Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Auge

Bei der Realisierung eines guten Incident-Response-Programms gilt es, die Sichtbarkeit, Erkennung und Reaktion mit den Kosten und der Komplexität für Aufbau und Wartung eines effektiven Security-Stacks in Einklang zu bringen.

Dies erweist sich vor dem Hintergrund, dass die Anzahl an Angriffen stetig zunimmt und damit auch die Menge an „Alarmmeldungen“ in den Unternehmensnetzen steigt, als große Herausforderung.

In der Vergangenheit stand das Security Information and Event Management (SIEM) im Mittelpunkt vieler Sicherheitskonzepte. Ziel war es, damit eine breite Palette von Anwendungsfällen abzudecken, einschließlich Bedrohungserkennung, Compliance-Berichterstattung, Alarmzentralisierung sowie Bereitstellung von Analystenprozessen und Workflows.

Für einige Unternehmen ist SIEM ideal als zentraler Punkt für alles im Zusammenhang mit der Erkennung von Bedrohungen und Protokollen. Für andere ist die Fähigkeit, ein effektives SIEM zu managen, vor allem von der Verfügbarkeit von Fachkräften abhängig. So mangelt es nach Angaben von Vectra häufig an Fachkräften für Blue-Team-Rollen.

„Leider gehen mit dem SIEM häufig zusätzliche Overhead-Schichten einher, und nicht jeder Untersuchungs- oder Incident Response-Workflow muss in einem SIEM vorhanden sein. Entscheidend ist, welche Ereignisse das höchste Signal-Rausch-Verhältnis für die Bedrohungserkennung bieten. Was nützt also ein SIEM in einer Umgebung mit beschränkten Ressourcen?“, fragt Gérard Bauer, VP EMEA bei Vectra, einem Anbieter von Lösungen für Cybersicherheit auf Basis künstlicher Intelligenz.

Um diese Frage zu beantworten, gilt es, die Anforderungen an die Erkennung von Bedrohungen und die Reaktion auf Vorfälle zu definieren:

  • Transparenz über die Assets des Unternehmens, unabhängig davon, wo sie sich befinden. Dazu zählen Rechenzentrums- und Cloud-Workloads, firmeneigene Notebooks sowie BYOD- und IoT-Geräte.
  • Korrelation von Sicherheitsereignissen und die Fähigkeit, Beziehungen zwischen Workloads und Geräten zu identifizieren.
     
  • Kontext des Geschehens im Zusammenhang mit einer umsetzbaren Reaktion.
     
  • Wiederholbare Prozesse und Workflows, die es Junior-Analysten ermöglichen, Sicherheitskompetenzen schnell zu entwickeln, und Senior-Analysten, schnelle und schlüssige Untersuchungen durchzuführen.
     
  • Bedrohungserkennung und -untersuchung, die von jedem Punkt aus starten kann.

Während das Netzwerk der einfachste Weg ist, um größtmögliche Sichtbarkeit zu erhalten, und ein guter Ausgangspunkt, um zu wissen, wo man jagen soll, können andere Datenquellen den Kontext bereichern.

Die Bedrohungserkennung erfordert den Kontext von Netzwerken und Endpunkten sowie Protokolle. Jede dieser Datenquellen sollte durch spezielle Tools unterstützt werden, die speziell für die Sichtbarkeit, Erkennung und Reaktion in den jeweiligen Datentypen von Grund auf neu entwickelt wurden, um optimal zusammenzuarbeiten.

Es gibt eine neue Art von SIEM-loser Sicherheitsarchitektur, die es Unternehmen ermöglicht, Mitarbeiter mit allgemeiner IT-Erfahrung einzusetzen, die dann zu Sicherheitsanalysten der nächsten Generation avancieren. Diese spezialisierten Erkennungs- und Reaktionsplattformen bieten leicht verständliche, wiederholbare Prozesse als Bausteine einer effektiven Untersuchung, unabhängig von der Art der Bedrohung, der Unternehmen gerade ausgesetzt sind.

Die drei Schlüsselkomponenten dieser dynamischen Architektur bestehen aus Netzwerk- und Endpunkterkennung und -reaktion (NDR und EDR) in Kombination mit Sicherheitsautomatisierung und -orchestrierung, zusammengeführt im Incident Response Case Management.

„Die Untersuchungen können überall beginnen, egal ob bei der Netzwerk-, Endpunkt- oder Sicherheitsautomatisierung und -Orchestrierung, da wichtige Komponenten der Architektur miteinander kommunizieren“, erklärt Gérard Bauer. „Die Anreicherung von Ereignissen mit zusätzlichen Informationen und die Durchsetzung von Reaktionen werden oft durch die Sicherheitstools am Netzwerkperimeter ermöglicht, die bereits vorhanden sind.“

Diese Architektur wird häufig in Umgebungen beispielsweise mit einer Integration zwischen Vectra, CrowdStrike, Demisto und Palo Alto Networks eingesetzt. Solch ein Konstrukt ermöglicht eine Integration gezielter Maßnahmen, basierend auf dem Tagging der Cognito Plattform, das Ereignisse auslöst, und der Automatisierung in Demisto. Dieser Ansatz liefert wertvolle Erkenntnisse, die es Sicherheitsteams ermöglichen, sehr effektive Blue Teams aufzubauen.

Mit einer besseren Datenquelle wie NDR von Vectra und EDR von CrowdStrike können Sicherheitsanalysten die Kosten und Komplexität von SIEMs reduzieren und gleichzeitig die Vorteile einer schnelleren Reaktion auf Vorfälle nutzen.

Die Cognito Plattform von Vectra wurde speziell für die Integration mit Endpunktschutz, Orchestrierung, Firewalls, Clouds und virtualisierter Rechenzentrumssicherheit entwickelt. Somit kann sie bestehende Workflows für die Reaktion auf Vorfälle unterstützen, angepasst an die Anforderungen des jeweiligen Unternehmens.

Diese Integrationen umfassen VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk Phantom, Juniper, Palo Alto Networks und mehr. Auf diese Weise können Sicherheitsanalysten einfach zwischen beliebigen Plattformen oder Tools wechseln und gleichzeitig einen umfassenden Kontext über kompromittierte Hostgeräte und Bedrohungsfälle liefern.

Selbst wenn sich ein Unternehmen von seinem SIEM nicht trennen kann, weil es als Zentrum seiner Bedrohungsforschung wahrgenommen wird, kann dies in solch ein Konstrukt zusätzlich integriert werden.

www.vectra.ai
 

GRID LIST
Code und Frau

Wissen ist Macht: So funktioniert die MITRE ATT&CK Matrix

In letzter Zeit gab es viel Wirbel um die MITRE ATT&CK Matrix und wie sie der…
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Warum „Thinking Small“ für „bessere Netzwerksicherheit“ steht

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die…
Social Engineering

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…
Hacker Stadt

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche…
Ransomware

Unternehmen und Behörden haben ein neues altes Problem

Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des…
Cyberversicherung

Cyberversicherungen haben Lücken

Cyberversicherungen stellen eines der wachstumsstärksten Segmente des…