Dies ist der zweite Teil unserer Lockdown-Serie, in der wir Methoden zur effektiven Eindämmung von Sicherheitsvorfällen erörtern und wie Vectra dabei helfen kann. Sehen Sie sich den ersten Teil in dem es darum ging, warum Geschwindigkeit und Präzision bei der Erkennung und Behebung von Sicherheitsverletzungen entscheidend sind.
Bedürfnis nach Geschwindigkeit
Wie bereits in unserem letzten Beitrag über Vectra erwähnt, ist Schnelligkeit ein Schlüsselelement für eine erfolgreiche Eindämmung. Wenn Sie gezwungen sind, zu einer anderen Plattform zu wechseln und den Host, das Konto oder die Richtlinie zu finden, die Sie anwenden möchten, verlieren Sie wertvolle Zeit, die Sie möglicherweise nicht haben, wenn Angriffe stattfinden.
In diesem Teil gehen wir im Detail darauf ein, wie Vectra es Sicherheitsteams ermöglicht, Ereignisse direkt von der Plattform Vectra aus automatisch einzudämmen, so dass Analysten die Eindämmungseinstellungen auf einfache Weise in einem einzigen Fenster sehen und verwalten können. Und als Beispiel werden wir zeigen, wie Sie dies mit zwei unserer Integrationspartner aus unserem reichhaltigen nativen Partner-Ökosystem erreichen können: Microsoft und Amazon Web Services (AWS).
Abriegelung des Verteidigers
Vectra ist eng mit Microsoft Defender für Endpoint integriert, einer beliebten endpoint detection and response (EDR) Lösung. Dank dieser Integration können wir die "Isolate Device"-Funktion von Defender für Endpointnutzen. Dadurch erhalten Analysten die vollständige Isolationsfunktion von Defender, ohne dass sie von Vectra aus darauf zugreifen müssen.
Vectra Lockdown für Endpoint ermöglicht es Analysten, Hosts entweder manuell oder automatisch zu isolieren, und ähnlich wie im vorherigen Blog, in dem wir über Account Lockdown gesprochen haben, bietet Lockdown für Hosts granulare Optionen. Die erste ist die Bewertung der Dauer des Lockdowns, die zwischen 1 und 24 Stunden liegen kann. Wir können auch die Mindestwerte für Bedrohung und Sicherheit für den Host sowie ein Minimum an beobachteten Berechtigungen des Hosts auswählen. Sobald diese Schwellenwerte konfiguriert sind, wird Vectra einen Host automatisch einschließen, wenn das beobachtete Verhalten den Kriterien entspricht.
Abriegelung für AWS
Einige Kunden benötigen eine Erweiterung des Funktionsumfangs der Cognito Platform, um cloud Workloads abzudecken, und zum Glück ermöglicht unsere umfangreiche API eine schnelle und einfache Integration. Auf unserem Github finden Sie ein solches Beispiel für die Integration mit AWS.
Ohne zu wiederholen, was in der README steht, können wir AWS Security Hub nutzen, um Ereignisse zu erstellen, die von CloudWatch durch das Starten einer AWS Lambda-Funktion ausgeführt werden, z. B. das Stoppen oder Isolieren einer Arbeitslast in AWS. Der Ablauf ist vollständig automatisiert und erfordert keine manuellen Eingriffe des Bedieners. Da die Integration unsere nativen APIs verwendet, kann sie auch leicht so umgewandelt werden, dass sie nach einem bestimmten Tag auf einem Host sucht und die Durchführung von Aktionen durch eine Middleware-Komponente wie eine Security Orchestration Automation and Response (SOAR) ermöglicht.
Der Punkt hier ist, dass wir nicht auf das beschränkt sind, was bereits in die Plattform integriert ist, und dass es bereits viele erfolgreiche kundenspezifische Integrationen gibt.
Im Zweifelsfall sollte man sich informieren
Vectra Die Cognito-Plattform ist sowohl leistungsstark als auch flexibel und ermöglicht es Ihnen, die Containment-Architektur entsprechend den Anforderungen Ihres Unternehmens zu konfigurieren. Bei der Umsetzung von Vectra in die Praxis kann die folgende Checkliste nützlich sein, die bei der Implementierung zu berücksichtigen ist:
- Welche Art von Sicherheitsvorfällen wollen Sie eindämmen? Aktive Angreifer? Ransomware? Datenexfiltration?
- Welche Hosts wollen Sie niemals enthalten? Active Directory? Mail-Server? Produktionsserver?
- Unterstützt Ihre Lösung endpoint das Containment? Wenn ja, welche Betriebssystemversionen werden unterstützt?
- Wie wollen Sie bei Hosts ohne Agent mit diesen Hosts verfahren?
- Wollen wir die Eingrenzung von Konten einbeziehen? Wenn ja, welche Arten von Konten fallen in den Geltungsbereich und welche nicht?
- Wer ist letztendlich für die Genehmigung der Eindämmung zuständig? Sollten alle Beteiligten informiert werden?
Durch die Beantwortung dieser Fragen erhält Ihr Unternehmen ein klares Bild davon, was in den Geltungsbereich und was außerhalb des Geltungsbereichs für die Eindämmung fällt. Sobald die Standards festgelegt sind, kann ein Flussdiagramm mit den Schritten erstellt werden, die die Analysten unternehmen können.
Damit Sie die Funktionen der Cognito-Plattform optimal nutzen können, steht Ihnen das Professional Services Team von Vectra zur Verfügung. Sidekick Services ist ein Angebot, bei dem unsere Experten mit Ihrem Team zusammenarbeiten können, um Lockdown-Funktionen gemäß Ihrem eigenen Playbook zu entwickeln und zu integrieren.
Es ist üblich, dass Unternehmen mit der Behebung des Problems beginnen, bevor eine vollständige Untersuchung abgeschlossen ist. Mit Lockdown gewinnen Sie Zeit, sichern Beweise und untersuchen den Vorfall, bevor Sie Abhilfe schaffen.
Aber bedenken Sie, dass die Eindämmung zwar nützlich ist, aber eine schnell umzusetzende kurzfristige Lösung darstellt, die kein adäquater Ersatz für solide, gesunde Sicherheitsverfahren ist. Hostsperren und Kontosperren sind nicht als dauerhafte Lösungen gedacht, sondern eher als vorübergehende Lösungen, die während einer laufenden Untersuchung eingesetzt werden können.
Wenn Sie mehr über Vectra Cognito erfahren möchten, nehmen Sie bitte Kontakt mit uns auf oder vereinbaren Sie einen Termin für eine Demo.