Was Sie vor der Lektüre des Gartner Market Guide 2020 für NDR wissen sollten

Juni 16, 2020
Vectra AI Team für Sicherheitsforschung
Cybersecurity
Was Sie vor der Lektüre des Gartner Market Guide 2020 für NDR wissen sollten

[AKTUALISIERT AM 30.11.23 - Der Marktführer 2020 ist veraltet und steht nicht mehr zum Download zur Verfügung]

Der lang erwartete Gartner Market Guide für Network Detection and Response (NDR) wurde veröffentlicht, und wir sind der Meinung, dass Sie einige wichtige Dinge beachten sollten, bevor Sie sich mit dem Dokument und der neu definierten Kategorie beschäftigen. Da sich der Markt immer mehr von der reinen Analyse wegbewegt und auf handlungsfähige Reaktionen setzt, muss das "R" in NDR als das erkannt werden, was es wirklich ist - eine Gelegenheit für Ihr Unternehmen, eine klar umrissene Strategie für automatische und manuelle Reaktionen zu haben. Früher war diese Kategorie als Netzwerkverkehrsanalyse (NTA) bekannt, aber sie hat sich über diese Definition hinaus entwickelt und wurde umbenannt, um die Funktionalität dieser Lösungen genauer wiederzugeben.

Innerhalb dieser neu definierten Kategorie erkennt der Markt nun die Nutzung automatischer und manueller Reaktionen als gemeinsame Elemente von NDR-Lösungen an. Dies umfasst alles vom Senden von Befehlen an eine Firewall, damit diese verdächtigen Datenverkehr abweist, bis hin zur Bereitstellung von threat hunting und Incident-Response-Funktionen. Um Ihre Sicherheitsteams gegen künftige Angriffe zu wappnen, ist es jedoch entscheidend, die echten NDR-Lösungen von denjenigen zu unterscheiden, die lediglich darauf abzielen, mit Zusatzfunktionen zu punkten.

Der Gartner Market Guide definiert einen Markt und erklärt, was die Kunden kurzfristig von ihm erwarten können. Da der Schwerpunkt auf frühen, chaotischen Märkten liegt, werden in einem Market Guide keine Anbieter innerhalb des Marktes bewertet oder positioniert, sondern es werden eher die Eigenschaften repräsentativer Anbieter beschrieben, die Angebote auf dem Markt bereitstellen, um weitere Einblicke in den Markt selbst zu geben.

Ich liebe den Begriff "chaotisch". Die Liste der Anbieter, die behaupten, NDR zu sein, ist lang und vielfältig; viele verwenden Bolt-on oder Check-Box-Sicherheit, um den NDR-Anspruch zu erheben. Gartner konnte die Liste auf 18 Anbieter eingrenzen, aber selbst bei einigen von ihnen kann ich mich nur am Kopf kratzen. Ich kann mir nur vorstellen, wie lang die Liste war, als sie anfingen, also Hut ab vor Gartner, denn ich bin mir sicher, dass es nicht einfach war, den Markt auf 18 Anbieter zu reduzieren.

Wir bei Vectra wissen, dass die Reaktion entscheidend ist, um Sicherheitsverletzungen zu reduzieren, die Effizienz des Security Operation Center (SOC) zu erhöhen, die Einhaltung von Vorschriften zu gewährleisten und Sicherheit auf cloudzu bieten. Es ist daher von entscheidender Bedeutung, falsch-positive Alarme zu vermeiden, die schnell zu einer Ermüdung der Analysten führen, die dann nicht mehr in der Lage sind, Prioritäten bei der Reaktion zu setzen. Wenn automatisierte Reaktionen nicht ordnungsgemäß ausgeführt werden, werden die Auswirkungen dieser Fehlalarme noch verschlimmert und führen zu Störungen und Ausfällen.

Sobald Sie über qualitativ hochwertige und originalgetreue Warnmeldungen verfügen, sind Sie bereit für eine Reaktion.

  • Reagieren Sie auf der Grundlage von Verhaltensmustern, nicht auf der Grundlage der Anzahl von Anomalien: Vermeiden Sie das Rauschen und die Fehlalarme von anomaliebasierten Systemen. Verankern Sie Ihre Reaktion auf einen Ansatz, der eine branchenweit führende Anzahl von Netzwerkverhaltensweisen im Rahmen von MITRE ATT&CK abdeckt.
  • Setzen Sie Prioritäten bei der Reaktion auf der Grundlage von Berechtigungen und Risiken: Denken Sie wie ein Angreifer. Konzentrieren Sie sich auf die Ressourcen, die sie angreifen werden. Priorisieren Sie diejenigen, die ein hohes Maß an Privilegien, Risiko und Wahrscheinlichkeit einer Bedrohung aufweisen.
  • Durchsetzung auf der Ebene der Identität: Was ist präziser als die Durchsetzung auf Identitätsebene? Nichts. Entfernen Sie sofort den bösartigen Zugriff auf Ressourcen, die für Ihr Unternehmen wichtig sind.

Eine beliebte Reaktionsmöglichkeit ist die Vectra Account Lockdown. Sie ermöglicht eine sofortige, anpassbare Kontodurchsetzung über die Active Directory-Integration. Sie können den Zugriff auf Konten chirurgisch einfrieren und Serviceunterbrechungen vermeiden, indem Sie Konten und nicht Ihr Netzwerk deaktivieren. Indem Sie das Konto eines Angreifers deaktivieren, können Sie das Fortschreiten des Angreifers in der Kill Chain begrenzen.

Häufig gestellte Fragen