsfähigen XDR-Lösung liegt darin, dass sie betriebszentriert statt alarmorientiert funktionieren sollte. Über diesen Ansatz lassen sich unterschiedliche Angriffsindikatoren aus dem gesamten Netzwerk korrelieren, anstatt nur Warnungen oder Alarme zu generieren, denen der erforderliche Kontext fehlt, wenn man einen böswilligen Prozess oder Malop (malicious operation) aufdecken will. 

Worauf man bei einer XDR-Lösung achten sollte:

  • Verständnis von Bedrohungen über den Endpunkt hinaus: Eine XDR-Lösung ermöglicht es Analysten aller Qualifikationsstufen, sich schnell in die Details eines Angriffs einzuarbeiten, ohne erst komplizierte Abfragen zu erstellen. XDR ist geeignet, herkömmliche Endpoint Detection and Reaction (EDR)-Tools bis hin zu kritischen SaaS-Diensten, E-Mail und Cloud-Infrastrukturen zu erweitern.
     
  • Bedrohungen von morgen erkennen: XDR-Lösungen schaffen zum einen Transparenz und liefern zum anderen Korrelationen zwischen den Indicators of Compromise (IOCs) und wichtigen Indicators of Behavior (IOBs), die subtilere Anzeichen einer Netzwerkkompromittierung liefern. XDR erkennt so verdächtige Benutzerzugriffe und identifiziert Insider-Bedrohungen. Im Gegensatz zu SIEM- und UEBA-Korrelationen sollte die Erkennungsrate mittels XDR eine deutlich höhere korrekte Positiv-Rate zeigen und die Einschätzung eines SOC-Teams verbessern.
     
  • Automatisierte und geführte Reaktionsoptionen: XDR-Lösungen machen es Analysten einfacher, den gesamten Angriffsverlauf unmittelbar zu verstehen. Maßnahmen zur Abhilfe, wie das Beenden eines Prozesses, ein Verschieben in die Quarantäne und die Remote Shell eines Assets, sollten automatisiert ablaufen oder remote mit nur einem Klick möglich sein. Im Idealfall bietet eine XDR-Lösung robuste Automatisierungsoptionen, um aktive Bedrohungen zu beheben und kontinuierliches Threat Hunting.

www.cybereason.com
 


Artikel zu diesem Thema

Security Schild
Okt 27, 2020

Zero Trust

Der Begriff „Zero Trust“ zeigt in aktuellen Studien, Marktanalysen,…
Cyber Security
Okt 19, 2020

Die Welt der Cybersecurity

Der Einsatz von neuen innovativen Technologien in Unternehmen bringt den entscheidenden…
Security Operations Center (SOC)
Mai 22, 2020

Fortschrittlicher Schutz mit Security Operations Center

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der…

Weitere Artikel

World Password Day

Alle Jahre wieder - World Password Day

Der erste Donnerstag im Mai ist „Welt-Passwort-Tag“. Der Aktionstag wurde 2013 von der Intel Corporation ins Leben gerufen, um für einen bewussteren Umgang mit Passwörtern zu werben.
Passwortmanagement

IT-Security: Mehr als nur Passwörter

Nutzer empfinden Passwörter häufig als störend, obwohl sie bei achtlosem Einsatz Sicherheitslücken verursachen.
SSL-Zertifikat

Verkürzte Laufzeit: SSL-Zertifikate nur noch 13 Monate gültig

Es gab Zeiten, in denen SSL-Zertifikate eine Laufzeit von fünf Jahren aufwiesen. Das ist vorbei: Zuletzt hatte Apple im Alleingang dafür gesorgt, dass die SSL-Zertifikat-Laufzeit auf ein Jahr reduziert wurde. „Das ist mit Vorteilen für die Sicherheit…
IT/OT-Konvergenz

IT/OT-Konvergenz: Es wächst zusammen, was (nicht) zusammengehört

Ohne Zweifel beschleunigte die COVID-Krise die Konvergenz von IT- und Operational Technology (OT)-Netzwerken.
Cybersecurity

Dem Hacker auf der Spur: Mit dem Pentest Sicherheitslücken aufdecken

Das Internet ist gleichzeitig ein wichtiges Kommunikationsmittel und eine Gefahrenzone. Bei steigendem Traffic nehmen auch Sicherheitsbedrohungen und Angriffe beständig zu. Mit Pentests lassen sich vorhandene Schwachstellen frühzeitig erkennen, noch bevor…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.