Ich unterstütze schon lange den Ansatz von Gartner, der Endgeräte-Erkennung und Response (EDR), Netzwerk-Erkennung und Response (NDR) sowie Sicherheitsinformations- und Ereignis-Management (SIEM) kombiniert, um eine SOC-Transparenz-Triade zu bilden. Doch auf dem steinigen Weg zur Transparenz im Security Operations Center (SOC) müssen Sie bei der Implementierung von Angriffserkennungstools zahlreiche Hindernisse überwinden.
Ein genauerer Blick auf die SOC-Transparenz-Triade zeigte bisher, dass herkömmliche SIEM-Systeme nicht immer in der Lage waren, große Mengen an Ereignissen, bestimmte Datentypen sowie eine Vielzahl anderer Herausforderungen zu bewältigen. Bei der Zusammenarbeit mit Unternehmen haben wir immer wieder festgestellt, dass Security-Teams Probleme haben, SIEM-Systeme für die verschiedenen Anwendungsbereiche einzurichten oder zu pflegen – auch dann, wenn die Größe der eigentlichen Datensätze kein Problem darstellt.
Für die Einrichtung und Pflege der komplexen SIEM-Anwendungsbereiche sind immense technische Ressourcen und personeller Aufwand erforderlich. Bevor Sie Sicherheitsprozesse vom SIEM verarbeiten lassen und sich Gedanken über die erforderlichen Ressourcen machen, sollten Sie sich zudem der erheblichen Betriebskosten bewusst sein.
Der Vectra-Kunde Saint Gobain sah sich vor einigen Jahren mit diesen Problemen konfrontiert und kam zu folgendem Schluss:
Bei der Priorisierung von SOC-Investitionen ist ein deutlicher Trend sichtbar: Unternehmen, die sich über ihr SIEM Gedanken machen, gehen zu einem EDR-zentrierten Ansatz über. Allerdings kann EDR nicht alle Geräte oder Workloads im Unternehmen abdecken und aufgrund des Implementierungsstandorts ist nur ein lokaler Blick auf Dateien und Prozesse möglich. Daher ist ein anderer, ergänzender Ansatz erforderlich.
Das führt heute zu einer schnellen Implementierung von NDR. Durch NDR werden die Sicherheitsprozesse erheblich verbessert, da Sie eine vollständige Transparenz Ihrer Netzwerke – von den Cloud- und Rechenzentrum-Workflows bis zu Benutzern und IoT-Geräten – erreichen und wertvolle Daten für Ihre EDR- und SIEM-Workflows erhalten.
Der agentenlose Ansatz von NDR liefert einen allgemeinen Überblick und konzentriert sich auf die Interaktionen zwischen verschiedenen Hosts und Konten. Dabei deckt NDR die stets vorhandenen Spuren verborgener Angreifer in Cloud-, Rechenzentrum, IoT- und Unternehmensnetzwerken auf.
Diese umfassende Transparenz zeigt – in Kombination mit Automatisierung und der NDR-bedingten Workload-Reduzierung im SOC – ganz deutlich, warum zukunftsorientierte Security-Teams auf einen NDR-zentrierten Ansatz bauen:
Die Frage nach der Priorisierung und Wahl der Investitionen in Erkennungstechnologien wird von Security-Teams heute anders beantwortet:
Wenn Sie mehr erfahren möchten, informieren Sie sich über die SOC-Transparenz-Triade und darüber, wie Sie damit von der Prävention zur Erkennung übergehen.
Hier finden Sie eine Liste der häufigsten Bedrohungen, die in den Cloud-Anwendungen von Microsoft Office 365 auftreten.
Angesichts immer raffinierterer Bedrohungen benötigen Sicherheitsteams einen sofortigen Einblick in die Cyberbedrohungen, die ihre Umgebungen belasten.
Eines ist sicher: Im Kampf gegen Ransomware sind Reaktionsfähigkeit und schnelles Handeln von grundlegender Bedeutung.