Reaktion auf Vorfälle und Wissen, wann man automatisieren sollte

Oktober 28, 2020
Vectra AI Team für Sicherheitsforschung
Cybersecurity
Reaktion auf Vorfälle und Wissen, wann man automatisieren sollte

Die Messungund Verbesserung der Gesamtreaktionszeit ist leichter gesagt als getan. Die Realität ist, dass viele Organisationen nicht wissen, ob sie bereit sind, auf einen Cybersecurity-Vorfall schnell und effektiv zu reagieren. Und die meisten wissen nicht, wie hoch ihr Risikobewusstsein sein muss oder wie sie angemessen reagieren können. Wie in meinem letzten Blog erwähnt, bestimmt die Klassifizierung des Risikos den erforderlichen Reifegrad des Unternehmens.

Noch kritischer ist, dass selbst wenn das Risiko bekannt ist, fehlendes Personal oder ineffiziente Mitarbeiter nicht zu einem wirksamen Programm führen werden. Ein großer Prozentsatz der Zeit eines Sicherheitsanalysten entfällt auf unerwartete Ereignisse, die ein vorhandener Prozess nicht bewältigen kann. Sicherheitsanalysten führen eine enorme Menge an mühsamer, manueller Arbeit aus, um Warnungen zu sortieren, sie zu korrelieren und nach Prioritäten zu ordnen. Sie verbringen oft Stunden damit, nur um dann festzustellen, dass die Warnung eigentlich keine Priorität hat.

Hinzu kommt, dass langwierige, manuelle Arbeit menschliche Fehler mit sich bringt. Menschen zeichnen sich durch kritisches Denken und Analyse aus, nicht durch sich wiederholende manuelle Arbeit. Den Unternehmen bleibt nichts anderes übrig, als mehr Mitarbeiter einzustellen oder die Arbeitslast zu verringern oder beides. Um die gewünschte Reaktionszeit für ein hohes Maß an Bedrohungsbewusstsein zu erreichen, muss man genau wissen, welche Aufgaben automatisiert werden sollen und, was noch wichtiger ist, wann sie nicht automatisiert werden sollen.

Ein effizienter Prozess zur Reaktion auf Vorfälle hält die Mitarbeiter auf dem Laufenden, ohne ihnen alle Schlüssel zu den Maschinen zu geben. Das Ziel ist vielmehr, die Zeit des Sicherheitsanalysten freizugeben, damit er sich auf höherwertige Aufgaben konzentrieren kann, die kritisches Denken erfordern.

Automatisierung von Erkennung und Reaktion


Das obige Modell umfasst drei Stufen, die zeigen, wie die Automatisierung auf einen Erkennungs- und Reaktionsprozess angewendet werden kann. Es gliedert sich folgendermaßen:

  1. Sichtbarkeit, Erkennung und Priorisierung von Angriffsindikatoren von Endpunkten und Netzwerken.
  2. Analyse von endpoint und Netzdaten in Verbindung mit anderen wichtigen Datenquellen.
  3. Eine koordinierte Reaktion auf Angriffe über Endgeräte, Netzwerke, Benutzer und Anwendungen hinweg.

Stufe 1: Sichtbarkeit, Erkennung und Prioritätensetzung

Das Netz und seine Endpunkte bieten Sichtbarkeits- und Erkennungsfunktionen. Sie bauen auf Sichtbarkeits- und Erkennungsdaten auf, um eine erste Priorisierung eines Vorfalls und sofortige Warnmeldungen zu liefern. Die Automatisierung des Erkennungs- und Einstufungsprozesses in dieser Phase reduziert die Gesamtzahl der gemeldeten Ereignisse, indem zahlreiche Warnmeldungen zu einem einzigen zu untersuchenden Vorfall zusammengefasst werden, der eine Kette von zusammenhängenden Aktivitäten beschreibt, anstatt isolierte Warnmeldungen, die ein Sicherheitsanalyst zusammensetzen muss. Anlagen und Konten, die für einen Vorfall von zentraler Bedeutung sind, werden kontextualisiert und nach Bedrohung und Sicherheit priorisiert. Diese Informationen werden dann an die nächste Stufe weitergegeben.

Stufe 2: Korrelation und Analytik

In dieser Phase werden Netzwerk- und endpoint -Daten mit Daten aus Benutzer-, Schwachstellen- und Anwendungsmanagementsystemen sowie mit anderen Sicherheitsinformationen wie Threat Intelligence Feeds korreliert. Ziel ist es, zu überprüfen, was aus den Netzwerk- und endpoint Daten als prioritär eingestuft wurde, und die richtige Reaktion auf der Grundlage von Schweregrad und Priorität vorzuschreiben. In dieser Phase ist eine menschliche Analyse erforderlich, um Entscheidungen auf der Grundlage des Umgebungskontexts und des Geschäftsrisikos zu treffen. Stark verfeinerte und verifizierte Warnungen werden an Stufe 3 weitergeleitet.

Stufe 3: Koordinierung und Reaktion

In dieser Phase erhält die Playbook-Automatisierung die priorisierte Antwort. Dazu gehören endpoint und Netzwerkwarnungen, die von Network Detection and Response (NDR) und endpoint Detection and Response (EDR) Tools auf der Grundlage ihrer jeweiligen Analysefunktionen generiert werden. Automatisierungs- und Orchestrierungs-Playbooks nutzen die durch Korrelation und Analyse bereitgestellten Daten. Diese Playbooks koordinieren eine Angriffsreaktion über Endpunkte, Netzwerke, Benutzer und Anwendungsmanagementsysteme hinweg. Die Reaktionen werden mit Maschinengeschwindigkeit ausgeführt, um die Ausbreitung des Angriffs einzudämmen, und können menschliche Entscheidungspunkte enthalten, um den Automatisierungsgrad auf ein der Situation angemessenes Maß zu drosseln.

Das hohe Maß an Integration und Interoperabilität zwischen diesen Plattformen ermöglicht es Unternehmen, Erkennung und Reaktion in einer sehr praktischen und überschaubaren Konfiguration zu implementieren. Dies minimiert die Anzahl der Sicherheitstools und -anwendungen, die für den gesamten Sicherheitszyklus "Erkennen, Entscheiden und Reagieren" erforderlich sind. Diese Implementierung bietet auch einen höheren Reifegrad als die meisten Unternehmen derzeit erreichen.

Der Ansatz funktioniert nicht nur in der Theorie. Er funktioniert auch in der Praxis mit NDR. Anhand von Messdaten bestehender Unternehmen, die die Cognito-Plattform von Vectra einsetzen, können wir die durchschnittliche Verringerung des Arbeitsaufwands für die Erkennung, Einstufung und Priorisierung von Ereignissen durch einen Tier-1-Sicherheitsanalysten sehen.

Verringerung der Arbeitsbelastung durch Triage, Korrelation und Priorisierung von Ereignissen zu Vorfällen

Für alle 10.000 in einem Monat überwachten Geräte und Workloads ergab die durchschnittliche Spitzenanzahl der Host-Schweregrade 27 kritische und 57 hochriskante Erkennungen. Diese Geräte und Workloads stellen die größte Bedrohung für ein Unternehmen dar und erfordern die sofortige Aufmerksamkeit eines Sicherheitsanalysten. Über einen Zeitraum von 30 Tagen bedeutet dies etwa eine kritische Erkennung und zwei Erkennungen mit hohem Risiko pro Tag, die sofortige Aufmerksamkeit erfordern. Zwar können auch andere Ereignisse auftreten, doch sind nur wenige von wirklichem Interesse und sollten an leitende Analysten oder Geschäftseinheiten zur genaueren Untersuchung weitergeleitet werden.

Verhaltensbasierte Algorithmen für maschinelles Lernen sind unglaublich nützlich, wenn es darum geht, sich wiederholende Arbeiten schneller und fehlerfrei auszuführen, als es Menschen rund um die Uhr möglich ist. Das maschinelle Lernen liefert tiefe Einblicke und detaillierte Informationen über laufende Cyberangriffe, die Sicherheitsanalysten in die Lage versetzen, kritische Überlegungen anzustellen, um einen Vorfall zu überprüfen und schnell darauf zu reagieren. Erreicht wird dies durch die Verwendung eines Signals mit hoher Wiedergabetreue, das das Rauschen herausfiltert, das zu falsch positiven Ergebnissen führt.

Dies wiederum verringert die Qualifikationslücken und die Hürden für den Einstieg in den Sicherheitsbetrieb als Junior-Analyst, während die Zeit hochqualifizierter Senior-Analysten frei wird, um sich auf threat hunting zu konzentrieren und als Risikoberater für Geschäftseinheiten zu fungieren.

Die Schlussfolgerungen

Hier sind drei wichtige Punkte zu beachten.

Die Zeit ist der wichtigste Maßstab für die Erkennung von Angriffen und die Reaktion darauf, bevor Schaden entsteht.

Um hartnäckige und gezielte Angriffe zu stoppen, ist eine schnelle Erkennung und Reaktion erforderlich.

Ein ausgereiftes Verfahren zur Reaktion auf Vorfälle führt zu einem besseren Bewusstsein für Bedrohungen und einer schnelleren Reaktion.

Es ist von entscheidender Bedeutung, die Risiken in Bezug auf das angemessene Maß an Bedrohungsbewusstsein und Reaktionsfähigkeit zu verstehen.

Maschinelles Lernen funktioniert am besten, wenn es auf spezifische Aufgaben angewendet wird.

Sie eignet sich gut für die Automatisierung mühsamer, sich wiederholender Aufgaben, während das kritische Denken und die komplexe Analyse den Menschen überlassen bleiben.

Wenn Sie Ihre Sicherheitsabläufe verbessern und Ihre Fähigkeiten zur Reaktion auf Vorfälle ausbauen möchten, finden Sie unter Vectra Advisory Services eine Reihe von Angeboten, die auf die spezifischen Anforderungen Ihres Unternehmens zugeschnitten sind.

Häufig gestellte Fragen