[AKTUALISIERT AM 30.11.23 - Der Gartner Market Guide ist nicht mehr zum Download verfügbar]
In seinem Juli-Bericht "Hype Cycle for Security Operations 2022" bestätigte Gartner eine Position, die Vectra AI schon vor einiger Zeit eingenommen hat: NDR (Network Detection and Response)-Technologie sollte eine vorrangige Lösung für Sicherheitsteams in Unternehmen sein.
Vectra ist sich dessen natürlich schon lange bewusst, aber es ist schön zu sehen, dass die konventionelle Weisheit endlich aufholt.
Technologiebeeinflusser und Entscheidungsträger stürzen sich immer auf die Gartner-Hype-Cycle-Berichte. In diesen maßgeblichen Berichten wird verkündet, welche Kategorien sich auf dem Weg nach oben befinden, welche ihren Höhepunkt erreicht haben und welche trotz ausreichendem Hype wahrscheinlich nicht aufsteigen werden, um eine Massenakzeptanz zu erfahren, sondern dazu verdammt sind, entweder auf dem "Gipfel der aufgeblähten Erwartungen" zu sterben oder im "Tal der Ernüchterung" zu versinken.
Der NDR, schlussfolgert Gartner, ist beiden Schicksalen entgangen - und erklimmt gerade den "Hang der Erleuchtung".
Und warum? Ich zitiere aus dem Bericht:
"Bei den Überlegungen zur Technologie- und Fähigkeits-Roadmap für die Sicherheitsabläufe muss ein deutlicher Schwerpunkt auf der Priorisierung der entdeckten Probleme liegen, um sicherzustellen, dass Ihr Programm für die Sicherheitsabläufe auf Ihre spezifische und dynamische Angriffsfläche abgestimmt ist. Gleichzeitig muss dies alles mit modernen IT-Architekturen in Einklang gebracht werden."¹
Im Vectra-Stil: Klartext: Noch nie waren Netzwerkdomänen so verteilt und fragmentiert, und noch nie war die Bedrohungslandschaft - vom Rechenzentrum bis zu cloud - so reichhaltig und überschwemmt mit Unbekanntem. Mit der raschen Einführung von hybriden und multiplencloud gab es noch nie so viele Angriffsvektoren. Heutzutage kann man nicht jede Anomalie untersuchen - es gibt einfach zu viele, und die meisten sind sogar harmlos. Es zahlt sich also aus, die echten Bedrohungen zu priorisieren und hervorzuheben, unabhängig davon, woher sie kommen oder wie sie sich entwickeln. Hier kommt die "Vectra Threat Detection and Response (TDR)"-Plattform ins Spiel.
Eine Sicherheitsinvestition mit geringem Risiko und hohem Nutzen
Die Zeit ist reif für eine modernere Sicherheitsplattform zur Erkennung von und Reaktion auf Bedrohungen, die das Risiko minimiert - eine Plattform, die über die Überwachung hinausgeht und abnormales Systemverhalten vorhersagt, unter anderem durch die Anwendung von Verhaltensanalysen auf Netzwerk-, cloud - und Identitätsdaten.
In diesem Zusammenhang, so Gartner, ist NDR eine risikoarme und lohnende Investition für Sicherheitsteams. Sie ergänzt traditionelle, alleinstehende, präventive Sicherheitstools, die in der heutigen Bedrohungsumgebung weniger effektiv sind.
Es wird immer schwieriger, den Datenverkehr und den Zustand des Netzwerks zwischen den Einrichtungen vor Ort und der Website cloud zu überwachen. Der richtige NDR schließt diese Lücke; der richtige NDR nutzt maschinelles Lernen, um Bedrohungen zu erkennen, die von anderen Technologien übersehen werden; der richtige NDR behindert nicht den legitimen Netzwerkverkehr; der richtige NDR wird nicht zu einem "Bremsklotz" für die organisatorische Effizienz.
Gartners Ansicht über NDR bestätigt den Ansatz von Vectra(TDR)
Vectra TDR (einschließlich NDR, CDR und ITDR) konzentriert sich auf Folgendes:
- Anpassung der Lösungen an die Anforderungen des Kunden in Bezug auf die Abdeckung der Angriffsfläche, da sich die Angriffsflächen ständig erweitern und nun auch öffentliche cloud, SaaS, Identitäts- und Netzwerkdomänen umfassen;
- Priorisierung und Klärung der kritischsten Bedrohungen aus dem riesigen Meer von Anomalien, die für Unternehmen am wichtigsten sind;
- Verringerung der Komplexität der Arbeitsbelastung für SOC-Teams durch die Integration von Tools und die Automatisierung von Prozessen, damit die Analysten ihr Bestes geben können (ohne sie auszubrennen);
- Bessere Sichtbarkeit und Kontrolle, damit Sicherheitsteams Angriffe mit weniger Aufwand, weniger Tools und in kürzerer Zeit erkennen und stoppen können.
Die Einschätzungen von Gartner zu Sicherheitstechnologien decken sich gut mit der Strategie der Threat Detection and Response (TDR)-Plattform von Vectra.
Der Bericht "Hype Cycle for Security Operations" hebt zusätzliche Technologien und Dienste hervor, die über NDR hinausgehen. Die Vectra TDR-Plattform umfasst bereits MDR (Managed Detection and Response) und ITDR (Identity Threat Detection and Response) sowie OT Security, Breach and Attack Simulation, Digital Forensics and Incident Response, Vulnerability Prioritization Technology und Digital Risk Protection Services. All dies sind Prioritäten für Entscheidungsträger in der Sicherheitsbranche; all dies sind Aspekte, die im Gesamtangebot von Vectra enthalten sind.
Kaufen Sie Geschäftsergebnisse, nicht Technologien
Obwohl es sicherlich erfreulich ist, dass Gartner die Kerntechnologien von Vectra so positiv bewertet, möchte ich mit einer Empfehlung schließen, die auf den ersten Blick widersprüchlich erscheinen mag: Konzentrieren Sie sich auf Ergebnisse, nicht auf Technologien.
Betrachten Sie die von Gartner genannten Treiber für MDR, die sich alle auf geschätzte Ergebnisse beziehen:
- Konformität: Sicherstellen, dass die Organisation über die erforderliche Überwachung und Erkennung von Bedrohungen verfügt;
- Abdeckung: Zuverlässige Erkennung von Bedrohungen und Abdeckung einer breiten Palette von Datenquellen, Technologien und SaaS-Plattformen;
- Eindämmung: Einleitung von Maßnahmen zur aktiven Eindämmung oder Unterbrechung einer Bedrohung;
- Kontrollen: Bereitstellung von Funktionen für Expositionsmanagement, Reaktion auf Vorfälle und Risikomanagement;
- Komplexitätsreduzierung: Implementierung einer schlüsselfertigen Lösung für diejenigen, die keine internen Kapazitäten aufbauen und aufrechterhalten können oder schnelle Kapazitäten benötigen.
Verpfuschte oder zumindest unvollkommene technologische Implementierungen sind eine seit langem bestehende Quelle für Sicherheitsprobleme im privaten Sektor. Abgesehen von der Behebung kurzfristiger Probleme führt der Kauf von Sicherheitslösungen a la carte und das Aufeinanderstapeln dieser Lösungen nur zu Reibungsverlusten und Inkompatibilität. Wenn ein Unternehmen stark in Technologien wie EDR und SIEM investiert, aber parallel dazu inkompatible NDR- oder MDR-Lösungen einsetzt, kann das Ergebnis das Gegenteil von dem sein, was beabsichtigt war: sowohl kostspielig als auch störend.
Der anspruchsvolle Kunde sollte sich an einen Anbieter wenden, der Tools anbietet, die auf die Erzielung spezifischer, gewünschter Ergebnisse abgestimmt sind - im Einklang mit der bestehenden Landschaft. Ein solcher Anbieter bietet mehr als nur NDR: MDR-Services, die auf Offenheit, Transparenz und offene Kommunikationskanäle mit Analysten und Lieferteams ausgerichtet sind. Suchen Sie nach Hinweisen auf die Einstellung eines Anbieters in der Gestaltung der Benutzeroberfläche: je einfühlsamer und intuitiver, desto besser.
Eine solche offene, ergebnisorientierte Haltung bringt wichtige Technologien wie NDR auf den "Hang der Aufklärung" und MDR in den "Early Mainstream", während andere ihr Potenzial nicht erreichen.
In ihrem Bericht präsentiert Gartner zwingende Gründe für jeden CISO eines Unternehmens, die Einführung von NDR zu erwägen und MDR darum herum zu verpacken. Vectra hat die Erfolgsbilanz, die Einstellung und die Kultur, um sein spezielles NDR + MDR-Angebot zu differenzieren.
Laut Gartner befindet sich NDR heute auf dem Weg zum Mainstream-Status. Natürlich hatte Vectra schon lange vor der Verkündung des Hype Cycle-Urteils von Gartner volles Vertrauen in NDR gesetzt - ein Ansatz, der durch erfolgreiche Ergebnisse in der Praxis gerechtfertigt war.
Jetzt, wo Gartner das Wort ergriffen hat, werden sich vielleicht mehr Menschen auf den Weg zum NDR machen. Die Aufgabe besteht darin, den richtigen NDR auszuwählen: einen mit den richtigen MDR-Diensten im Rücken.
----
¹ Andrew Davies et al, "Hype Cycle for Security Operations, 2022", Gartner Group, 5. Juli 2022, S. 5.