Wie man vollständige Sichtbarkeit von Bedrohungen erlangt, wo nur das Netzwerk existiert

21. September 2020
Henrik Davidsson
Direktorin für globale Partnerstrategie, Programme und Enablement, Vectra
Wie man vollständige Sichtbarkeit von Bedrohungen erlangt, wo nur das Netzwerk existiert

Ihr Netz ist nicht endlich und hat weder einen klaren Anfang noch ein Ende. Ihr Netzwerk wird ständig erweitert und ist mit Geräten des Internets der Dinge (IoT), cloud Anwendungen und Infrastrukturen, Netzwerken der Betriebstechnologie (OT), Partnern und Lieferanten verbunden. Ständige Veränderungen und Wachstum sind notwendig, um neue Dienste und Produkte bereitzustellen und die Produktivität der Mitarbeiter aufrechtzuerhalten.

Viele Unternehmen erforschen das Internet der Dinge (IoT). Zu den geschäftlichen Triebkräften gehören ein besserer Zugang zu Datenanalysen, eine fundiertere Entscheidungsfindung, die Entdeckung neuer Geschäftsmöglichkeiten, die Schaffung eines sichereren und produktiveren Arbeitsplatzes sowie die Überwachung und Optimierung von Prozessen und Verhaltensweisen.

IoT ist eine neue Risikoquelle

Die Kontrolle von Risiken und Gefährdungen auf IoT-Geräten mit eingebetteten Betriebssystemen bringt neue Herausforderungen mit sich. Herkömmliche endpoint Sicherheit und Patches sind durch normale Betriebsverfahren oft nicht möglich, und IoT-Geräte haben oft eine offene Angriffsfläche. Sicherheitstools, die sich auf bösartigen Code oder Perimeter-Verteidigung konzentrieren, bieten nur eine begrenzte Sichtbarkeit, sobald der Angreifer die Umgebung erfolgreich infiltriert hat. Sicherheitsanalysten sind im Blindflug unterwegs, wenn es um kompromittierte IoT-Geräte geht.

Ein starker Dreiklang

Aber es gibt einen besseren Weg, um einen vollständigen Einblick in Bedrohungen zu erhalten: Die kürzlich von Gartner vorgestellte Sichtbarkeits-Triade des Security Operations Center (SOC).

Der SOC-Transparenz-Dreiklang besteht aus Network Detection and Response (NDR), endpoint Detection and Response (EDR) und Security Information Event Management (SIEM) oder logbasierter Erkennung. Als einzigartig leistungsstarke Kombination bietet die Triade die beste Abdeckung aller Bedrohungsvektoren über cloud Workloads und Unternehmensinfrastrukturen sowie Benutzer- und IoT-Geräte hinweg. Mit dieser Kombination hängt die Bedrohungsanalyse nicht von Signaturen oder Reputations-/Blacklists ab. Stattdessen konzentriert sich die Erkennung auf das Verhalten von Angreifern und bösartige Muster innerhalb des Netzwerks, unabhängig davon, ob es sich bei dem Angreifer um einen skrupellosen Mitarbeiter oder einen Außenseiter handelt.

SOC-Sichtbarkeitstriade

EDR bietet einen klaren Einblick in die Aktivitäten auf Host-Ebene, erfordert jedoch einen erweiterten Einblick für Hosts, die keine Agenten installieren können, wie IoT oder Hosts, die eine selektive Installation von Agenten unterstützen. SIEM und protokollbasierte Tools eignen sich hervorragend für Business Intelligence, Reporting und Korrelation über Datenquellen hinweg, erfordern jedoch zusätzliche Informationen für laterale Bewegungen, Netzwerkerkennung und Reaktionsfälle. Mit NDR bietet das Netzwerk der Verteidigungsebene Einblick in alle IP-Geräte, die sich verdächtig verhalten. Diese Verteidigungsschicht hilft Ihnen, die echten unbekannten Bedrohungen in Ihrer IT-Umgebung zu erkennen, indem sie sich auf die Agenda des Angreifers und die Aktionen konzentriert, die der Angreifer durchführen muss, um erfolgreich zu sein.

KI-gesteuerte Netzwerkerkennung und -reaktion

Die Cognito-Plattform von Vectra ist ein Schlüsselelement im Dreiklang des SOC Visibility. Sicherheitsanalysten nutzen Vectra für threat hunting und zur abschließenden Untersuchung von Vorfällen. Das KI-gesteuerte Cognito erkennt aktive Bedrohungen in Echtzeit im gesamten Unternehmen - von cloud über Rechenzentrums-Workloads bis hin zu Benutzer- und IoT-Geräten. Vectra analysiert cloud und den Netzwerkverkehr, reichert die Metadaten mit Sicherheitserkenntnissen an und priorisiert die Bedrohungen mit dem höchsten Risiko in Echtzeit.

Weitere Informationen über die SOC Visibility Triad finden Sie in unserer Lösungsübersicht, oder kontaktieren Sie uns, um eine Demo zu vereinbaren.

Häufig gestellte Fragen