Ich unterstütze schon lange den Ansatz von Gartner, der Endgeräte-Erkennung und Response (EDR), Netzwerk-Erkennung und Response (NDR) sowie Sicherheitsinformations- und Ereignis-Management (SIEM) kombiniert, um eine SOC-Transparenz-Triade zu bilden. Doch auf dem steinigen Weg zur Transparenz im Security Operations Center (SOC) müssen Sie bei der Implementierung von Angriffserkennungstools zahlreiche Hindernisse überwinden.
Ein genauerer Blick auf die SOC-Transparenz-Triade zeigte bisher, dass herkömmliche SIEM-Systeme nicht immer in der Lage waren, große Mengen an Ereignissen, bestimmte Datentypen sowie eine Vielzahl anderer Herausforderungen zu bewältigen. Bei der Zusammenarbeit mit Unternehmen haben wir immer wieder festgestellt, dass Security-Teams Probleme haben, SIEM-Systeme für die verschiedenen Anwendungsbereiche einzurichten oder zu pflegen – auch dann, wenn die Größe der eigentlichen Datensätze kein Problem darstellt.
Für die Einrichtung und Pflege der komplexen SIEM-Anwendungsbereiche sind immense technische Ressourcen und personeller Aufwand erforderlich. Bevor Sie Sicherheitsprozesse vom SIEM verarbeiten lassen und sich Gedanken über die erforderlichen Ressourcen machen, sollten Sie sich zudem der erheblichen Betriebskosten bewusst sein.
Der Vectra-Kunde Saint Gobain sah sich vor einigen Jahren mit diesen Problemen konfrontiert und kam zu folgendem Schluss:
- Automatisieren Sie die Angriffserkennung mit NDR und EDR. Machen Sie sich mit dem MITRE ATT&CK-Framework vertraut, um sicherzustellen, dass Sie alle Bedrohungen abdecken und mit der wachsenden Zahl an IP-Adressen Schritt halten können.
- Erwägen Sie, eigene Modelle zur Bedrohungserkennung zu erstellen, die zu den Anwendungsbereichen passen, die für Ihr Unternehmen relevant sind. Ein Pauschalansatz für NDR, EDR und SIEM funktioniert nicht.
- Erstellen Sie für SIEM-Erkennungen Anwendungsbereiche, die für Ihr Unternehmen relevant sind und von anderen Sicherheitsanbietern nicht abgedeckt werden. Damit können Sie langfristig hochwertige Erkennungen gewährleisten.
Bei der Priorisierung von SOC-Investitionen ist ein deutlicher Trend sichtbar: Unternehmen, die sich über ihr SIEM Gedanken machen, gehen zu einem EDR-zentrierten Ansatz über. Allerdings kann EDR nicht alle Geräte oder Workloads im Unternehmen abdecken und aufgrund des Implementierungsstandorts ist nur ein lokaler Blick auf Dateien und Prozesse möglich. Daher ist ein anderer, ergänzender Ansatz erforderlich.
Das führt heute zu einer schnellen Implementierung von NDR. Durch NDR werden die Sicherheitsprozesse erheblich verbessert, da Sie eine vollständige Transparenz Ihrer Netzwerke – von den Cloud- und Rechenzentrum-Workflows bis zu Benutzern und IoT-Geräten – erreichen und wertvolle Daten für Ihre EDR- und SIEM-Workflows erhalten.
Der agentenlose Ansatz von NDR liefert einen allgemeinen Überblick und konzentriert sich auf die Interaktionen zwischen verschiedenen Hosts und Konten. Dabei deckt NDR die stets vorhandenen Spuren verborgener Angreifer in Cloud-, Rechenzentrum, IoT- und Unternehmensnetzwerken auf.
Diese umfassende Transparenz zeigt – in Kombination mit Automatisierung und der NDR-bedingten Workload-Reduzierung im SOC – ganz deutlich, warum zukunftsorientierte Security-Teams auf einen NDR-zentrierten Ansatz bauen:
- Integration mehrerer Anbieter ist ein Muss, um Konsistenz und einfache Untersuchungen zu gewährleisten.
- Umfassender Kontext zur Erkennung zeigt das volle Ausmaß eines Angriffs und ermöglicht eine schnellere und fundiertere Response.
Die Frage nach der Priorisierung und Wahl der Investitionen in Erkennungstechnologien wird von Security-Teams heute anders beantwortet:
- EDR: Liefert genauere Antworten, deckt aber weniger Systeme ab. Wahrscheinlich wird sich auf bis zu 40 % der Systeme niemals ein Agent befinden – wenn Sie IoT- und OT-Geräte berücksichtigen, ist die Abdeckung sogar noch deutlich geringer.
- NDR: Umfassendere Abdeckung, aber kein Einblick in böswillige Aktivitäten auf einzelnen Systemen.
Wenn Sie mehr erfahren möchten, informieren Sie sich über die SOC-Transparenz-Triade und darüber, wie Sie damit von der Prävention zur Erkennung übergehen.
Da uns Ihre Sicherheit am Herzen liegt, berät Sie unser Expertenteam kostenlos und unverbindlich.
Nichts ist einfacher, als die Plattform zu testen, um die möglichen Vorteile für Ihr Unternehmen zu verstehen.
Kostenlos testen ❯Hier finden Sie eine Liste der häufigsten Bedrohungen, die in den Cloud-Anwendungen von Microsoft Office 365 auftreten.
Angesichts immer raffinierterer Bedrohungen benötigen Sicherheitsteams einen sofortigen Einblick in die Cyberbedrohungen, die ihre Umgebungen belasten.
Eines ist sicher: Im Kampf gegen Ransomware sind Reaktionsfähigkeit und schnelles Handeln von grundlegender Bedeutung.