Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Auge

Bei der Realisierung eines guten Incident-Response-Programms gilt es, die Sichtbarkeit, Erkennung und Reaktion mit den Kosten und der Komplexität für Aufbau und Wartung eines effektiven Security-Stacks in Einklang zu bringen.

Dies erweist sich vor dem Hintergrund, dass die Anzahl an Angriffen stetig zunimmt und damit auch die Menge an „Alarmmeldungen“ in den Unternehmensnetzen steigt, als große Herausforderung.

In der Vergangenheit stand das Security Information and Event Management (SIEM) im Mittelpunkt vieler Sicherheitskonzepte. Ziel war es, damit eine breite Palette von Anwendungsfällen abzudecken, einschließlich Bedrohungserkennung, Compliance-Berichterstattung, Alarmzentralisierung sowie Bereitstellung von Analystenprozessen und Workflows.

Für einige Unternehmen ist SIEM ideal als zentraler Punkt für alles im Zusammenhang mit der Erkennung von Bedrohungen und Protokollen. Für andere ist die Fähigkeit, ein effektives SIEM zu managen, vor allem von der Verfügbarkeit von Fachkräften abhängig. So mangelt es nach Angaben von Vectra häufig an Fachkräften für Blue-Team-Rollen.

„Leider gehen mit dem SIEM häufig zusätzliche Overhead-Schichten einher, und nicht jeder Untersuchungs- oder Incident Response-Workflow muss in einem SIEM vorhanden sein. Entscheidend ist, welche Ereignisse das höchste Signal-Rausch-Verhältnis für die Bedrohungserkennung bieten. Was nützt also ein SIEM in einer Umgebung mit beschränkten Ressourcen?“, fragt Gérard Bauer, VP EMEA bei Vectra, einem Anbieter von Lösungen für Cybersicherheit auf Basis künstlicher Intelligenz.

Um diese Frage zu beantworten, gilt es, die Anforderungen an die Erkennung von Bedrohungen und die Reaktion auf Vorfälle zu definieren:

  • Transparenz über die Assets des Unternehmens, unabhängig davon, wo sie sich befinden. Dazu zählen Rechenzentrums- und Cloud-Workloads, firmeneigene Notebooks sowie BYOD- und IoT-Geräte.
  • Korrelation von Sicherheitsereignissen und die Fähigkeit, Beziehungen zwischen Workloads und Geräten zu identifizieren.
     
  • Kontext des Geschehens im Zusammenhang mit einer umsetzbaren Reaktion.
     
  • Wiederholbare Prozesse und Workflows, die es Junior-Analysten ermöglichen, Sicherheitskompetenzen schnell zu entwickeln, und Senior-Analysten, schnelle und schlüssige Untersuchungen durchzuführen.
     
  • Bedrohungserkennung und -untersuchung, die von jedem Punkt aus starten kann.

Während das Netzwerk der einfachste Weg ist, um größtmögliche Sichtbarkeit zu erhalten, und ein guter Ausgangspunkt, um zu wissen, wo man jagen soll, können andere Datenquellen den Kontext bereichern.

Die Bedrohungserkennung erfordert den Kontext von Netzwerken und Endpunkten sowie Protokolle. Jede dieser Datenquellen sollte durch spezielle Tools unterstützt werden, die speziell für die Sichtbarkeit, Erkennung und Reaktion in den jeweiligen Datentypen von Grund auf neu entwickelt wurden, um optimal zusammenzuarbeiten.

Es gibt eine neue Art von SIEM-loser Sicherheitsarchitektur, die es Unternehmen ermöglicht, Mitarbeiter mit allgemeiner IT-Erfahrung einzusetzen, die dann zu Sicherheitsanalysten der nächsten Generation avancieren. Diese spezialisierten Erkennungs- und Reaktionsplattformen bieten leicht verständliche, wiederholbare Prozesse als Bausteine einer effektiven Untersuchung, unabhängig von der Art der Bedrohung, der Unternehmen gerade ausgesetzt sind.

Die drei Schlüsselkomponenten dieser dynamischen Architektur bestehen aus Netzwerk- und Endpunkterkennung und -reaktion (NDR und EDR) in Kombination mit Sicherheitsautomatisierung und -orchestrierung, zusammengeführt im Incident Response Case Management.

„Die Untersuchungen können überall beginnen, egal ob bei der Netzwerk-, Endpunkt- oder Sicherheitsautomatisierung und -Orchestrierung, da wichtige Komponenten der Architektur miteinander kommunizieren“, erklärt Gérard Bauer. „Die Anreicherung von Ereignissen mit zusätzlichen Informationen und die Durchsetzung von Reaktionen werden oft durch die Sicherheitstools am Netzwerkperimeter ermöglicht, die bereits vorhanden sind.“

Diese Architektur wird häufig in Umgebungen beispielsweise mit einer Integration zwischen Vectra, CrowdStrike, Demisto und Palo Alto Networks eingesetzt. Solch ein Konstrukt ermöglicht eine Integration gezielter Maßnahmen, basierend auf dem Tagging der Cognito Plattform, das Ereignisse auslöst, und der Automatisierung in Demisto. Dieser Ansatz liefert wertvolle Erkenntnisse, die es Sicherheitsteams ermöglichen, sehr effektive Blue Teams aufzubauen.

Mit einer besseren Datenquelle wie NDR von Vectra und EDR von CrowdStrike können Sicherheitsanalysten die Kosten und Komplexität von SIEMs reduzieren und gleichzeitig die Vorteile einer schnelleren Reaktion auf Vorfälle nutzen.

Die Cognito Plattform von Vectra wurde speziell für die Integration mit Endpunktschutz, Orchestrierung, Firewalls, Clouds und virtualisierter Rechenzentrumssicherheit entwickelt. Somit kann sie bestehende Workflows für die Reaktion auf Vorfälle unterstützen, angepasst an die Anforderungen des jeweiligen Unternehmens.

Diese Integrationen umfassen VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk Phantom, Juniper, Palo Alto Networks und mehr. Auf diese Weise können Sicherheitsanalysten einfach zwischen beliebigen Plattformen oder Tools wechseln und gleichzeitig einen umfassenden Kontext über kompromittierte Hostgeräte und Bedrohungsfälle liefern.

Selbst wenn sich ein Unternehmen von seinem SIEM nicht trennen kann, weil es als Zentrum seiner Bedrohungsforschung wahrgenommen wird, kann dies in solch ein Konstrukt zusätzlich integriert werden.

www.vectra.ai
 

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…