Wie ein globaler Einzelhändler die Red Team Tests mit Vectra

30. April 2021
Hitesh Sheth
Präsident und Geschäftsführer
Wie ein globaler Einzelhändler die Red Team Tests mit Vectra

Jedes Jahr beauftragt dieser globale Einzelhandelsriese Berater mit der Durchführung von Red-Team-Übungen, um die Widerstandsfähigkeit von Cybersicherheitsmaßnahmen zu testen. Und jedes Jahr scheiterten sie - bis sie Vectra einsetzten.

Ich hatte das Privileg, mit John Byun, Senior Security Architect bei einem globalen Einzelhändler, darüber zu sprechen, wie sein Team die Red-Team-Tests bestanden hat, warum die Partnerschaft mit Vectra für das Erreichen dieses Meilensteins entscheidend war und wie die Cognito-Plattform für die Sicherheitsabläufe seines Unternehmens unverzichtbar geworden ist.

Vectra sorgt für eine hohe Wiedergabetreue der Alarme und weniger Lärm

Leider musste das siebenköpfige Team des Security Operations Center (SOC) mit einem mageren Sicherheitsbudget auskommen, obwohl es die Netzwerksicherheit für Hunderte von Geschäften und einen regen Online-Handel gewährleisten musste. Johns Team benötigte eine Netzwerkerkennungs- und -reaktionslösung (Network Detection and Response, NDR), mit der Angreifer identifiziert werden können, die Firewalls und Intrusion Prevention- oder Detection-Systeme (IPS/IDS) am Netzwerkrand umgehen, und die gleichzeitig Einblick in die Bedrohungen gewährt.

Bei der Auswahl eines Produkts sagte John, dass zu seinen "Must Haves" für ein Sicherheitstool 1) die genaue Erkennung von True Positives und 2) die Reduzierung von Rauschen gehören. Er bemerkte: "Wenn es keine echten Positivmeldungen erkennen kann, was nützt es Ihnen dann?"

Im Anschluss an diese beiden wichtigsten Anforderungen erwähnte John, dass eine saubere Benutzeroberfläche, effektive Funktionalität, Benutzerfreundlichkeit und ein angemessener Preis allesamt "nice to have" sind.

Schließlich wählte das SOC-Team den NDR auf zwei Finalisten aus -Vectra und ExtraHop -, diein einem Proof-of-Concept (POC)-Test einsatzbereit waren. Zufälligerweise fand dieser Test zur gleichen Zeit statt, als das Unternehmen an einem anderen Penetrationstest des Red Teams beteiligt war.

Während des POC stellte John fest, dass Vectra "eine Reihe von Erkennungen für diese Red-Team-Operation hatte" und die Erkennungen mithilfe von KI zuordnete. Auf der anderen Seite zeigte ExtraHop zwar einige Erkennungen, aber seine regelbasierte Technologie und die fehlende Möglichkeit, Erkennungen zu triagieren, waren nicht vergleichbar mit dem, was ExtraHop zu bieten hatte. Aus diesem Grund wurde Vectra als NDR-Lösung ausgewählt.

"ExtraHop war für mich kein Sicherheitstool. Es ist ein Netzwerküberwachungstool mit einigen Sicherheitsfunktionen", erklärte John. Er fügte hinzu, dass ExtraHop im Vergleich zu Vectra sehr laut sei und nicht über die gleichen Tuning-Funktionen verfüge, mit denen sich die Warnmeldungen auf seine SOC-Aktivitäten abstimmen ließen.

Innerhalb von zwei Wochen sank Johns Lärmpegel erheblich. Nach fast drei Jahren der Nutzung von Vectra stellt John fest, dass sie nur noch 4 bis 5 hochgradig zuverlässige Erkennungen pro Tag erhalten: "Wir müssen uns nicht mehr stundenlang mit der Untersuchung dieser Entdeckungen beschäftigen.

Durch die reduzierte SOC-Arbeitslast hat sein Team mehr Zeit, Vorfälle zu untersuchen, proaktiv nach Bedrohungen zu suchen und abschließende Untersuchungen durchzuführen.

John hat es selbst am besten ausgedrückt: "Ich habe meinem Chef gesagt, dass Vectra das letzte Instrument wäre, das ich abschaffen würde, wenn unser Budget komplett gekürzt würde."

Dem Red Team immer einen Schritt voraus

Red Team-Tests stellen SOC-Teams vor Herausforderungen, wenn es um Schutz, Erkennung und Behebung geht. Seit dem Einsatz von Vectra hat Johns SOC-Team die Red-Team-Tests zwei Jahre in Folge bestanden.

Natürlich wäre dieser Erfolg nicht möglich gewesen ohne zwei andere Elemente der SOC-Transparenz-Trias: Security Information Event Management (SIEM) und endpoint detection and response (EDR). John wies darauf hin, wie wichtig es ist, NDR zusammen mit SIEM und EDR einzusetzen, um eine durchgängige Abdeckung zu erreichen.

"Für mich besteht unser SOC-Dreiklang aus unserem EDR-Tool, NDR ist Vectra und unser letztes ist Splunk", so John. Obwohl sie Splunk und ihre EDR-Lösung nutzen, um sich einen Überblick über die Aktivitäten zu verschaffen, ist Vectra die Hauptkomponente, auf die sie sich bei den Erkennungen verlassen.

Die Schönheit einer starken Partnerschaft

Abschließend bekräftigten John und ich die gegenseitige Kommunikation und Zusammenarbeit zwischen unseren Teams. Als John sagte: "Das ist die beste Beziehung, die ich je mit einem Lieferanten hatte", konnte ich meine Begeisterung nicht unterdrücken. Es gibt nichts Schöneres, als zu wissen, dass unsere Partner sich unterstützt fühlen - vor allem, wenn wir gerne zusammenarbeiten.

Für die Zukunft plant seine Organisation, sich dem Purple Team Test zu unterziehen. Diese Entscheidung ist ein Beispiel für die Möglichkeiten und Vorteile, die sich aus der engagierten Zusammenarbeit und dem kontinuierlichen Erfolg der Lösungen von Vectra ergeben.

Wir werden diesen globalen Einzelhändler auch weiterhin bei der Nutzung der Vectra Technologie und dem Ausbau der Unternehmenssicherheit unterstützen.

Erfahren Sie, wie der globale Kosmetikriese Detect, Detect for Office 365 und Recall von Vectra einsetzt, um Red Team Tests zu bestehen und die Sicherheit seiner Daten zu gewährleisten.

Häufig gestellte Fragen