Sichtbarkeitstriade des Sicherheitsteams

Sieht Ihr Security Operation Center laufende Angriffe?

Wie die beispiellose Cyberkriminalität zeigt, haben herkömmliche Sicherheitsvorkehrungen ihre Wirksamkeit verloren. Bedrohungen sind heimlich, agieren über lange Zeiträume, verbergen sich im verschlüsselten Datenverkehr oder in Tunneln. Angesichts dieser immer raffinierteren Bedrohungen benötigen Sicherheitsteams einen schnellen Überblick über die Bedrohungen in ihren Umgebungen.

Im Gartner-Forschungsbericht "Applying Network-Centric Approaches for Threat Detection and Response", der am 18. März 2019 veröffentlicht wurde (ID: G00373460), stellten Augusto Barros, Anton Chuvakin und Anna Belak das Konzept der SOC Visibility Triad vor.

In dieser Notiz rät Gartner:

"Die zunehmende Raffinesse der Bedrohungen erfordert, dass Unternehmen mehrere Datenquellen für die Erkennung und Bekämpfung von Bedrohungen nutzen. Mit netzwerkbasierten Technologien können technische Experten einen schnellen Überblick über Bedrohungen in der gesamten Umgebung erhalten, ohne Agenten einsetzen zu müssen."

Warum braucht Ihr SOC den Sichtbarkeitsdreiklang?

Der Studie zufolge "lassen sich die modernen Instrumente für Sicherheitsoperationen auch mit einer Analogie zur 'nuklearen Triade', einem Schlüsselkonzept des Kalten Krieges, darstellen. Die Triade bestand aus strategischen Bombern, ballistischen Interkontinentalraketen (ICBMs) und U-Booten. Wie in der obigen Abbildung dargestellt, verfügt ein modernes SOC über eine eigene nukleare Triade der Sichtbarkeit, nämlich:

1. SIEM/UEBA bietet die Möglichkeit, Protokolle zu sammeln und zu analysieren, die von der IT-Infrastruktur, den Anwendungen und anderen Sicherheitstools erzeugt werden.
2. Die Endpoint und -Reaktion bietet die Möglichkeit, die Ausführung, lokale Verbindungen, Systemänderungen, Speicheraktivitäten und andere Vorgänge von Endpunkten zu erfassen.
3. Die netzzentrierte Erkennung und Reaktion (NTA, NFT und IDPS) wird durch die in dieser Untersuchung behandelten Tools zur Erfassung und/oder Analyse des Netzverkehrs ermöglicht.

Dieser dreigleisige Ansatz verschafft SOCs einen besseren Einblick in die Bedrohungen sowie mehr Möglichkeiten zur Erkennung, Reaktion, Untersuchung und Behebung.

Die Rolle der Netzerkennung und -reaktion

Netzwerk-Metadaten sind die zuverlässigste Quelle für die Suche nach Bedrohungen. Nur der Datenverkehr auf der Leitung offenbart versteckte Bedrohungen mit absoluter Genauigkeit und Unabhängigkeit. Quellen mit geringer Auflösung, wie z. B. die Analyse von Protokollen, zeigen Ihnen nur, was Sie gesehen haben, nicht aber die grundlegenden Verhaltensweisen der Bedrohung, die Angreifer beim Ausspähen, Verbreiten und Stehlen einfach nicht vermeiden können.

Eine NDR-Lösung sammelt und speichert wichtige Netzwerk-Metadaten und ergänzt diese mit maschinellem Lernen und fortschrittlichen Analysen, um verdächtige Aktivitäten in Unternehmensnetzwerken zu erkennen. NDR erstellt Modelle, die das normale Verhalten widerspiegeln, und reichert die Modelle mit Echtzeit- und historischen Metadaten an.

NDR bietet einen Überblick über die Interaktionen zwischen allen Geräten im Netzwerk. Laufende Angriffe werden erkannt, priorisiert und mit kompromittierten Host-Geräten in Verbindung gebracht.

NDR bietet einen unternehmensweiten 360-Grad-Blick - von öffentlichen cloud und privaten Rechenzentren bis hin zu Benutzer- und Internet-of-Things-Geräten.

> Lesen Sie mehr über die Network Detection and Response-Lösung von Vectra AI AI

Die Rolle der endpoint und -Reaktion

Kompromittierungen von Endpoint sind nur allzu häufig, sei es durch malware, ungepatchte Sicherheitslücken oder unaufmerksame Benutzer. Mobile Geräte können in öffentlichen Netzwerken leicht kompromittiert und dann wieder mit dem Unternehmensnetzwerk verbunden werden, wo sich die Infektion ausbreitet. Internet-of-Things (IoT)-Geräte sind notorisch unsicher.

Eine EDR-Lösung bietet anspruchsvollere Funktionen als herkömmliche Antivirenlösungen und ermöglicht eine detaillierte Verfolgung bösartiger Aktivitäten auf einem endpoint oder Host-Gerät. EDR bietet einen Echtzeit-Überblick über die auf einem Host oder Gerät laufenden Prozesse und deren Interaktionen.

EDR erfasst die Ausführung, Speicheraktivitäten sowie Systemänderungen, Aktivitäten und Modifikationen. Diese Transparenz hilft Sicherheitsanalysten, Muster, Verhaltensweisen, Anzeichen für eine Gefährdung oder andere versteckte Hinweise zu erkennen. Diese Daten können mit anderen Sicherheitsinformationen abgeglichen werden, um Bedrohungen zu erkennen, die nur vom Inneren des Hosts aus sichtbar sind.

> Vectra AI Integrationen mit EDRs

Die Rolle von SIEM im Unternehmen

Seit Jahrzehnten verlassen sich Sicherheitsteams auf SIEMs als Dashboard für Sicherheitsaktivitäten in ihrer gesamten IT-Umgebung. SIEMs sammeln Ereignisprotokollinformationen von anderen Systemen, bieten Datenanalyse, Ereigniskorrelation, Aggregation und Berichterstattung.

Durch die Integration von EDR- und NDR-Bedrohungserkennungen wird ein SIEM zu einem noch leistungsfähigeren Tool, mit dem Sicherheitsanalysten Angriffe schneller stoppen können. Wenn ein Vorfall eintritt, können Analysten die betroffenen Host-Geräte schnell identifizieren. Sie können leichter untersuchen, um die Art des Angriffs zu bestimmen und festzustellen, ob er erfolgreich war.

Ein SIEM kann auch mit anderen Netzwerksicherheitskontrollen wie Firewalls oder NAC-Durchsetzungspunkten kommunizieren, um sie anzuweisen, bösartige Aktivitäten zu blockieren. Mit Threat Intelligence-Feeds können SIEMs auch proaktiv Angriffe verhindern.

> Vectra AI Integrationen mit SIEMs

Die SOC Visibility Triad: ein integrierter Ansatz zum Auffinden und Stoppen von Cyberangriffen

Sicherheitsteams, die den Dreiklang aus NDR, EDR und SIEM einsetzen, sind in der Lage, bei der Reaktion auf einen Vorfall oder bei der Suche nach Bedrohungen ein breiteres Spektrum an Fragen zu beantworten. Sie können zum Beispiel folgende Fragen beantworten:

• Hat sich ein anderes Objekt nach der Kommunikation mit dem potenziell gefährdeten Objekt seltsam verhalten?
• Welcher Dienst und welches Protokoll wurden verwendet?
• Welche anderen Vermögenswerte oder Konten können betroffen sein?
• Hat eine andere Anlage die gleiche externe Command-and-Control-IP-Adresse kontaktiert?
• Wurde das Benutzerkonto in unerwarteter Weise auf anderen Geräten verwendet?

Gemeinsam führen sie zu schnellen und gut koordinierten Reaktionen über alle Ressourcen hinweg, verbessern die Effizienz der Sicherheitsabläufe und reduzieren die Verweilzeiten, die letztlich das Risiko für das Unternehmen erhöhen.

Nationalstaaten und Kriminelle nutzen die Vorteile einer grenzenlosen digitalen Welt, aber durch die Einführung einer nuklearen Triade der Sichtbarkeit kann ein SOC die sensiblen Daten und lebenswichtigen Abläufe seines Unternehmens schützen.

‍Kontaktieren Sieuns noch heute , um zu erfahren, wie wir Sie bei der Umsetzung einer effektiven SOC Visibility Triad-Strategie unterstützen und die Cyberabwehr Ihres Unternehmens stärken können.