Im Gartner-Forschungsbericht "Applying Network-Centric Approaches for Threat Detection and Response", der am 18. März 2019 veröffentlicht wurde (ID: G00373460), stellten Augusto Barros, Anton Chuvakin und Anna Belak das Konzept der Security Operations Center (SOC_ Visibility Triad) vor.
Die Forschung liefert die folgende Grafik, die den "nuklearen Dreiklang der Sichtbarkeit" zeigt:
1. Sicherheitsereignis-Informationsmanagement (SIEM) / Analyse des Benutzerverhaltens (UEBA)
Security Event Information Management (SIEM) / User Entity Behavior Analytics (UEBA) ermöglicht das Sammeln und Analysieren von Protokollen, die von der IT-Infrastruktur, Anwendungen und anderen Sicherheitstools erzeugt werden.
2. Endpoint Erkennung und Reaktion (EDR)
Endpoint detection and response (EDR) bietet die Möglichkeit, die Ausführung, lokale Verbindungen, Systemänderungen, Speicheraktivitäten und andere Vorgänge von Endpunkten zu erfassen.
3. Netzzentrierte Erkennung und Reaktion (NDR, NTA, NFT und IDPS)
Die netzzentrierte Erkennung und Reaktion (NDR, NTA, NFT und IDPS) wird durch die in dieser Untersuchung behandelten Tools zur Erfassung und/oder Analyse des Netzverkehrs gewährleistet."
In der Studie heißt es weiter : "Ihre SOC-Triade zielt darauf ab, die Wahrscheinlichkeit, dass Angreifer lange genug in Ihrem Netzwerk operieren, um ihre Ziele zu erreichen, erheblich zu verringern." In der Studie schreiben die Autoren, dass "EDR eine detaillierte Verfolgung bösartiger Aktivitäten auf endpoint ermöglicht. Angreifer können ihre Tools jedoch möglicherweise vor EDR verbergen. Ihre Aktivitäten werden jedoch durch Netzwerk-Tools sichtbar, sobald sie über das Netzwerk mit einem anderen System interagieren."
In der Studie heißt es weiter: "Protokolle können den notwendigen Einblick in höhere Schichten bieten. So können sie beispielsweise Aufschluss darüber geben, was Benutzer auf der Anwendungsebene tun. EDR und Protokolle können auch die Probleme im Zusammenhang mit verschlüsselten Netzwerkverbindungen entschärfen - eine häufige Ursache für blinde Flecken in netzwerkzentrierten Technologien."
Sicherheitsteams haben Vectra während ihrer Reaktions- oder Bedrohungssuche sehr ähnliche Fragen gestellt: Was hat diese Anlage oder dieses Konto vor dem Alarm getan? Was hat es nach der Warnung getan? Können wir herausfinden, wann die Dinge anfingen, schlecht zu werden?
Der Bedrohungsverlauf ist im Allgemeinen an drei Stellen verfügbar: Netzwerkerkennung und -reaktion (NDR), EDR und SIEMs. EDR bietet eine detaillierte Übersicht über die auf einem Host laufenden Prozesse und die Interaktionen zwischen ihnen. NDR bietet einen Überblick über die Interaktionen zwischen allen Geräten im Netzwerk, unabhängig davon, ob EDR auf ihnen läuft oder nicht.
Sicherheitsteams konfigurieren SIEMs, um Ereignisprotokollinformationen von anderen Systemen zu sammeln. Sicherheitsteams, die die Triade aus NDR, EDR und SIEMs einsetzen, können bei der Reaktion auf einen Vorfall oder bei der Suche nach Bedrohungen eine breitere Palette von Fragen beantworten. Sie können zum Beispiel folgende Fragen beantworten:
- Hat sich ein anderes Objekt nach der Kommunikation mit dem potenziell gefährdeten Objekt seltsam verhalten?
- Welcher Dienst und welches Protokoll wurden verwendet?
- Welche anderen Vermögenswerte oder Konten können betroffen sein?
- Hat eine andere Anlage die gleiche externe Command-and-Control-IP-Adresse kontaktiert?
- Wurde das Benutzerkonto in unerwarteter Weise auf anderen Geräten verwendet?
Obwohl NDR und EDR hier eine Perspektive bieten können, ist NDR wichtiger, weil es eine Perspektive bietet, die EDR nicht bieten kann. So können beispielsweise Exploits, die auf der BIOS-Ebene eines Geräts operieren, EDR unterlaufen. Beispiele für solche Exploits sind diejenigen, die Berichten zufolge von der Hackergruppe Shadow Brokers von der Equation Group gestohlen wurden. Wenn EDR nach einer Liste von Geräten gefragt wird, mit denen ein Host kommuniziert hat, meldet es möglicherweise die Geräte B, C und E. NDR hingegen würde melden, dass derselbe Host mit den Geräten A, B, C, E und F kommuniziert hat.
Dieser Ansatz für ein modernes Security Operations Center ist auch der Grund, warum Vectra über wichtige Integrationsmöglichkeiten mit branchenführenden Technologiepartnern wie CrowdStrike, Carbon Black und Splunk verfügt.
Wenn Sie mehr erfahren möchten, wenden Sie sich an Vectra, um ein Beratungsgespräch über diese Integrationen zu führen, oder vereinbaren Sie einen Termin mit den Autoren der Gartner-Studie - Barros, Chuvakin und Belak -, um mehr über die Transparenz Ihrer Infrastruktur zu erfahren.
Weitere Informationen über die SOC Visibility Triad finden Sie in der Lösungsübersicht "The ultimate in SOC visibility".