SOC Visibility Triad - Das Nonplusultra der SOC Visibility

Im Gartner-Forschungsbericht "Applying Network-Centric Approaches for Threat Detection and Response" vom 18. März 2019 (ID: G00373460) stellen Augusto Barros, Anton Chuvakin und Anna Belak das Konzept der SOC Visibility Triad vor. In dieser Notiz rät Gartner:

"Die zunehmende Raffinesse der Bedrohungen erfordert, dass Unternehmen mehrere Datenquellen für die Erkennung und Bekämpfung von Bedrohungen nutzen. Netzwerkbasierte Technologien ermöglichen es technischen Fachleuten, sich schnell einen Überblick über die gesamte Umgebung zu verschaffen, ohne Agenten einsetzen zu müssen."

Der Studie zufolge "lassen sich die modernen Instrumente für Sicherheitsoperationen auch mit einer Analogie zur 'nuklearen Triade', einem Schlüsselkonzept des Kalten Krieges, darstellen. Die Triade bestand aus strategischen Bombern, ballistischen Interkontinentalraketen (ICBMs) und U-Booten.

Die 3 Komponenten der SOC-Trias

Wie in Abbildung 1 dargestellt, verfügt ein modernes SOC über eine eigene nukleare Triade der Sichtbarkeit, nämlich:

1. SIEM/UEBA bietet die Möglichkeit, Protokolle zu sammeln und zu analysieren, die von der IT-Infrastruktur, den Anwendungen und anderen Sicherheitstools erzeugt werden.

2. Endpoint detection and response bietet die Möglichkeit, die Ausführung, lokale Verbindungen, Systemänderungen, Speicheraktivitäten und andere Vorgänge von Endpunkten zu erfassen.

3. Die netzzentrierte Erkennung und Reaktion (NTA, NFT und IDPS) wird durch die in dieser Untersuchung behandelten Tools zur Erfassung und/oder Analyse des Netzverkehrs gewährleistet."

Dieser dreigleisige Ansatz verschafft SOCs einen besseren Einblick in die Bedrohungen sowie mehr Möglichkeiten zur Erkennung, Reaktion, Untersuchung und Behebung.

Netzwerkerkennung und Reaktion

Netzwerk-Metadaten sind die zuverlässigste Quelle für die Suche nach Bedrohungen. Nur der Datenverkehr auf der Leitung offenbart versteckte Bedrohungen mit absoluter Genauigkeit und Unabhängigkeit. Quellen mit geringer Auflösung, wie z. B. die Analyse von Protokollen, zeigen Ihnen nur, was Sie gesehen haben, nicht aber die grundlegenden Verhaltensweisen der Bedrohung, die Angreifer beim Ausspähen, Verbreiten und Stehlen einfach nicht vermeiden können.

Eine NDR-Lösung sammelt und speichert wichtige Netzwerk-Metadaten und ergänzt sie mit maschinellem Lernen und fortschrittlichen Analysen, um verdächtige Aktivitäten in Unternehmensnetzwerken zu erkennen. NDR erstellt Modelle, die das normale Verhalten widerspiegeln, und reichert die Modelle mit Echtzeit- und historischen Metadaten an.

NDR bietet einen Überblick über die Interaktionen zwischen allen Geräten im Netzwerk. Laufende Angriffe werden erkannt, priorisiert und mit kompromittierten Host-Geräten in Verbindung gebracht.

NDR bietet einen unternehmensweiten 360-Grad-Blick - von öffentlichen cloud und privaten Rechenzentrums-Workloads bis hin zu Benutzer- und Internet-of-Things-Geräten.

Endpoint Erkennung und Reaktion

Endpoint Kompromittierungen sind nur allzu häufig, sei es durch malware, ungepatchte Schwachstellen oder unaufmerksame Benutzer. Mobile Geräte können in öffentlichen Netzen leicht kompromittiert und dann wieder mit dem Unternehmensnetz verbunden werden, wo sich die Infektion ausbreitet. Internet-of-Things (IoT)-Geräte sind notorisch unsicher.

Eine EDR-Lösung bietet ausgefeiltere Funktionen als herkömmliche Antivirenlösungen und ermöglicht eine detaillierte Verfolgung bösartiger Aktivitäten auf einem endpoint oder einem Host-Gerät. EDR bietet einen Echtzeit-Überblick über die auf einem Host oder Gerät laufenden Prozesse und deren Interaktionen.

EDR erfasst die Ausführung, Speicheraktivitäten sowie Systemänderungen, Aktivitäten und Modifikationen. Diese Transparenz hilft Sicherheitsanalysten, Muster, Verhaltensweisen, Anzeichen für eine Gefährdung oder andere versteckte Hinweise zu erkennen. Diese Daten können mit anderen Sicherheitsinformationen abgeglichen werden, um Bedrohungen zu erkennen, die nur vom Inneren des Hosts aus sichtbar sind.

SIEM für Unternehmen

Seit Jahrzehnten verlassen sich Sicherheitsteams auf SIEMs als Dashboard für Sicherheitsaktivitäten in ihrer gesamten IT-Umgebung. SIEMs sammeln Ereignisprotokollinformationen von anderen Systemen, bieten Datenanalyse, Ereigniskorrelation, Aggregation und Berichterstattung.

Die Integration von Bedrohungserkennungen aus EDR und NDR kann ein SIEM zu einem noch leistungsfähigeren Tool machen, das es Sicherheitsanalysten ermöglicht, Angriffe schneller zu stoppen. Wenn ein Vorfall eintritt, können Analysten die betroffenen Host-Geräte schnell identifizieren. Sie können leichter untersuchen, um die Art des Angriffs und den Erfolg des Angriffs festzustellen.

Ein SIEM kann auch mit anderen Netzwerksicherheitskontrollen wie Firewalls oder NAC-Durchsetzungspunkten kommunizieren, um sie anzuweisen, bösartige Aktivitäten zu blockieren. Mit Threat Intelligence-Feeds können SIEMs auch proaktiv Angriffe verhindern.

Ein integrierter Ansatz zum Auffinden und Stoppen von Cyberangriffen

Sicherheitsteams, die den Dreiklang aus NDR, EDR und SIEM einsetzen, sind in der Lage, bei der Reaktion auf einen Vorfall oder bei der Suche nach Bedrohungen ein breiteres Spektrum an Fragen zu beantworten. Sie können zum Beispiel folgende Fragen beantworten:

• Hat sich ein anderes Objekt nach der Kommunikation mit dem potenziell gefährdeten Objekt seltsam verhalten?
• Welcher Dienst und welches Protokoll wurden verwendet?
• Welche anderen Vermögenswerte oder Konten können betroffen sein?
• Hat eine andere Anlage die gleiche externe Command-and-Control-IP-Adresse kontaktiert?
• Wurde das Benutzerkonto in unerwarteter Weise auf anderen Geräten verwendet? Zusammen führen sie zu schnellen und gut koordinierten Reaktionen über alle Ressourcen hinweg, verbessern die Effizienz der Sicherheitsmaßnahmen und verringern die Verweilzeiten, die letztlich das Risiko für das Unternehmen erhöhen.

Laut dem Weltwirtschaftsforum wird der durch Cyberkriminalität verursachte wirtschaftliche Schaden bis 2020 voraussichtlich 3 Billionen US-Dollar erreichen. Nationalstaaten und Kriminelle nutzen die Vorteile einer grenzenlosen digitalen Welt, aber durch die Einführung einer nuklearen Triade der Sichtbarkeit kann ein SOC die sensiblen Daten und lebenswichtigen Abläufe seines Unternehmens schützen.