Eine Publikation der Swissprofessionalmedia AG

Werbung

29.04.2019

SIEM-freien Architekturen für verbesserte Cybersicherheit –

Bei der Realisierung eines guten Incident-Response-Programms gilt es, die Sichtbarkeit, Erkennung und Reaktion mit den Kosten und der Komplexität für Aufbau und Wartung eines effektiven Security-Stacks in Einklang zu bringen. Dies erweist sich vor dem Hintergrund, dass die Anzahl an Angriffen stetig zunimmt und damit auch die Menge an „Alarmmeldungen“ in den Unternehmensnetzen steigt, als große Herausforderung.
In der Vergangenheit stand das Security Information and Event Management (SIEM) im Mittelpunkt vieler Sicherheitskonzepte. Ziel war es, damit eine breite Palette von Anwendungsfällen abzudecken, einschließlich Bedrohungserkennung, Compliance-Berichterstattung, Alarmzentralisierung sowie Bereitstellung von Analystenprozessen und Workflows.
Für einige Unternehmen ist SIEM ideal als zentraler Punkt für alles im Zusammenhang mit der Erkennung von Bedrohungen und Protokollen. Für andere ist die Fähigkeit, ein effektives SIEM zu managen, vor allem von der Verfügbarkeit von Fachkräften abhängig. So mangelt es nach Angaben von Vectra häufig an Fachkräften für Blue-Team-Rollen.
„Leider gehen mit dem SIEM häufig zusätzliche Overhead-Schichten einher, und nicht jeder Untersuchungs- oder Incident Response-Workflow muss in einem SIEM vorhanden sein. Entscheidend ist, welche Ereignisse das höchste Signal-Rausch-Verhältnis für die Bedrohungserkennung bieten. Was nützt also ein SIEM in einer Umgebung mit beschränkten Ressourcen?“, fragt Gérard Bauer, VP EMEA bei Vectra, einem Anbieter von Lösungen für Cybersicherheit auf Basis künstlicher Intelligenz. Um diese Frage zu beantworten, gilt es, die Anforderungen an die Erkennung von Bedrohungen und die Reaktion auf Vorfälle zu definieren:

  • Transparenz über die Assets des Unternehmens, unabhängig davon, wo sie sich befinden. Dazu zählen Rechenzentrums- und Cloud-Workloads, firmeneigene Notebooks sowie BYOD- und IoT-Geräte.
  • Korrelation von Sicherheitsereignissen und die Fähigkeit, Beziehungen zwischen Workloads und Geräten zu identifizieren.
  • Kontext des Geschehens im Zusammenhang mit einer umsetzbaren Reaktion.
  • Wiederholbare Prozesse und Workflows, die es Junior-Analysten ermöglichen, Sicherheitskompetenzen schnell zu entwickeln, und Senior-Analysten, schnelle und schlüssige Untersuchungen durchzuführen.
  • Bedrohungserkennung und -untersuchung, die von jedem Punkt aus starten kann.

Während das Netzwerk der einfachste Weg ist, um größtmögliche Sichtbarkeit zu erhalten, und ein guter Ausgangspunkt, um zu wissen, wo man jagen soll, können andere Datenquellen den Kontext bereichern. Die Bedrohungserkennung erfordert den Kontext von Netzwerken und Endpunkten sowie Protokolle. Jede dieser Datenquellen sollte durch spezielle Tools unterstützt werden, die speziell für die Sichtbarkeit, Erkennung und Reaktion in den jeweiligen Datentypen von Grund auf neu entwickelt wurden, um optimal zusammenzuarbeiten.
Es gibt eine neue Art von SIEM-loser Sicherheitsarchitektur, die es Unternehmen ermöglicht, Mitarbeiter mit allgemeiner IT-Erfahrung einzusetzen, die dann zu Sicherheitsanalysten der nächsten Generation avancieren. Diese spezialisierten Erkennungs- und Reaktionsplattformen bieten leicht
verständliche, wiederholbare Prozesse als Bausteine einer effektiven Untersuchung, unabhängig von der Art der Bedrohung, der Unternehmen gerade ausgesetzt sind.
Die drei Schlüsselkomponenten dieser dynamischen Architektur bestehen aus Netzwerk- und Endpunkterkennung und -reaktion (NDR und EDR) in Kombination mit Sicherheitsautomatisierung und -orchestrierung, zusammengeführt im Incident Response Case Management.
„Die Untersuchungen können überall beginnen, egal ob bei der Netzwerk-, Endpunkt- oder Sicherheitsautomatisierung und -Orchestrierung, da wichtige Komponenten der Architektur miteinander kommunizieren“, erklärt Gérard Bauer. „Die Anreicherung von Ereignissen mit zusätzlichen Informationen und die Durchsetzung von Reaktionen werden oft durch die Sicherheitstools am Netzwerkperimeter ermöglicht, die bereits vorhanden sind.“
Diese Architektur wird häufig in Umgebungen beispielsweise mit einer Integration zwischen Vectra, CrowdStrike, Demisto und Palo Alto Networks eingesetzt. Solch ein Konstrukt ermöglicht eine Integration gezielter Maßnahmen, basierend auf dem Tagging der Cognito Plattform, das Ereignisse auslöst, und der Automatisierung in Demisto. Dieser Ansatz liefert wertvolle Erkenntnisse, die es Sicherheitsteams ermöglichen, sehr effektive Blue Teams aufzubauen.
Mit einer besseren Datenquelle wie NDR von Vectra und EDR von CrowdStrike können Sicherheitsanalysten die Kosten und Komplexität von SIEMs reduzieren und gleichzeitig die Vorteile einer schnelleren Reaktion auf Vorfälle nutzen.
Die Cognito Plattform von Vectra wurde speziell für die Integration mit Endpunktschutz, Orchestrierung, Firewalls, Clouds und virtualisierter Rechenzentrumssicherheit entwickelt. Somit kann sie bestehende Workflows für die Reaktion auf Vorfälle unterstützen, angepasst an die Anforderungen des jeweiligen Unternehmens.
Diese Integrationen umfassen VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk Phantom, Juniper, Palo Alto Networks und mehr. Auf diese Weise können Sicherheitsanalysten einfach zwischen beliebigen Plattformen oder Tools wechseln und gleichzeitig einen umfassenden Kontext über kompromittierte Hostgeräte und Bedrohungsfälle liefern. Selbst wenn sich ein Unternehmen von seinem SIEM nicht trennen kann, weil es als Zentrum seiner Bedrohungsforschung wahrgenommen wird, kann dies in solch ein Konstrukt zusätzlich integriert werden.

www.vectra.ai



Gérard Bauer von Vectra erklärt wie Sichtbarkeit, Erkennung und Reaktion möglich sind
(Vectra)