Unbekanntes auslöschen, SOC transformieren

Juli 10, 2022
Mark Wojtasiak
VP für Produktforschung und Strategie
Unbekanntes auslöschen, SOC transformieren

Die großen Unbekannten für SOC-Teams

In meinem letzten Blog habe ich die 9 Ks des Cybersecurity-Wertes vorgestellt. Mein Ziel war es, Sicherheitsteams dabei zu helfen, mit den sich ständig weiterentwickelnden Angriffsflächen und Angreifermethoden Schritt zu halten - wir Anbieter, Partner und in der Tat alle Menschen müssen zusammenarbeiten, um die Sicherheit voranzubringen. Eine wichtige Möglichkeit, dies zu tun, besteht darin, die Unbekannten zu beseitigen...

  • von Angriffsflächen: Erweitern Sie die Sicherheit über das Netzwerk des Rechenzentrums und endpoint hinaus auf die öffentliche cloud, SaaS, die cloud-basierte Identität.
  • der modernen Angreifermethoden: Sie können Präventionswerkzeuge leicht umgehen, indem sie autorisierte Dienste und APIs nutzen.
  • von isolierten Technologien und Tools: Entfernen Sie alles, was sich nicht integrieren oder automatisieren lässt, um den Kontext, die Arbeitsabläufe oder die Reaktion anzureichern.

Jüngste Untersuchungen von Vectra haben ergeben, dass Sicherheitsteams Mühe haben, mit Cyberangriffen Schritt zu halten. Mangelnde Transparenz, fehlende Erkennung moderner Angriffe und schlechte Integration wurden von 79 % der Sicherheitsentscheider als die drei Hauptgründe genannt, warum Sicherheitstools nicht halten, was sie versprechen. Der Grund: die großen Unbekannten.

Die Last der großen Unbekannten liegt direkt auf den Schultern der Security Operations Center (SOC)-Teams. 83 % der Sicherheitsteams fühlen sich gegen moderne Bedrohungen unterlegen. Die alten Tools, die ihnen zur Verfügung stehen, halten nicht Schritt, wie die 72 % der Sicherheitsteams zeigen, die glauben, dass sie gefährdet sind, es aber nicht wissen. Sichtbarkeit, Erkennung von Bedrohungen, Integration - das sind Versprechen, die Sicherheitsanbieter gemacht haben, aber nach Ansicht der Sicherheitsteams halten viele diese Versprechen nicht ein.

Hier bei Vectra denken wir gerne voraus und ergründen das Warum. Wir haben herausgefunden, dass die Herausforderungen, mit denen SOC-Teams konfrontiert sind, sich auf drei Dinge beschränken:

  • Abdeckung: das Versprechen, sichere Anwendungen und Daten zu gewährleisten, wo auch immer sie sich befinden mögen.
  • Klarheit: das Versprechen, Bedrohungen dort zu sehen, wo andere sie nicht sehen, und sie zu stoppen.
  • Kontrolle: das Versprechen, die Angriffsabwehr von Anfang bis Ende, von oben bis unten zu integrieren und zu automatisieren.

Abdeckung 

Es gibt keine Grenzen mehr, und Prävention reicht nicht aus. Heute dreht sich alles um "Defense-in-Depth", "Trust but Verify". Wir alle kennen diese Klischees. (Sogar ich habe mich gelegentlich ihrer bedient.) Aber wenn wir die Klischees und Schlagworte beiseite lassen und weiter denken, ist die einfache Wahrheit, dass die Angriffsflächen immer größer werden.

Die Netzwerke von Rechenzentren und die Angriffsflächen von endpoint waren schon immer angreifbar, aber jetzt gibt es AWS, Microsoft Azure, Microsoft 365, GCP, Hunderte von SaaS-Anwendungen und Dutzende von cloud-basierten Identitätsprodukten. Wir haben API-Aufrufe von einem Dienst zum anderen, die alles zu einer perfekten Symphonie verweben. Für SOC-Teams ist dies die große Unbekannte, für Angreifer ist es ein wahr gewordener Traum. Zwei Drittel aller Angriffe nutzen autorisierte Dienste und APIs, um sich Zugang zu den Anwendungen und Daten eines Unternehmens zu verschaffen, was ihnen eindeutig die Oberhand gibt. Um die großen Unbekannten auf der Angriffsfläche auszumerzen, benötigen SOC-Teams einen einheitlichen Überblick über die Bedrohungsaktivitäten auf allen fünf Angriffsflächen - von Rechenzentrumsnetzwerken und Endpunkten bis hin zu öffentlichen cloud, SaaS und Identität. Sie brauchen Abdeckung.

Klarheit

Ich fühle mit den SOC-Leitern, -Architekten und -Analysten mit. Sie werden von allen Seiten unter Beschuss genommen, und da SOC-Analysten Mangelware sind, verlassen viele ihre derzeitigen Arbeitsplätze, um sich neue Ziele zu setzen. Die Angreifer haben die Oberhand gewonnen. Das Optimieren von Tools ist nicht das, wofür sich SOC-Teams entschieden haben. Veraltete regelbasierte Tools wie SIEM und IDS werden von modernen, schnellen Angriffen überrannt. Also - vorwärts denken? Die Antwort auf die Frage, wie man SOC-Talente halten und ausbauen und den Spieß gegen Angreifer umdrehen kann, besteht darin, das Unbekannte zu beseitigen, das moderne Angreifermethoden darstellen. Das fängt damit an, den SOC-Workflow neu zu konzipieren. Heute hören wir oft: "Wir pumpen alles in unser SIEM", und wir verstehen das. Das SIEM ist eine "einzige Glasscheibe" (ein weiteres Sicherheitsklischee). Aber wie kann die Sicherheit eine Regel für eine Angreifermethode erstellen, die noch nicht identifiziert wurde? Schlimmer noch: Wenn eine Angreifermethode erst einmal bekannt ist, ist die ständige Anpassung von SIEM-Regeln und IDS-Signaturen eine anstrengende, ineffiziente und ineffektive Methode, um gegen moderne Angreifer vorzugehen.

Die Anwendung traditioneller Ansätze auf moderne Angreifermethoden führt zu Verzögerungen im SOC-Workflow und im Incident-Response-Prozess. Das Letzte, was wir brauchen, wenn es darum geht, moderne Angriffe zu erkennen und darauf zu reagieren, ist Latenzzeit. Warum sollten wir den Angreifern mehr Zeit geben? Nein, das beste Mittel gegen Latenz ist Kontext, der aus der Abdeckung resultiert. Ohne vollständige Abdeckung fehlt den SOC-Teams immer der Kontext. Mehr Daten in ein SIEM zu pumpen, bedeutet nicht gleich Abdeckung. Ständiges Optimieren und Abstimmen der Technologie liefert keinen Kontext. Um die unbekannten Methoden der Angreifer zu beseitigen, muss die Latenzzeit aus dem SOC-Workflow entfernt werden. Zu diesem Zweck benötigen SOC-Teams eine Technologie, die Kontext aus allen fünf Angriffsflächen schnell und in großem Umfang erfasst, analysiert und integriert. Wenn man sich mit reichhaltigem Kontext zu Angreifermethoden ausstattet, verringert sich die Latenz in SOC-Workflows drastisch. Die Alarmtriage entfällt, Priorisierung, Untersuchungs- und Reaktionsprozesse sowie Playbooks werden integriert und automatisiert. SOC-Teams können dann mit dem arbeiten, was sie wirklich brauchen, um unbekannte Angreifermethoden zu beseitigen - mehr Klarheit.

Kontrolle

Wenn eine immer größer werdende Angriffsfläche auf sich ständig weiterentwickelnde Angreifermethoden trifft - gepaart mit einem Mangel an Mitarbeitern und Fähigkeiten - ist es kein Wunder, dass sich 83 % der Sicherheitsteams unterlegen fühlen und 72 % denken, dass sie gefährdet sind, ohne es wirklich zu wissen. Trotz steigender Investitionen in Technologie und Tools haben SOC-Teams immer noch Schwierigkeiten, den Wert ihrer Investitionen zu realisieren, vor allem weil ihre Tools oft nicht wie versprochen zusammenarbeiten. Wenn Technologie und Tools isoliert werden, leidet das SOC. Wenn SOC-Teams von einem Tool zum nächsten springen, um moderne Angriffe zu identifizieren und zu bekämpfen, geben sie den Angreifern effektiv die Oberhand. SOC-Teams brauchen integrierte Technologien und Tools, und sie müssen zusammenarbeiten, um Angriffen zuvorzukommen. Sie müssen die Kontrolle wiedererlangen.

Jetzt alle zusammen

Durch die vollständige Abdeckung der Angriffsoberfläche erhalten Sicherheitsteams den Kontext, den sie benötigen, um Klarheit zu schaffen und so die Kontrolle zu erlangen. Die Abdeckung bietet Telemetrie, die über alle fünf Angriffsflächen gesammelt wird - Netzwerke (NDR), Endpunkte (EDR), öffentliche cloud (AWS, Microsoft Azure, GCP, etc.), SaaS (Microsoft 365) und Identität (Microsoft Azure AD). Klarheit entsteht durch die Analyse dieser Telemetrie und das Aufdecken und Warnen vor Bedrohungen, die wirklich wichtig sind. Echte Kontrolle wird erreicht, wenn alles integriert ist und alles zusammenarbeitet, um Kontextanreicherung, Workflow und Reaktion zu automatisieren. Das Ergebnis: Beseitigung der Unbekannten und Aufbau eines effektiveren, effizienteren und widerstandsfähigeren SOC.

Das Unbekannte löschen mit der KI-gesteuerten Sicherheitsplattform Vectra

Vectra ist der führende Anbieter von KI-gestützter Bedrohungserkennung und -reaktion im Sicherheitsbereich. Nur Vectra optimiert Security AI, um SOC-Leitern, Architekten und Analysten zu helfen, das Unbekannte auszulöschen. Wir schaffen das Signal, das Angriffe dort erkennt, wo andere es nicht können.

  • ‍MitVectra haben Sie Abdeckung. Erhalten Sie Angriffstransparenz mit Kontext über alle fünf Angriffsflächen - öffentliche cloud, SaaS, Identität, Netzwerk und endpoint.
  • ‍Mit Vectra haben Sie Klarheit. Reduzieren Sie das Alarmrauschen um mehr als 80 %, indem Sie die Methoden der Angreifer genau bestimmen und den Bedrohungen, die für Ihr Unternehmen am wichtigsten sind, Priorität einräumen.
  • ‍Mit Vectra haben Sie die Kontrolle. Integrieren Sie Kontext, Arbeitsabläufe und Kontrollen in Ihr bestehendes System, um Bedrohungen mit weniger Aufwand, weniger Tools und in kürzerer Zeit zu stoppen.

Weitere Informationen über die Vectra-Plattform finden Sie auf unserer Plattform-Seite.‍

Häufig gestellte Fragen