Wie die beispiellose Cyberkriminalität zeigt, haben herkömmliche Sicherheitsvorkehrungen ihre Wirksamkeit verloren. Bedrohungen sind heimlich, agieren über lange Zeiträume, verbergen sich im verschlüsselten Datenverkehr oder in Tunneln. Angesichts dieser immer raffinierteren Bedrohungen benötigen Sicherheitsteams einen schnellen Überblick über die Bedrohungen in ihren Umgebungen.
Im Gartner-Forschungsbericht "Applying Network-Centric Approaches for Threat Detection and Response", der am 18. März 2019 veröffentlicht wurde (ID: G00373460), stellten Augusto Barros, Anton Chuvakin und Anna Belak das Konzept der SOC Visibility Triad vor.
In dieser Notiz rät Gartner:
"Die zunehmende Raffinesse der Bedrohungen erfordert, dass Unternehmen mehrere Datenquellen für die Erkennung und Bekämpfung von Bedrohungen nutzen. Mit netzwerkbasierten Technologien können technische Experten einen schnellen Überblick über Bedrohungen in der gesamten Umgebung erhalten, ohne Agenten einsetzen zu müssen."
Der Studie zufolge "lassen sich die modernen Instrumente für Sicherheitsoperationen auch mit einer Analogie zur 'nuklearen Triade', einem Schlüsselkonzept des Kalten Krieges, darstellen. Die Triade bestand aus strategischen Bombern, ballistischen Interkontinentalraketen (ICBMs) und U-Booten. Wie in der obigen Abbildung dargestellt, verfügt ein modernes SOC über eine eigene nukleare Triade der Sichtbarkeit, nämlich:
Dieser dreigleisige Ansatz verschafft SOCs einen besseren Einblick in die Bedrohungen sowie mehr Möglichkeiten zur Erkennung, Reaktion, Untersuchung und Behebung.
Netzwerk-Metadaten sind die zuverlässigste Quelle für die Suche nach Bedrohungen. Nur der Datenverkehr auf der Leitung offenbart versteckte Bedrohungen mit absoluter Genauigkeit und Unabhängigkeit. Quellen mit geringer Auflösung, wie z. B. die Analyse von Protokollen, zeigen Ihnen nur, was Sie gesehen haben, nicht aber die grundlegenden Verhaltensweisen der Bedrohung, die Angreifer beim Ausspähen, Verbreiten und Stehlen einfach nicht vermeiden können.
Eine NDR-Lösung sammelt und speichert wichtige Netzwerk-Metadaten und ergänzt diese mit maschinellem Lernen und fortschrittlichen Analysen, um verdächtige Aktivitäten in Unternehmensnetzwerken zu erkennen. NDR erstellt Modelle, die das normale Verhalten widerspiegeln, und reichert die Modelle mit Echtzeit- und historischen Metadaten an.
NDR bietet einen Überblick über die Interaktionen zwischen allen Geräten im Netzwerk. Laufende Angriffe werden erkannt, priorisiert und mit kompromittierten Host-Geräten in Verbindung gebracht.
NDR bietet einen unternehmensweiten 360-Grad-Blick - von öffentlichen cloud und privaten Rechenzentren bis hin zu Benutzer- und Internet-of-Things-Geräten.
> Lesen Sie mehr über die Network Detection and Response-Lösung von Vectra AI AI
Kompromittierungen von Endpoint sind nur allzu häufig, sei es durch malware, ungepatchte Sicherheitslücken oder unaufmerksame Benutzer. Mobile Geräte können in öffentlichen Netzwerken leicht kompromittiert und dann wieder mit dem Unternehmensnetzwerk verbunden werden, wo sich die Infektion ausbreitet. Internet-of-Things (IoT)-Geräte sind notorisch unsicher.
Eine EDR-Lösung bietet anspruchsvollere Funktionen als herkömmliche Antivirenlösungen und ermöglicht eine detaillierte Verfolgung bösartiger Aktivitäten auf einem endpoint oder Host-Gerät. EDR bietet einen Echtzeit-Überblick über die auf einem Host oder Gerät laufenden Prozesse und deren Interaktionen.
EDR erfasst die Ausführung, Speicheraktivitäten sowie Systemänderungen, Aktivitäten und Modifikationen. Diese Transparenz hilft Sicherheitsanalysten, Muster, Verhaltensweisen, Anzeichen für eine Gefährdung oder andere versteckte Hinweise zu erkennen. Diese Daten können mit anderen Sicherheitsinformationen abgeglichen werden, um Bedrohungen zu erkennen, die nur vom Inneren des Hosts aus sichtbar sind.
> Vectra AI Integrationen mit EDRs
Seit Jahrzehnten verlassen sich Sicherheitsteams auf SIEMs als Dashboard für Sicherheitsaktivitäten in ihrer gesamten IT-Umgebung. SIEMs sammeln Ereignisprotokollinformationen von anderen Systemen, bieten Datenanalyse, Ereigniskorrelation, Aggregation und Berichterstattung.
Durch die Integration von EDR- und NDR-Bedrohungserkennungen wird ein SIEM zu einem noch leistungsfähigeren Tool, mit dem Sicherheitsanalysten Angriffe schneller stoppen können. Wenn ein Vorfall eintritt, können Analysten die betroffenen Host-Geräte schnell identifizieren. Sie können leichter untersuchen, um die Art des Angriffs zu bestimmen und festzustellen, ob er erfolgreich war.
Ein SIEM kann auch mit anderen Netzwerksicherheitskontrollen wie Firewalls oder NAC-Durchsetzungspunkten kommunizieren, um sie anzuweisen, bösartige Aktivitäten zu blockieren. Mit Threat Intelligence-Feeds können SIEMs auch proaktiv Angriffe verhindern.
> Vectra AI Integrationen mit SIEMs
Sicherheitsteams, die den Dreiklang aus NDR, EDR und SIEM einsetzen, sind in der Lage, bei der Reaktion auf einen Vorfall oder bei der Suche nach Bedrohungen ein breiteres Spektrum an Fragen zu beantworten. Sie können zum Beispiel folgende Fragen beantworten:
Gemeinsam führen sie zu schnellen und gut koordinierten Reaktionen über alle Ressourcen hinweg, verbessern die Effizienz der Sicherheitsabläufe und reduzieren die Verweilzeiten, die letztlich das Risiko für das Unternehmen erhöhen.
Nationalstaaten und Kriminelle nutzen die Vorteile einer grenzenlosen digitalen Welt, aber durch die Einführung einer nuklearen Triade der Sichtbarkeit kann ein SOC die sensiblen Daten und lebenswichtigen Abläufe seines Unternehmens schützen.
Kontaktieren Sieuns noch heute , um zu erfahren, wie wir Sie bei der Umsetzung einer effektiven SOC Visibility Triad-Strategie unterstützen und die Cyberabwehr Ihres Unternehmens stärken können.
Die SOC Visibility Triad ist ein Cybersicherheitsmodell, das drei wichtige Technologien - NDR, EDR und SIEM - kombiniert, um einen umfassenden Einblick in das Netzwerk und die Endpunkte eines Unternehmens zu ermöglichen und so eine effektive Erkennung, Untersuchung und Reaktion auf Bedrohungen zu erleichtern.
NDR-Tools überwachen den Netzwerkverkehr und das Netzwerkverhalten, um Bedrohungen zu erkennen und auf sie zu reagieren, die herkömmliche Schutzmaßnahmen am Netzwerkrand umgehen. NDR bietet eine Echtzeitanalyse der Netzwerkkommunikation und hilft dabei, verdächtige Aktivitäten und potenzielle Bedrohungen zu identifizieren.
EDR-Lösungen konzentrieren sich auf die Überwachung des endpoint und Geräteverhaltens, die Erkennung bösartiger Aktivitäten und die Bereitstellung von Tools zur Untersuchung und Reaktion. EDR ist entscheidend für die Erkennung und Eindämmung von Bedrohungen auf Benutzergeräten, Servern und Workstations.
SIEM-Systeme sammeln, analysieren und korrelieren Daten aus verschiedenen Quellen in der gesamten IT-Umgebung, einschließlich Protokolle von Sicherheitsgeräten, Netzwerkhardware und Anwendungen. SIEM bietet eine zentrale Plattform für die Sicherheitsüberwachung, Alarmierung und Berichterstellung und ermöglicht es SOCs, komplexe Bedrohungen effizienter zu erkennen.
Die Integration von NDR, EDR und SIEM ist für einen ganzheitlichen Überblick über die Sicherheitslage unerlässlich, da sie die Korrelation von Daten über Netzwerke, Endpunkte und Protokolle hinweg ermöglicht. Diese Integration verbessert die Fähigkeit, Bedrohungen im gesamten IT-Ökosystem zu erkennen, zu untersuchen und darauf zu reagieren.
Zu einer effektiven Implementierung gehören die Auswahl der richtigen Tools, die sich nahtlos ineinander und in die bestehende IT-Infrastruktur integrieren lassen, die Definition klarer Prozesse für die Erkennung von und die Reaktion auf Bedrohungen sowie die kontinuierliche Schulung der SOC-Analysten zu den neuesten Cyber-Bedrohungslandschaften und Technologien.
Zu den Herausforderungen gehören die Komplexität der Integration unterschiedlicher Systeme, die Gefahr der Informationsüberflutung aufgrund der großen Menge an Daten und Warnungen sowie der Bedarf an qualifiziertem Personal für die effektive Verwaltung und Interpretation der Daten.
Die Triade verbessert die Erkennung von Bedrohungen und die Reaktionszeiten, indem sie einen umfassenden Einblick in alle Aspekte der IT-Umgebung bietet und so eine schnellere Identifizierung von Anomalien und eine schnellere Koordinierung der Reaktionsmaßnahmen zwischen Netzwerk- und endpoint ermöglicht.
Ja, die SOC Visibility Triade kann die Einhaltung von Vorschriften und das Risikomanagement erheblich unterstützen, indem sie detaillierte Protokollierungs-, Überwachungs- und Berichterstattungsfunktionen bereitstellt, die die gesetzlichen Anforderungen unterstützen und die Identifizierung und Minderung von Risiken erleichtern.
Zu den künftigen Trends gehören die Integration von künstlicher Intelligenz und maschinellem Lernen für die automatische Erkennung von und Reaktion auf Bedrohungen, die Einführung von cloud Lösungen für Skalierbarkeit und Flexibilität sowie die zunehmende Bedeutung von Datenschutzbestimmungen, die die Datenverwaltungspraktiken beeinflussen.