Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Bedrohungserkennung und Response mit einer Architektur ohne SIEM

By:
Chris Morales
April 5, 2019

Eine der großen Herausforderungen beim Aufsetzen eines guten Incident-Response-Programms besteht darin, die notwendigen Verbesserungen bei der Netzwerk-Transparenz, der Bedrohungserkennung und einer schlagkräftigen Response gegen die Kosten und die Komplexität abzuwägen, die der Aufbau und der Betrieb eines gut einsetzbaren und effektiven Security-Stacks mit sich bringt.

In der Vergangenheit stand im Mittelpunkt von Security Operations oft das Security-Information- und Event-Management (SIEM). Es sollte eine breite Palette an Use Cases abdecken, einschließlich Bedrohungserkennung, Compliance-Reporting und Zentralisierung der Security-Alarme. Auch die Arbeitsprozesse der Security-Analysten orientierten sich am SIEM.

Für manche Organisationen ist ein SIEM-System tatsächlich der ideale zentrale Anlaufpunkt für alles, was mit der Erkennung von Bedrohungen und der Log-Auswertung zu tun hat. Bei anderen hängt der Grad der Fähigkeit, ein SIEM effektiv zu betreiben, stark davon ab, ob sie die dafür notwendigen Fachkräfte gewinnen und halten können. Dem einen oder anderen Unternehmen fehlen die gut ausgebildeten Mitarbeiter, aus denen sich ein „Blue Team“ aus Verteidigern gegen Cyber-Bedrohungen zusammenstellen ließe.

Unglücklicherweise bringt der Betrieb eines SIEMs gewöhnlich auch zusätzlichen Overhead auf mehreren Ebenen mit sich. Und es muss nicht jede Untersuchung einer Bedrohung und nicht jeder Incident-Response-Workflow in oder mit einem SIEM stattfinden. Der wirklich kritische Faktor für die Bedrohungserkennung ist, herauszufinden, welche Security-Events sich am stärksten gegenüber dem Grundrauschen im Netz abheben. Wie groß ist vor diesem Hintergrund tatsächlich der Nutzen eines SIEM-Systems in einer Umgebung, die mit beschränkten Ressourcen operieren muss?

Um diese Frage zu beantworten, müssen wir zunächst die konkreten Anforderungen an Bedrohungserkennung und Incident Response definieren:

  1. Umfassende Sichtbarkeit der Assets im Unternehmen, wo auch immer sie sich befinden mögen. Zu den Assets können zum Beispiel Rechenzentrums- und Cloud-Workloads, firmeneigene Laptops sowie BYOD- und IoT-Geräte gehören.
  2. Korrelation von sicherheitsrelevanten Vorfällen (Security Events) und die Fähigkeit, Beziehungen zwischen Workloads und Geräten zu identifizieren.
  3. Kontext-Informationen zu Sicherheitsvorfällen für praktikable Response.Maßnahmen.
  4. Reproduzierbare Prozesse und Workflows, die es Einsteigern in die Analystenkarriere erlauben, ihre Kompetenz schnell auszubauen, und mit denen erfahrene Kollegen schnell zu schlüssigen Untersuchungsergebnissen kommen.
  5. Eine Bedrohungserkennung und -analyse, die bei unterschiedlichsten Ausgangspunkten ansetzen kann.

Meiner Ansicht nach bieten Informationen aus dem Netzwerk den einfachsten Weg, höchste Transparenz in der IT-Umgebung zu erzielen. Das Netzwerk bildet deshalb eine hervorragende Ausgangsposition für eine gezielte Bedrohungsjagd. Andere Datenquellen sind gut dazu geeignet, die Kontext-Informationen zu komplettieren.

Bedrohungserkennung benötigt Kontext-Informationen aus dem Netzwerk sowie von Endgeräten und zugleich Log-Informationen. Für jede dieser Datenquellen sollten auf den jeweiligen Datentyp ausgelegte, spezielle Tools für Transparenz, die Erkennung und Response zur Verfügung stehen. Die Werkzeuge sollten von vornherein darauf ausgelegt sein, zusammenzuarbeiten.

Derzeit macht eine neue Art von Sicherheitsarchitektur von sich reden, die ohne SIEM auskommt. Sie ermöglicht es den Unternehmen, kluge Mitarbeiter mit allgemeiner IT-Erfahrung zur nächsten Generation von Sicherheits-Analysten heranzubilden. Die spezialisierten Erkennungs- und Reaktionsplattformen, die auf der neuen Architektur beruhen, bieten leicht verständliche, reproduzierbare Prozesse als Bausteine effektiver Untersuchungen – unabhängig davon, welcher Art von Bedrohung Sie gerade ausgesetzt sind.

Die drei Schlüsselkomponenten der fraglichen dynamischen Architektur sind: (1) Bedrohungserkennung im Netzwerk und an Endgeräten (NDR und EDR) in Kombination mit (2) der Automatisierung und Orchestrierung von Sicherheitsmaßnahmen, um (3) ein vollständiges Incident-Response-Case-Management aufzubauen.

Bedrohungsanalysen können dann überall beginnen – im Netzwerk, am Endpunkt oder bei der Sicherheits-Automatisierung und -Orchestrierung – weil wichtige Komponenten miteinander kommunizieren. Die Perimeter-Sicherheitstools, die Sie bereits besitzen, können in vielen Fällen wertvolle Zusatzinformationen liefern oder dabei helfen, Response-Maßnahmen umzusetzen.

Die Architektur wird häufig in Kundenumgebungen eingesetzt, die Vectra mit Systemen von CrowdStrike, Demisto und Palo Alto Networks integriert. Eine Integration via Orchestrierung erlaubt es beispielsweise, auf umfassenden Informationen basierende Aktionen auf der Grundlage von Cognito-Taggings auszulösen, die erstens Security-Events generieren und zweitens automatisierte Response-Reaktionen mittels Demisto in Gang setzen. Darüber hinaus liefert die Architektur wertvolle Erkenntnisse, auf deren Grundlage die Sicherheitsverantwortlichen der Unternehmen sehr effektive Blue Teams zur Bedrohungsabwehr bilden können.  

Mit besseren Datenquellen wie NDR von Vectra und EDR von CrowdStrike können Sicherheits-Analysten die Kosten und Komplexität von SIEMs reduzieren und gleichzeitig von den Vorteilen einer schnelleren Incident Response profitieren.

Die Cognito-Plattform von Vectra wurde speziell für die Integration mit Systemen zum Endpoint-Schutz, Werkzeugen zur Security-Orchestrierung, Firewalls, Cloud-Umgebungen und Sicherheitssystemen für virtualisierte Rechenzentren entwickelt, um bestehende Incident-Response-Workflows in genau der Weise zu unterstützen, die am besten zu Ihrer Organisation passt.

Die Integrationen umfassen unter anderem VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk Phantom, Juniper und Palo Alto Networks. Sicherheits-Analysten können deshalb problemlos zwischen beliebigen Plattformen oder Tools wechseln und gleichzeitig umfassende Kontext-Informationen über kompromittierte Hosts und die Bedrohungen und Incidents selbst gewinnen und berichten.

Und wenn Sie sich von Ihrem SIEM partout nicht trennen können, weil Sie es als Zentrum Ihres persönlichen Universums zur Bedrohungsanalyse verstehen – dann fügt sich Cognito auch dort gut ein (QRadar, ArcSight und Splunk).

About the author

Chris Morales

Christopher Morales is Head of Security Analytics at Vectra, where he advises and designs incident response and threat management programs for Fortune 500 enterprise clients. He has nearly two decades of information security experience in an array of cybersecurity consulting, sales, and research roles. Christopher is a widely respected expert on cybersecurity issues and technologies and has researched, written and presented numerous information security architecture programs and processes.

Author profile and blog posts

Most recent blog posts from the same author

Security operations

Vectra and Nozomi Networks safely secure the IT/OT convergence

August 12, 2019
Read blog post
Threat detection

Bedrohungserkennung und Response mit einer Architektur ohne SIEM

April 5, 2019
Read blog post
Security operations

How to gain visibility into attacker behaviors inside cloud environments

June 10, 2019
Read blog post