Von der Prävention zur Erkennung mit der SOC Visibility Triade

Februar 24, 2020
Marcus Hartwig
Direktor, Produktmarketing
Von der Prävention zur Erkennung mit der SOC Visibility Triade

Die Zeiten, in denen die Implementierung guter Präventivlösungen ausreichte, um Ihr Unternehmen vor Sicherheitsverletzungen zu schützen, sind längst vorbei. Bei On-Premise-Netzwerken sind herkömmliche IDS-Lösungen, die häufig in Firewalls der nächsten Generation (NGFWs) integriert sind, in die Jahre gekommen und können mit dem ständig wachsenden Volumen an verschlüsseltem Datenverkehr nicht mehr Schritt halten. Sie sind auf Deep Packet Inspection angewiesen, was mit modernen Verschlüsselungsstandards nicht mehr möglich ist. Andere Anbieter schmücken ihre Lösungen oft mit "KI" oder "ML", um sie relevant zu halten, aber die Tatsache bleibt bestehen - es ist unmöglich, Angriffe zu stoppen, wenn man sie nicht einmal sehen kann.

Moderne Unternehmen übernehmen auch immer häufiger cloud Dienste. In Verbindung mit einer mobileren und verteilteren Belegschaft verliert das Konzept der Überwachung des Datenverkehrs, der in Ihr Netzwerk ein- und ausgeht, an Bedeutung, da der Datenverkehr häufig von entfernten Standorten direkt an die cloud weitergeleitet wird. Neuere Präventionsansätze haben sich daher angepasst und konzentrieren sich häufig auf die Durchsetzung starker Benutzeranmeldeinformationen und die Multifaktor-Authentifizierung (M FA), um Benutzerkonten sicher zu halten. Angreifer haben sich jedoch angepasst und sind geschickt darin geworden, bereits authentifizierte Sitzungen zu kompromittieren und so MFA und Passwörter gänzlich zu umgehen. Tatsächlich ist die Übernahme von Konten (ATO) zum wichtigsten Angriffsvektor für cloud Apps geworden. Vor diesem Hintergrund ist es nicht verwunderlich, dass sich Sicherheitsexperten von der Kompromissvermeidung auf die Erkennung und Reduzierung der Zeit, in der ein Angreifer Zugriff auf Unternehmensressourcen hat, verlagert haben.

Moderne Security Operation Center (SOCs) suchen heute nach Tools, die ihnen einen vollständigen Einblick in Benutzerendpunkte, Multicloud, Hybrid- und On-Premise-Netzwerke sowie Korrelations- und Forensik-Funktionen bieten. Bei dieser Suche hat sich die SOC-Sichtbarkeits-Triade als De-facto-Standard durchgesetzt. Die SOC-Sichtbarkeits-Triade fördert drei spezialisierte Technologien: Endpoint detection and response (EDR) für endpoint, network detection and response (NDR) für das Netzwerk und security information event management (SIEM) für die Sicherheitsanalyse und Korrelation. Doch damit all diese Technologien erfolgreich sind, müssen sie sich gut miteinander integrieren lassen, denn die Zeit der SOC-Analysten ist knapp bemessen.

Als führende NDR-Plattform haben wir schon immer einen starken Fokus auf den Aufbau von Partnerschaften gelegt, die unseren Kunden zugute kommen, und es ist für uns wichtig, tiefe technische Integrationen mit allen gängigen Lösungen im SOC-Dreiklang aufzubauen. Heute haben wir eine Partnerschaft mit Chronicle Backstory bekannt gegeben, die uns in unser bereits reichhaltiges SIEM-Integrations-Ökosystem zusammen mit Splunk, ArcSight und QRadar aufnehmen wird. In der EDR-Ecke haben wir neben CrowdStrike und Carbon Black mit Cybereason und SentinelOne ebenfalls einige neue Partner hinzugewonnen.

Dank dieser Partnerschaften können Unternehmen hochwertige Erkennungen und sicherheitsrelevante Netzwerk-Metadaten über Vectra Stream in bestehende Arbeitsabläufe einspeisen und die Korrelation mit Protokollen von anderen Bedrohungssignalen in der Chronicle Security Telemetry automatisieren. Zusammen bieten Vectra und die SOC-Visibility-Trias eine praktische Lösung für die hartnäckigsten Probleme, mit denen sich die Cybersecurity-Teams von Unternehmen heute konfrontiert sehen: das Aufspüren und Stoppen aktiver Cyberangriffe bei gleichzeitiger optimaler Nutzung der begrenzten Zeit und Ressourcen.

Lesen Sie mehr über unsere Technologie-Integrationen und den SOC-Transparenz-Dreiklang. Für weitere Informationen über Bedrohungsverhalten und privilegienbasierte Angriffe oder um die Cognito-Plattform in Aktion zu sehen, besuchen Sie bitte vectra.ai/demo.

Häufig gestellte Fragen