Eine der größten Herausforderungen eines guten Programms zur Reaktion auf Vorfälle besteht darin, den Bedarf an Transparenz, Erkennung und Reaktion mit den Kosten und der Komplexität des Aufbaus und der Pflege eines brauchbaren und effektiven Sicherheitssystems in Einklang zu bringen.
In der Vergangenheit stand das Sicherheitsinformations- und Ereignis-Management (SIEM) im Mittelpunkt vieler Sicherheitsoperationen, um eine breite Palette von Anwendungsfällen abzudecken, einschließlich der Erkennung von Bedrohungen, der Erstellung von Compliance-Berichten, der Zentralisierung von Warnmeldungen sowie der Bereitstellung von Analyseprozessen und Workflows. Für einige Unternehmen ist ein SIEM ideal als zentraler Punkt für alles, was mit der Erkennung von Bedrohungen und Protokollen zu tun hat. Für andere hängt die Fähigkeit, ein effektives SIEM zu verwalten, davon ab, ob sie in der Lage sind, Talente zu halten. Es gibt Unternehmen, die mit einem Mangel an qualifizierten Mitarbeitern für Blue-Team-Rollen konfrontiert sind.
Leider führt ein SIEM in der Regel zu zusätzlichem Overhead, und nicht jeder Untersuchungs- oder Ereignis-Reaktions-Workflow muss in einem SIEM enthalten sein. Entscheidend ist, zu wissen, welche Ereignisse das beste Signal-Rausch-Verhältnis für die Erkennung von Bedrohungen bieten. Was nützt also ein SIEM in einer ressourcenbeschränkten Umgebung?
Um diese Frage zu beantworten, müssen wir zunächst die Anforderungen an die Erkennung von Bedrohungen und die Reaktion auf Zwischenfälle definieren:
- Sichtbarkeit der Unternehmensressourcen, wo auch immer sie sich befinden mögen. Dies kann Rechenzentren und cloud Arbeitslasten, firmeneigene Laptops sowie BYOD- und IoT-Geräte umfassen.
- Korrelation von Sicherheitsereignissen und die Fähigkeit, Beziehungen zwischen Arbeitslasten und Geräten zu erkennen.
- Kontext des Geschehens in Verbindung mit einer verwertbaren Reaktion.
- Wiederholbare Prozesse und Arbeitsabläufe, die es Analysten in der Anfangsphase ermöglichen, ihre Sicherheitskenntnisse schnell zu erweitern, und erfahrenen Analysten, schnelle, schlüssige Untersuchungen durchzuführen.
- Erkennung und Untersuchung von Bedrohungen, die an jedem beliebigen Punkt ansetzen können.
Meiner Meinung nach ist das Netz zwar der einfachste Weg, um einen umfassenden Überblick zu erhalten, und ein guter Ausgangspunkt, um zu wissen, wo man suchen muss, aber andere Datenquellen können den Kontext bereichern.
Für die Erkennung von Bedrohungen sind sowohl Netzwerk- und endpoint -Kontext als auch Protokolle erforderlich. Und jede dieser Datenquellen sollte von spezialisierten Tools unterstützt werden, die speziell für die Sichtbarkeit, Erkennung und Reaktion in ihren jeweiligen Datentypen entwickelt wurden und von Grund auf für die Zusammenarbeit konzipiert sind.
Es gibt eine neue Art von SIEM-loser Sicherheitsarchitektur, die es Unternehmen ermöglicht, intelligente Menschen mit allgemeiner IT-Erfahrung zur nächsten Generation von Sicherheitsanalysten zu machen. Diese spezialisierten Erkennungs- und Reaktionsplattformen bieten leicht verständliche, wiederholbare Prozesse, die die Bausteine einer effektiven Untersuchung sind, unabhängig von der Art der Bedrohung, mit der Sie konfrontiert sind.
Die drei Schlüsselkomponenten dieser dynamischen Architektur bestehen aus (1) Netzwerk- und endpoint -Erkennung und -Reaktion (NDR und EDR) in Kombination mit (2) Sicherheitsautomatisierung und -orchestrierung, um (3) Fallmanagement für die Reaktion auf Vorfälle zusammenzubringen. Untersuchungen können überall beginnen - im Netzwerk, auf endpoint oder in der Sicherheitsautomatisierung und -orchestrierung -, da die Schlüsselkomponenten der Architektur miteinander kommunizieren. Zusätzliche Fallanreicherung und Reaktionserzwingung werden häufig von den bereits vorhandenen Perimeter-Sicherheitstools bereitgestellt.
Diese Architektur wird häufig in Kundenumgebungen mit Integration zwischen Vectra, CrowdStrike, Demisto und Palo Alto Networks eingesetzt. Die Integration über Orchestrierung ermöglicht beispielsweise fundierte Aktionen auf der Grundlage von Tagging von Cognito, das Ereignisse auslöst, und Automatisierung in Demisto und liefert wertvolle Erkenntnisse, die es Sicherheitsteams ermöglichen, sehr effektive blaue Teams aufzubauen.
Mit einer besseren Datenquelle wie NDR von Vectra und EDR von CrowdStrike können Sicherheitsanalysten die Kosten und die Komplexität von SIEMs eliminieren und gleichzeitig von den Vorteilen einer schnelleren Reaktion auf Vorfälle profitieren. Die Vectra Cognito-Plattform wurde speziell für die Integration mit endpoint protection, orchestration, firewall, cloud und virtualized data center security entwickelt, um bestehende Incident-Response-Workflows in einer Weise zu unterstützen, die Ihr Unternehmen ergänzt.
Zu diesen Integrationen gehören VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk, Juniper, Palo Alto Networks und andere. Dadurch können Sicherheitsanalysten problemlos zwischen beliebigen Plattformen oder Tools wechseln und gleichzeitig umfassende Informationen über kompromittierte Host-Geräte und Bedrohungsvorfälle erhalten.
Und wenn Sie sich nicht von Ihrem SIEM trennen können, weil Sie es als das Zentrum Ihrer Bedrohungsforschung betrachten, funktioniert Cognito auch dort gut(QRadar, ArcSight und Splunk).