Anzeige

Cyber Security

Im letzten Jahr hat sich die Dynamik eines typischen Unternehmensnetzwerks vermutlich massiv verändert. Aktuelle Umfragen gehen davon aus, dass fast die Hälfte der Arbeitgeber beabsichtigen, Mitarbeitern die Möglichkeit zu geben, dauerhaft von zu Hause aus zu arbeiten

Mitarbeiter und Mitarbeiterinnen benötigen von überall aus und jederzeit Zugriff auf Unternehmensdaten, während gleichzeitig die Zahl und Komplexität von Cyberangriffen weiter zunimmt. Das gilt für Ransomware-Attacken ebenso wie für Angriffe, bei denen Daten abgezogen werden sowie für Cryptomining-Angriffe auf Cloud-Dienste und -Infrastruktur.

Geht es um einen singulären Angriff auf ein einzelnes Asset, sind aktuelle Endpoint Detection and Reaction (EDR)-Tools dieser Aufgabe überwiegend gewachsen. Aber ist eine Endpunkt-Technologie auch in der Lage, SIEM-Angriffe gegen sämtliche Benutzeridentitäten, Geräte und Endpunkte zu korrelieren und, was noch wichtiger ist, Angriffe dieser Art zu stoppen? 

XDR-Technologien sollten ausgeklügelte Angriffe problemlos erkennen, korrelieren und beenden, wo immer sie im Netzwerk auftreten. Herkömmliche Lösungen liefern Warnmeldungen, die möglicherweise einige Aspekte der Angriffsoperation erkennen. Warnungen allein zeigen allerdings nur einzelne Aspekte der gesamten Angriffsfolge. Teile eines Angriffs zu erkennen, mag den Angreifer zwar aufhalten, beendet aber nicht unbedingt den Angriff.

Ein rein alarmorientierter, isolierter Ansatz zum Schutz komplizierter Netzwerkinfrastrukturen mit lokalen, Hybrid-, Cloud- und mobilen Assets, erlaubt es Angreifern sich in den „Zwischenräumen“ einzunisten. Diese Tatsache macht es fast unmöglich, Angreifer aufzuspüren, zu verfolgen und unschädlich zu machen. Der Schlüssel einer leistungsfähigen XDR-Lösung liegt darin, dass sie betriebszentriert statt alarmorientiert funktionieren sollte. Über diesen Ansatz lassen sich unterschiedliche Angriffsindikatoren aus dem gesamten Netzwerk korrelieren, anstatt nur Warnungen oder Alarme zu generieren, denen der erforderliche Kontext fehlt, wenn man einen böswilligen Prozess oder Malop (malicious operation) aufdecken will. 

Worauf man bei einer XDR-Lösung achten sollte:

  • Verständnis von Bedrohungen über den Endpunkt hinaus: Eine XDR-Lösung ermöglicht es Analysten aller Qualifikationsstufen, sich schnell in die Details eines Angriffs einzuarbeiten, ohne erst komplizierte Abfragen zu erstellen. XDR ist geeignet, herkömmliche Endpoint Detection and Reaction (EDR)-Tools bis hin zu kritischen SaaS-Diensten, E-Mail und Cloud-Infrastrukturen zu erweitern.
     
  • Bedrohungen von morgen erkennen: XDR-Lösungen schaffen zum einen Transparenz und liefern zum anderen Korrelationen zwischen den Indicators of Compromise (IOCs) und wichtigen Indicators of Behavior (IOBs), die subtilere Anzeichen einer Netzwerkkompromittierung liefern. XDR erkennt so verdächtige Benutzerzugriffe und identifiziert Insider-Bedrohungen. Im Gegensatz zu SIEM- und UEBA-Korrelationen sollte die Erkennungsrate mittels XDR eine deutlich höhere korrekte Positiv-Rate zeigen und die Einschätzung eines SOC-Teams verbessern.
     
  • Automatisierte und geführte Reaktionsoptionen: XDR-Lösungen machen es Analysten einfacher, den gesamten Angriffsverlauf unmittelbar zu verstehen. Maßnahmen zur Abhilfe, wie das Beenden eines Prozesses, ein Verschieben in die Quarantäne und die Remote Shell eines Assets, sollten automatisiert ablaufen oder remote mit nur einem Klick möglich sein. Im Idealfall bietet eine XDR-Lösung robuste Automatisierungsoptionen, um aktive Bedrohungen zu beheben und kontinuierliches Threat Hunting.

www.cybereason.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Security Schild
Okt 27, 2020

Zero Trust

Der Begriff „Zero Trust“ zeigt in aktuellen Studien, Marktanalysen,…
Cyber Security
Okt 19, 2020

Die Welt der Cybersecurity

Der Einsatz von neuen innovativen Technologien in Unternehmen bringt den entscheidenden…
Security Operations Center (SOC)
Mai 22, 2020

Fortschrittlicher Schutz mit Security Operations Center

Ein Security Operations Center (SOC) dient Cyber-Security-Experten als Leitstelle, in der…

Weitere Artikel

Cloud Security

CrowdStrike kündigt neue Funktionen für die Falcon-Plattform an

CrowdStrike Inc. kündigte neue Funktionen für die CrowdStrike Falcon®-Plattform an, die das Cloud Security Posture Management (CSPM) und die Cloud Workload Protection (CWP) verbessern und mehr Kontrolle, Transparenz und Sicherheit für Cloud-Workloads und…
Security Lock

Warum jedes Unternehmen eine VDP braucht

Nach wie vor haben nur die wenigsten Unternehmen eine Vulnerability Disclosure Policy (VDP) im Einsatz. Das ist verwunderlich, hilft eine VDP Unternehmen doch dabei, sicherer zu werden.
IT-Sicherheitsgesetz

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der Verabschiedung. Es sieht unter anderem Veränderungen im Zusammenhang mit dem Schutz kritischer Infrastrukturen (KRITIS) vor. Für KRITIS-Unternehmen soll es zum Beispiel eine…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!