Sichtbarkeitstriade des Sicherheitsteams

Wichtige Erkenntnisse

Unternehmen, die NDR-, EDR- und SIEM-Lösungen integrieren, haben eine um 50 % schnellere Reaktion auf Cybervorfälle gemeldet. (Quelle: Gartner)
80 % der erfolgreichen Sicherheitsverletzungen betreffen privilegierte Zugangsdaten, was die Notwendigkeit einer umfassenden Überwachung von Netzwerken und Endgeräten unterstreicht. (Quelle: Forrester)

Sieht Ihr Security Operation Center laufende Angriffe?

Wie die beispiellose Cyberkriminalität zeigt, haben herkömmliche Sicherheitsvorkehrungen ihre Wirksamkeit verloren. Bedrohungen sind heimlich, agieren über lange Zeiträume, verbergen sich im verschlüsselten Datenverkehr oder in Tunneln. Angesichts dieser immer raffinierteren Bedrohungen benötigen Sicherheitsteams einen schnellen Überblick über die Bedrohungen in ihren Umgebungen.

Im Gartner-Forschungsbericht "Applying Network-Centric Approaches for Threat Detection and Response", der am 18. März 2019 veröffentlicht wurde (ID: G00373460), stellten Augusto Barros, Anton Chuvakin und Anna Belak das Konzept der SOC Visibility Triad vor.

In dieser Notiz rät Gartner:

"Die zunehmende Raffinesse der Bedrohungen erfordert, dass Unternehmen mehrere Datenquellen für die Erkennung und Bekämpfung von Bedrohungen nutzen. Mit netzwerkbasierten Technologien können technische Experten einen schnellen Überblick über Bedrohungen in der gesamten Umgebung erhalten, ohne Agenten einsetzen zu müssen."

Der SOC-Visibility-Dreiklang nach Gartner — *Quelle: Gartner, Applying Network-Centric Approaches for Threat Detectionand Response, Augusto Barros et al., March 18, 2019, ID G0037346*

Warum braucht Ihr SOC den Sichtbarkeitsdreiklang?

Der Studie zufolge "lassen sich die modernen Instrumente für Sicherheitsoperationen auch mit einer Analogie zur 'nuklearen Triade', einem Schlüsselkonzept des Kalten Krieges, darstellen. Die Triade bestand aus strategischen Bombern, ballistischen Interkontinentalraketen (ICBMs) und U-Booten. Wie in der obigen Abbildung dargestellt, verfügt ein modernes SOC über eine eigene nukleare Triade der Sichtbarkeit, nämlich:

SIEM/UEBA bietet die Möglichkeit, Protokolle zu sammeln und zu analysieren, die von der IT-Infrastruktur, den Anwendungen und anderen Sicherheitstools erzeugt werden.
Die Endpoint und -Reaktion bietet die Möglichkeit, die Ausführung, lokale Verbindungen, Systemänderungen, Speicheraktivitäten und andere Vorgänge von Endpunkten zu erfassen.
Die netzzentrierte Erkennung und Reaktion (NTA, NFT und IDPS) wird durch die in dieser Untersuchung behandelten Tools zur Erfassung und/oder Analyse des Netzverkehrs ermöglicht.

Dieser dreigleisige Ansatz verschafft SOCs einen besseren Einblick in die Bedrohungen sowie mehr Möglichkeiten zur Erkennung, Reaktion, Untersuchung und Behebung.

Die Rolle der Netzerkennung und -reaktion

Netzwerk-Metadaten sind die zuverlässigste Quelle für die Suche nach Bedrohungen. Nur der Datenverkehr auf der Leitung offenbart versteckte Bedrohungen mit absoluter Genauigkeit und Unabhängigkeit. Quellen mit geringer Auflösung, wie z. B. die Analyse von Protokollen, zeigen Ihnen nur, was Sie gesehen haben, nicht aber die grundlegenden Verhaltensweisen der Bedrohung, die Angreifer beim Ausspähen, Verbreiten und Stehlen einfach nicht vermeiden können.

Eine NDR-Lösung sammelt und speichert wichtige Netzwerk-Metadaten und ergänzt diese mit maschinellem Lernen und fortschrittlichen Analysen, um verdächtige Aktivitäten in Unternehmensnetzwerken zu erkennen. NDR erstellt Modelle, die das normale Verhalten widerspiegeln, und reichert die Modelle mit Echtzeit- und historischen Metadaten an.

NDR bietet einen Überblick über die Interaktionen zwischen allen Geräten im Netzwerk. Laufende Angriffe werden erkannt, priorisiert und mit kompromittierten Host-Geräten in Verbindung gebracht.

NDR bietet einen unternehmensweiten 360-Grad-Blick - von öffentlichen cloud und privaten Rechenzentren bis hin zu Benutzer- und Internet-of-Things-Geräten.

> Lesen Sie mehr über die Network Detection and Response-Lösung von Vectra AI AI

Die Rolle der endpoint und -Reaktion

Kompromittierungen von Endpoint sind nur allzu häufig, sei es durch malware, ungepatchte Sicherheitslücken oder unaufmerksame Benutzer. Mobile Geräte können in öffentlichen Netzwerken leicht kompromittiert und dann wieder mit dem Unternehmensnetzwerk verbunden werden, wo sich die Infektion ausbreitet. Internet-of-Things (IoT)-Geräte sind notorisch unsicher.

Eine EDR-Lösung bietet anspruchsvollere Funktionen als herkömmliche Antivirenlösungen und ermöglicht eine detaillierte Verfolgung bösartiger Aktivitäten auf einem endpoint oder Host-Gerät. EDR bietet einen Echtzeit-Überblick über die auf einem Host oder Gerät laufenden Prozesse und deren Interaktionen.

EDR erfasst die Ausführung, Speicheraktivitäten sowie Systemänderungen, Aktivitäten und Modifikationen. Diese Transparenz hilft Sicherheitsanalysten, Muster, Verhaltensweisen, Anzeichen für eine Gefährdung oder andere versteckte Hinweise zu erkennen. Diese Daten können mit anderen Sicherheitsinformationen abgeglichen werden, um Bedrohungen zu erkennen, die nur vom Inneren des Hosts aus sichtbar sind.

> Vectra AI Integrationen mit EDRs

Die Rolle von SIEM im Unternehmen

Seit Jahrzehnten verlassen sich Sicherheitsteams auf SIEMs als Dashboard für Sicherheitsaktivitäten in ihrer gesamten IT-Umgebung. SIEMs sammeln Ereignisprotokollinformationen von anderen Systemen, bieten Datenanalyse, Ereigniskorrelation, Aggregation und Berichterstattung.

Durch die Integration von EDR- und NDR-Bedrohungserkennungen wird ein SIEM zu einem noch leistungsfähigeren Tool, mit dem Sicherheitsanalysten Angriffe schneller stoppen können. Wenn ein Vorfall eintritt, können Analysten die betroffenen Host-Geräte schnell identifizieren. Sie können leichter untersuchen, um die Art des Angriffs zu bestimmen und festzustellen, ob er erfolgreich war.

Ein SIEM kann auch mit anderen Netzwerksicherheitskontrollen wie Firewalls oder NAC-Durchsetzungspunkten kommunizieren, um sie anzuweisen, bösartige Aktivitäten zu blockieren. Mit Threat Intelligence-Feeds können SIEMs auch proaktiv Angriffe verhindern.

> Vectra AI Integrationen mit SIEMs

Die SOC Visibility Triad: ein integrierter Ansatz zum Auffinden und Stoppen von Cyberangriffen

Sicherheitsteams, die den Dreiklang aus NDR, EDR und SIEM einsetzen, sind in der Lage, bei der Reaktion auf einen Vorfall oder bei der Suche nach Bedrohungen ein breiteres Spektrum an Fragen zu beantworten. Sie können zum Beispiel folgende Fragen beantworten:

Hat sich ein anderes Objekt nach der Kommunikation mit dem potenziell gefährdeten Objekt seltsam verhalten?
Welcher Dienst und welches Protokoll wurden verwendet?
Welche anderen Vermögenswerte oder Konten können betroffen sein?
Hat eine andere Anlage die gleiche externe Command-and-Control-IP-Adresse kontaktiert?
Wurde das Benutzerkonto in unerwarteter Weise auf anderen Geräten verwendet?

Gemeinsam führen sie zu schnellen und gut koordinierten Reaktionen über alle Ressourcen hinweg, verbessern die Effizienz der Sicherheitsabläufe und reduzieren die Verweilzeiten, die letztlich das Risiko für das Unternehmen erhöhen.

Nationalstaaten und Kriminelle nutzen die Vorteile einer grenzenlosen digitalen Welt, aber durch die Einführung einer nuklearen Triade der Sichtbarkeit kann ein SOC die sensiblen Daten und lebenswichtigen Abläufe seines Unternehmens schützen.

‍Kontaktieren Sieuns noch heute , um zu erfahren, wie wir Sie bei der Umsetzung einer effektiven SOC Visibility Triad-Strategie unterstützen und die Cyberabwehr Ihres Unternehmens stärken können.

Weitere Grundlagen der Cybersicherheit

Häufig gestellte Fragen

Was ist die SOC Visibility Triad?

Die SOC Visibility Triad ist ein Cybersicherheitsmodell, das drei wichtige Technologien - NDR, EDR und SIEM - kombiniert, um einen umfassenden Einblick in das Netzwerk und die Endpunkte eines Unternehmens zu ermöglichen und so eine effektive Erkennung, Untersuchung und Reaktion auf Bedrohungen zu erleichtern.

Welchen Beitrag leistet Network Detection and Response (NDR) zu diesem Dreiklang?

NDR-Tools überwachen den Netzwerkverkehr und das Netzwerkverhalten, um Bedrohungen zu erkennen und auf sie zu reagieren, die herkömmliche Schutzmaßnahmen am Netzwerkrand umgehen. NDR bietet eine Echtzeitanalyse der Netzwerkkommunikation und hilft dabei, verdächtige Aktivitäten und potenzielle Bedrohungen zu identifizieren.

Welche Rolle spielt Endpoint Detection and Response (EDR)?

EDR-Lösungen konzentrieren sich auf die Überwachung des endpoint und Geräteverhaltens, die Erkennung bösartiger Aktivitäten und die Bereitstellung von Tools zur Untersuchung und Reaktion. EDR ist entscheidend für die Erkennung und Eindämmung von Bedrohungen auf Benutzergeräten, Servern und Workstations.

Wie verbessert das Sicherheitsinformations- und Ereignis-Management (SIEM) die SOC-Fähigkeiten?

SIEM-Systeme sammeln, analysieren und korrelieren Daten aus verschiedenen Quellen in der gesamten IT-Umgebung, einschließlich Protokolle von Sicherheitsgeräten, Netzwerkhardware und Anwendungen. SIEM bietet eine zentrale Plattform für die Sicherheitsüberwachung, Alarmierung und Berichterstellung und ermöglicht es SOCs, komplexe Bedrohungen effizienter zu erkennen.

Warum ist die Integration von NDR, EDR und SIEM für SOCs wichtig?

Die Integration von NDR, EDR und SIEM ist für einen ganzheitlichen Überblick über die Sicherheitslage unerlässlich, da sie die Korrelation von Daten über Netzwerke, Endpunkte und Protokolle hinweg ermöglicht. Diese Integration verbessert die Fähigkeit, Bedrohungen im gesamten IT-Ökosystem zu erkennen, zu untersuchen und darauf zu reagieren.

Wie können Sicherheitsteams die SOC Visibility Triad effektiv umsetzen?

Zu einer effektiven Implementierung gehören die Auswahl der richtigen Tools, die sich nahtlos ineinander und in die bestehende IT-Infrastruktur integrieren lassen, die Definition klarer Prozesse für die Erkennung von und die Reaktion auf Bedrohungen sowie die kontinuierliche Schulung der SOC-Analysten zu den neuesten Cyber-Bedrohungslandschaften und Technologien.

Welchen Herausforderungen könnten sich SOCs bei der Einführung der Sichtbarkeitstrias gegenübersehen?

Zu den Herausforderungen gehören die Komplexität der Integration unterschiedlicher Systeme, die Gefahr der Informationsüberflutung aufgrund der großen Menge an Daten und Warnungen sowie der Bedarf an qualifiziertem Personal für die effektive Verwaltung und Interpretation der Daten.

Wie verbessert die SOC Visibility Triad die Erkennung von Bedrohungen und die Reaktionszeiten?

Die Triade verbessert die Erkennung von Bedrohungen und die Reaktionszeiten, indem sie einen umfassenden Einblick in alle Aspekte der IT-Umgebung bietet und so eine schnellere Identifizierung von Anomalien und eine schnellere Koordinierung der Reaktionsmaßnahmen zwischen Netzwerk- und endpoint ermöglicht.

Kann die SOC Visibility Triad beim Compliance- und Risikomanagement helfen?

Ja, die SOC Visibility Triade kann die Einhaltung von Vorschriften und das Risikomanagement erheblich unterstützen, indem sie detaillierte Protokollierungs-, Überwachungs- und Berichterstattungsfunktionen bereitstellt, die die gesetzlichen Anforderungen unterstützen und die Identifizierung und Minderung von Risiken erleichtern.

Welche zukünftigen Trends könnten die Entwicklung der SOC Visibility Triad beeinflussen?

Zu den künftigen Trends gehören die Integration von künstlicher Intelligenz und maschinellem Lernen für die automatische Erkennung von und Reaktion auf Bedrohungen, die Einführung von cloud Lösungen für Skalierbarkeit und Flexibilität sowie die zunehmende Bedeutung von Datenschutzbestimmungen, die die Datenverwaltungspraktiken beeinflussen.