Gartner hat Vectra® kürzlich als den einzigen „Visionär“ in seinem Magic Quadrant 2018 für Intrusion-Detection- und -Prevention-Systeme (IDPS) positioniert. Sie können sich vorstellen, wie begeistert ich bin!
Im Verlauf der vergangenen Jahre haben sich Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) aufeinander zu entwickelt. Gemeinsam sind sie jetzt als „IDS/IPS“ oder „IDPS“ bekannt. Zur Konvergenz der beiden Ansätze kam es, als sich die Security-Anbieter zunehmend auf Präventionsmaßnahmen gegen externe Bedrohungsakteure konzentrierten.
Jetzt allerdings betont Gartner, dass „initiale, einmalige Security-Überprüfungen nach dem Muster ‚blockieren oder zulassen‘ für den Zugriff auf und den Schutz von Informationen mangelhaft sind und dass Unternehmen damit weiterhin der Gefahr von Zero-Day-Attacken, gezielten Angriffen, Identitätsdiebstahl und Insider-Bedrohungen ausgesetzt sind.”
Es ist Zeit, der Angriffserkennung den Vorrang zu geben
Angesichts der heutigen Bedrohungslandschaft und der häufigen Medienberichte über Datenpannen mit hoher Öffentlichkeitswirkung wird unmittelbar deutlich, dass Präventionstechnik allein nicht ausreicht. Man muss der internen Erkennung von Angriffen wieder Priorität einräumen.
Für Vectra war es von Anfang an klar, dass die Aufdeckung von Cyber-Bedrohungen ein Verständnis der tatsächlichen Vorgehensweisen bei Angriffen verlangt. Man muss die Schritte, die die Cyberkriminellen zum Erfolg führen, genau kennen. Wir wussten auch: Die modernen, ausgefuchsten Angreifer setzen dieselben Werkzeuge ein wie die System-Administratoren und sind nicht mehr gezwungen, auf Malware oder Exploits zurückzugreifen.
Systeme für Angriffserkennung müssen sich an die komplexen Umgebungen anpassen, die Unternehmens-Infrastrukturen heute darstellen und die eine stetig wachsende Angriffsfläche bilden. Endgeräte sind mobil, IoT wächst exponentiell und Server sind jetzt Workloads, die sich je nach Bedarf zwischen dem virtuellen Rechenzentrum und der Cloud hin- und herbewegen. Security-Analysten erleben immer schwierigere Zeiten, wenn sie sich mit dem Asset-Management auseinandersetzen müssen oder herausfinden wollen, wo sich bestimmte Daten tatsächlich befinden.
Vor allem dürfen Systeme für Angriffserkennung nicht so kompliziert sein wie ein traditionelles IDS, das viele physische Sensoren benötigt und ständige Wartung und konstantes Tuning braucht. Um effektiv zu sein, müssen sich Erkennungssysteme leicht implementieren, verwalten und einsetzen lassen. Sie sollten keinen Vollzeit-Experten erfordern, nur um betriebsbereit zu bleiben.
Darüber hinaus sollte die Bedrohungserkennung nicht allein auf den Perimeter gerichtet sein. Erkennungstechnik muss sich tief im Netzwerk verankern, damit sie jede Phase eines Cyber-Angriffs identifizieren kann – darunter Schritte wie Internal Reconnaissance und Lateral Movement.
Um sicherzustellen, dass Anzeichen für tatsächliche Attacken nicht im Grundrauschen der gewaltigen Datenmengen untergehen, die die Erkennungssysteme produzieren, benötigt man eine Methode zur Filterung und Begrenzung der Informationsflut und zur Priorisierung echter Risiken. Nur so ist es möglich, die Aufmerksamkeit der Security-Analysten unverzüglich auf diejenigen Bedrohungen zu lenken, die das höchste Risiko bergen.
Für Cognito™, Vectras Plattform für automatisierte Bedrohungserkennung und Response, ist die direkte Analyse des Netzwerk-Traffics die Basis dafür, genau jene grundlegenden Vorgehensweisen aufzudecken, die den Kern von Cyber-Attacken bilden.
Cognito kombiniert Data Science, maschinelles Lernen und Verhaltensanalyse und findet so heraus, was ein Angreifer tatsächlich unternimmt. Das System muss sich dazu nicht auf traditionelle Malware-Signaturen oder Reputationslisten verlassen. Seine Analytik-Verfahren decken schädliche Verhaltensweisen auf – unabhängig davon, um welche Applikationen es dabei geht und sogar dann, wenn der Traffic verschlüsselt ist. Mit diesem Ansatz gelingt es, jene Schritte ans Tageslicht zu holen, die den Schwerpunkt eines Angriffs darstellen, weil der Akteur ohne sie sein Ziel nicht erreicht.
Gartner formuliert es im Magic Quadrant für IDPS so: „Die Evolution von IDS hin zum Einsatz von ‚Advanced-Analytics´-Methoden wie maschinellem Lernen passt gut zu jenen Typen von Telemetriedaten, die Intrusion-Detection-Systeme generieren. Die Entwicklung fügt den Ansätzen zur Erkennung von schädlichen oder unerwünschten Verhaltensweisen in einer Umgebung nachvollziehbar eine neue Herangehensweise hinzu.“
Cognito wendet algorithmische Modelle direkt auf den Netzwerk-Traffic an, um darunter verborgenes Angriffsgeschehen aufzudecken, und reichert die so gewonnen Daten mit Informationen aus sekundären Quellen wie Logs und Threat Intelligence an. Das System beschleunigt auf diese Weise den Erkennungs- und Response-Prozess und unterstützt so die Security-Analysten – und zwar ganz automatisch.
Wir fühlen uns geehrt, dass Gartner uns im Magic Quadrant 2018 für IDPS als „Visionär“ eingestuft hat. Wenn Sie mehr über das Thema erfahren wollen, folgen Sie diesem Link und laden Sie den „2018 Gartner IDPS Magic Quadrant Report“ herunter.
“Use a CARTA Strategic Approach to Embrace Digital Business Opportunities in an Era of Advanced Threats”, von Neil MacDonald und Felix Gaehtgens, Gartner, 22. Mai 2017, ID G00332400
Gartner, Inc., IDPS Magic Quadrant, Craig Lawson, January 10, 2018
Da uns Ihre Sicherheit am Herzen liegt, berät Sie unser Expertenteam kostenlos und unverbindlich.
Nichts ist einfacher, als die Plattform zu testen, um die möglichen Vorteile für Ihr Unternehmen zu verstehen.
Kostenlos testen ❯Hier finden Sie eine Liste der häufigsten Bedrohungen, die in den Cloud-Anwendungen von Microsoft Office 365 auftreten.
Angesichts immer raffinierterer Bedrohungen benötigen Sicherheitsteams einen sofortigen Einblick in die Cyberbedrohungen, die ihre Umgebungen belasten.
Eines ist sicher: Im Kampf gegen Ransomware sind Reaktionsfähigkeit und schnelles Handeln von grundlegender Bedeutung.