Ich war ein früher Befürworter des Gartner-Ansatzes, der die Kombination von endpoint detection and response (EDR), network detection and response (NDR) und security information and event management (SIEM) fordert, um die SOC Visibility Trias zu erreichen. Doch der holprige Weg zur Sichtbarkeit des Security Operations Center (SOC) ist voller Herausforderungen, wenn es um den Einsatz von Tools zur Erkennung von Angreifern geht
Eine Beobachtung über die SOC-Transparenz-Trias war, dass herkömmliche SIEMs möglicherweise nicht in der Lage sind, das hohe Volumen an Ereignissen, bestimmte Datentypen und eine Vielzahl anderer Herausforderungen zu bewältigen. Das ist etwas, was ich bei meiner Arbeit mit Unternehmen oft beobachtet habe. Sicherheitsteams tun sich schwer, SIEM-Anwendungsfälle zu entwickeln oder zu pflegen, selbst wenn sie mit überschaubaren Datenmengen perfekt funktionieren.
Die technischen und personellen Ressourcen, die für die Auswahl, Erstellung und Wartung komplexer SIEM-Anwendungsfälle erforderlich sind, sind immens. Die Betriebskosten sind beträchtlich, noch bevor man die für die Durchführung von Sicherheitsoperationen mit einem SIEM erforderlichen Ressourcen berücksichtigt.
Saint Gobain, ein Kunde von Vectra , sah sich vor einigen Jahren mit diesen Problemen konfrontiert und kam zu folgendem Schluss:
- Automatisieren Sie die Erkennung von Angreifern mit NDR und EDR. Verweisen Sie auf das MITRE ATT&CK Framework, um eine vollständige Bedrohungsabdeckung zu gewährleisten, die sich an die wachsende Zahl von IP-Adressen anpassen lässt.
- Erwägen Sie die Erstellung benutzerdefinierter Modelle zur Erkennung von Bedrohungen auf der Grundlage spezifischer Anwendungsfälle, die für Ihr Unternehmen relevant sind. Ein Einheitsansatz für NDR, EDR und SIEM wird nicht funktionieren.
- Erstellen Sie für SIEM-Erkennungen Anwendungsfälle, die für Ihr Unternehmen relevant sind und von anderen Sicherheitsanbietern nicht abgedeckt werden. Dies gewährleistet eine gleichbleibende Qualität der Erkennungen im Laufe der Zeit.
Was die Priorisierung von SOC-Investitionen angeht, so habe ich einen klaren Trend festgestellt: Leute, die über ihr SIEM nachgedacht haben, sind zu einem EDR-Ansatz übergegangen. EDR kann jedoch niemals alle Geräte oder Arbeitslasten in einem Unternehmen abdecken, und sein Einsatzort bietet nur eine lokale Ansicht von Dateien und Prozessen. Es ist ein anderer, aber ergänzender Ansatz erforderlich.
Dieses Bedürfnis treibt heute die rasche Einführung von NDR voran. NDR bietet einen unschätzbaren Mehrwert für den Sicherheitsbetrieb, da es einen vollständigen Einblick in die Netzwerke - von cloud und den Arbeitsabläufen im Rechenzentrum bis hin zu den Benutzer- und IoT-Geräten - ermöglicht und Klarheit in die EDR- und SIEM-Arbeitsabläufe bringt.
Der agentenlose Ansatz von NDR bietet einen Blick über den Tellerrand und konzentriert sich auf die Interaktionen zwischen verschiedenen Hosts und Konten. Dies wird über cloud, Rechenzentren, IoT- und Unternehmensnetzwerke hinweg erreicht, wo NDR die unveränderlichen Verhaltensweisen versteckter Angreifer identifiziert.
Diese allgegenwärtige Sichtbarkeit - zusammen mit dem Automatisierungsgrad und der erheblichen Arbeitsentlastung, die NDR für das SOC mit sich bringt - macht deutlich, warum zukunftsorientierte Sicherheitsteams einen NDR-First-Ansatz verfolgen:
- Die Integration mehrerer Anbieter ist ein Muss, um die Konsistenz und Einfachheit der Untersuchung zu gewährleisten.
- Ein größerer Erkennungskontext macht das gesamte Ausmaß eines Angriffs deutlich und ermöglicht schnellere und besser informierte Reaktionen.
Sicherheitsteams ändern nun ihre Antworten auf die Frage, wie sie ihre Investitionen in die Erkennung priorisieren und ausbalancieren können:
- EDR: Präziser, aber geringere Abdeckung (wahrscheinlich werden bis zu 40 % der Maschinen jemals einen Agenten haben; wenn man IoT und OT berücksichtigt, sind es noch viel weniger).
- NDR: Größere Reichweite, aber kein Überblick über bösartige Aktivitäten auf Maschinenebene.
Weitere Informationen finden Sie in der SOC-Sichtbarkeits-Trias und wie Sie damit von der Prävention zur Erkennung übergehen können.