Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Gemeinsam stärker: Angriffe stoppen mit Integration von Endpoint- und Netzwerksicherheit

By:
Kevin Kennedy
October 9, 2017

Viele Security-Teams werden vom Ausmaß und der Heftigkeit digitaler Bedrohungen geradezu überrannt. Die Angriffe tarnen sich erfolgreicher denn je und hinterlassen zugleich größere Schäden. Ihnen nachzuspüren und sie auszumerzen ist eine Aufgabe, die die Spezialisten in den Security Operations Centern (SOCs) zunehmend zermürbt.

Die Integration von Endpoint- und Netzwerksicherheit kann diese Arbeitslast verringern. Netzwerksicherheits-Tools liefern ein verlässliches Bild dessen, was in einem Unternehmensnetz geschieht – von den Anwendern übers Rechenzentrum bis zur Cloud – und decken alle Gerätetypen ab, IoT eingeschlossen. Der spezielle Blickwinkel der Endpoint Security richtet sich auf die Abläufe im Innern von hochwertigen Systemen, darunter Workloads in der Cloud, Server und Laptops.Die Werkzeuge für Endpoint Security einerseits und für Netzwerksicherheit andererseits liefern jeweils ihre ganz eigenen scharfsinnigen Erkenntnisse – und wenn es gelingt, diesen doppelten Blick aufs Geschehen in einem einzigen Fokus zu bündeln, können SOC-Teams Bedrohungen deutlich schneller erkennen und stoppen.

Um ein Beispiel zu nennen: Die Netzwerk-Perspektive kann Ihnen verraten, dass ein VPN-Tunnel existiert und es einem System außerhalb Ihres Netzwerks ermöglicht, ein System in Ihrem Netzwerk zu kontrollieren. Gleichzeitig verrät die Endpoint-Perspektive, ob der damit verbundene Traffic auf ein RAT, eine Teamviewer-Sitzung oder etwas anderes hindeutet. Beide Informationsebenen zusammen tragen dazu bei, Bedrohungen schnell zu identifizieren, sie zu verifizieren und ihnen Einhalt zu gebieten.Diese ldee dürfte schnell Anklang finden.

Aber wie weit geht die Integration wirklich?

„Die Integration von Werkzeugen für Endpoint- und Netzwerksicherheit hat das Potenzial, die Gesamtbetriebskosten von Sicherheitslösungen zu senken und eine bessere Erkennung und automatisierte Beseitigung von Bedrohungen zu ermöglichen“, schreibt Gartner-Analyst Peter Firstbrook in der Research Note “How to Decide Whether Endpoint and Network Security Integration Is a Feature or a Fad”, die am 29. Juni 2017 veröffentlicht wurde (ID: G00321058).

Die tatsächliche Effektivität hängt allerdings vom Niveau der Integration ab. Gartner nennt fünf Integrationsstufen. Sie beginnen beim bloßen Zusammenstellen zweier Lösungen („Packaging“, Level 1) und gehen übers gemeinsame Management (Level 2), die integrierte Bedrohungsanalyse („Threat Intel“, Level 3) sowie die integrierte Alarmierung (Level 4) bis hin zur Auslösung von Gegenmaßnahmen (Level 5).

„Die meisten Lösungen wurden lediglich zu einem Paket zusammengestellt oder soweit integriert, dass sie Bedrohungen untereinander austauschen. Nur bei wenigen findet sich eine hinreichende Integration auf der Policy-Ebene, die es ermöglichen könnte, mithilfe einer kontextuellen Auswertung ein besseres Sicherheitsniveau zu erzielen. Daraus folgt, dass eine Integration nach dem Motto ‚gemeinsam sind wir stark‘ hier noch nicht verwirklicht wurde“, fährt der Report weiter fort.

Eine neue integrierte Kill Chain

Bei Vectra sind wir bereits Zeuge jener Synergieeffekte geworden, die mit einer Integration von Endpoint- und Netzwerksicherheit einhergehen. Wir haben erkannt, welche Vorteile darin liegen, Security-Teams einen Blick auf den kombinierten Kontext der Sensorergebnisse aus Netzwerktechnik und Endpoint-Security zu verschaffen. Sie können mit Meldungen, die beide Bereiche berücksichtigen, schnell und entschieden auf Cyber-Attacken reagieren und Datendiebstähle vermeiden.

Zur praktischen Untermauerung dieser Einsichten stellen wir eine robuste REST-API bereit, die es Vectra Cognito, unseren Security-Analysten in Softwareform, erlaubt, als integrierte Komponente einer professionell koordinierten Security-Architektur eines Unternehmens zu agieren. Die Vectra-API erlaubt die Integration mit einer ganzen Reihe von Endpoint-Security-Tools – und die Anbindung an nahezu alle anderen Lösungen für Informationssicherheit.

Noch enger integriert sich Cognito mit Carbon Black – einer Lösung für Endpoint Security der nächsten Generation. Die Integration ist in den Produkten selbst verankert, so dass Vectra automatisch Kontext-Informationen von einem Endgerät mit installierter Carbon-Black-Software importieren kann. Mit einem einzigen Klick kann ein Security-Administrator aus der Vectra-Benutzeroberfläche zu Carbon Black Cb Response wechseln, um eine genauere Analyse zu starten, einen Host zu isolieren oder einen Prozess zu beenden.

Ein Rechtsklick in einer Vectra-“Detektion“ genügt, und Sie erhalten einen detaillierten Einblick in Aktivtäten eines Host-Systems (Quelle: Carbon Black)

HBO Latin America ist eine Organisation, die die Vorteile der Integration von Vectra und Carbon Black bereits aus eigener Erfahrung kennt. „In der Vergangenheit war es sehr schwierig, Zusammenhänge zwischen Netzverhalten, Host-Verhalten und Event-Logs herzustellen“, erklärt Albert Caballero, CISO bei HBO Latin America.

HBO Latin America nutzt Vectra Cognito dazu, Endpoints auf der Basis aufgedeckten Angriffsverhaltens im Netzwerk automatisch in Quarantäne zu schicken. „Für eine digitale Nachforschung benötigt man Einblicke in Netzwerkaktivitäten (pcaps oder andere Belege zum Netzwerkgeschehen), Informationen über einen als kompromittiert eingeschätzten Host und Log-Daten zur Erhärtung der Ergebnisse. Diese drei Quellen sind zwingend notwendig, um ein komplettes Bild der Vorkommnisse zu gewinnen“, führt Caballero weiter aus.

Weitere Informationen

Erfahren Sie mehr darüber, warum Vectra Cognito und Carbon Black als Team stärker sind, wenn es um das Erkennen und Eindämmen von Bedrohungen geht.Dokument downloaden.

Erfahren Sie, wie HBO Latin America in Echtzeit gegen aktive Bedrohungen vorgehen kann und sich dabei die enge Integration von Vectra Cognito und Carbon Black zunutze macht.Rufen Sie den Webcast ab oder besuchen Sie unsere deutsche Website.

About the author

Kevin Kennedy

Kevin Kennedy is vice president of product management at Vectra. Before Vectra, he was vice president of product management at Agari Data, which builds data-driven security solutions that eliminate email as a channel for cyberattacks. Prior to Agari, Kevin was senior director of security product management at Juniper, where he spearheaded the company’s continued innovation in data center security. Kevin was also director of product management at Cisco IronPort Systems, where he led the highest-growth business in the Cisco security portfolio, growing bookings by 400 percent in three years. Kevin earned his BSE in computer engineering at the University of Michigan.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Une intégration étroite entre la sécurité des terminaux et celle du réseau permet de neutraliser les attaques

October 4, 2017
Read blog post
Cybersecurity

Accelerating action: New technology partnerships help customers bridge the cybersecurity gap

August 4, 2016
Read blog post
Infrastructure

Gemeinsam stärker: Angriffe stoppen mit Integration von Endpoint- und Netzwerksicherheit

October 9, 2017
Read blog post