SIEM-freie Architekturen verbessern IT-Sicherheit

Mit einem Incident-Response-Programm können die Erkennung und Reaktion mit den Kosten und der Komplexität für den Aufbau einer effektiven Security-Umgebung in Einklang gebracht werden. Dies erscheint dringend notwendig angesichts einer zunehmenden Anzahl an Angriffen und der großen Anzahl an Alarmmeldungen in Firmennetzwerken.

In der Vergangenheit stand das Security Information and Event Management (SIEM) im Mittelpunkt vieler Sicherheitskonzepte. Ziel war es, damit eine breite Palette von Anwendungsfällen abzudecken, einschließlich Bedrohungserkennung, Compliance-Berichterstattung, Alarmzentralisierung sowie Bereitstellung von Analystenprozessen und Workflows.  Für einige Unternehmen stellt SIEM eine passende Lösung für die Erkennung von Bedrohungen und Protokollen dar. Für andere ist die Fähigkeit, ein effektives SIEM zu managen, vor allem von der Verfügbarkeit von IT-Fachkräften abhängig.

SIEM benötigt leistungsstarke IT-Systeme

"Leider gehen mit dem SIEM häufig zusätzliche Overhead-Schichten einher, und nicht jeder Untersuchungs- oder Incident-Response-Workflow muss in einem SIEM vorhanden sein. Entscheidend ist, welche Ereignisse das höchste Signal-Rausch-Verhältnis für die Bedrohungserkennung bieten", erklärt Gérard Bauer, VP EMEA bei Vectra, einem Anbieter von Lösungen für Cybersicherheit auf Basis künstlicher Intelligenz. "Was nützt also ein SIEM in einer Umgebung mit beschränkten Ressourcen?", fragt Bauer.

Um diese Frage zu beantworten, geht es darum, die Anforderungen an die Erkennung von Bedrohungen und die Reaktion auf Vorfälle zu definieren:

  • Transparenz über die Assets des Unternehmens, unabhängig davon, wo sie sich befinden. Dazu zählen Rechenzentrums- und Cloud-Workloads, firmeneigene Notebooks sowie BYOD- und IoT-Geräte.
  • Korrelation von Sicherheitsereignissen und die Fähigkeit, Beziehungen zwischen Workloads und Geräten zu identifizieren.
  • Kontext des Geschehens im Zusammenhang mit einer umsetzbaren Reaktion.
  • Wiederholbare Prozesse und Workflows, die es Junior-Analysten ermöglichen, Sicherheitskompetenzen schnell zu entwickeln, und Senior-Analysten, schnelle und schlüssige Untersuchungen durchzuführen.
  • Bedrohungserkennung und -untersuchung, die von jedem Punkt aus starten kann.

Weitere Datenquellen für die Bedrohungserkennung nutzen

Während das Netzwerk der einfachste Weg ist, um größtmögliche Sichtbarkeit zu erhalten, und ein guter Ausgangspunkt, um zu wissen, wo man jagen soll, können andere Datenquellen den Kontext bereichern. Die Bedrohungserkennung erfordert den Kontext von Netzwerken und Endpunkten sowie Protokolle. Jede dieser Datenquellen sollte durch spezielle Tools unterstützt werden, die speziell für die Sichtbarkeit, Erkennung und Reaktion in den jeweiligen Datentypen von Grund auf neu entwickelt wurden, um optimal zusammenzuarbeiten.

Es gibt eine neue Art von SIEM-freier Sicherheitsarchitektur, die es Unternehmen ermöglicht, Mitarbeiter mit allgemeiner IT-Erfahrung einzusetzen, die sich zu Sicherheitsanalysten der nächsten Generation entwickeln. Diese spezialisierten Erkennungs- und Reaktionsplattformen bieten leicht verständliche, wiederholbare Prozesse als Bausteine einer effektiven Untersuchung, unabhängig von der Art der Bedrohung, der Unternehmen gerade ausgesetzt sind.

Mit der Netzwerk- und Sicherheitsautomatisierung beginnen

Die drei Schlüsselkomponenten dieser dynamischen Architektur bestehen aus Netzwerk-, Endpunkterkennung und -reaktion (NDR und EDR) in Kombination mit Sicherheitsautomatisierung und -orchestrierung, zusammengeführt im Incident Response Case Management. "Die Untersuchungen können überall beginnen, egal ob bei der Netzwerk-, Endpunkt- oder Sicherheitsautomatisierung und -Orchestrierung, da wichtige Komponenten der Architektur miteinander kommunizieren", sagt Gérard Bauer. "Die Anreicherung von Ereignissen mit zusätzlichen Informationen und die Durchsetzung von Reaktionen werden oft durch die Sicherheits-Tools am Netzwerkperimeter ermöglicht, die bereits vorhanden sind."

Cognito-Plattform bietet KI-gestützte Netzwerkerkennung

Diese Architektur wird häufig in Umgebungen mit einer Integration von Vectra, CrowdStrike, Demisto und Palo Alto Networks eingesetzt. Solch ein Lösungskonzept ermöglicht die Umsetzung gezielter Maßnahmen, basierend auf dem Tagging der Cognito-AI-Plattform von Vectra, das Ereignisse auslöst, und der Automatisierung in Demisto. Dieser Ansatz liefert wertvolle Erkenntnisse, die es Sicherheitsteams ermöglichen, sehr effektive Blue Teams aufzubauen. Mit einer besseren Datenquelle wie NDR von Vectra und EDR von CrowdStrike können Sicherheitsanalysten die Kosten und Komplexität von SIEM-Umgebungen reduzieren und gleichzeitig die Vorteile einer schnelleren Reaktion auf Vorfälle nutzen.

Die Cognito-Plattform wurde für die Integration mit Endpunktschutz, Orchestrierung, Firewalls, Clouds und virtualisierter Rechenzentrumssicherheit entwickelt. Somit kann sie bestehende Workflows für die Reaktion auf Vorfälle unterstützen, angepasst an die Anforderungen des jeweiligen Unternehmens. Die Integrationen umfassen die Lösungen von VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk Phantom, Juniper, Palo Alto Networks und einigen mehr. Auf diese Weise können Sicherheitsanalysten einfach zwischen beliebigen Plattformen oder Tools wechseln und gleichzeitig einen umfassenden Kontext über kompromittierte Hostgeräte und Bedrohungsfälle liefern. (sg)

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

CAPTCHA
Diese Frage stellt fest, ob du ein Mensch bist.

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags