Company

Gemeinsam stärker: Angriffe stoppen mit Integration von Endpoint- und Netzwerksicherheit

Geschrieben von Kevin Kennedy am 09.10.2017 08:57:58

Cb.jpgViele Security-Teams werden vom Ausmaß und der Heftigkeit digitaler Bedrohungen geradezu überrannt. Die Angriffe tarnen sich erfolgreicher denn je und hinterlassen zugleich größere Schäden. Ihnen nachzuspüren und sie auszumerzen ist eine Aufgabe, die die Spezialisten in den Security Operations Centern (SOCs) zunehmend zermürbt.

Die Integration von Endpoint- und Netzwerksicherheit kann diese Arbeitslast verringern. Netzwerksicherheits-Tools liefern ein verlässliches Bild dessen, was in einem Unternehmensnetz geschieht – von den Anwendern übers Rechenzentrum bis zur Cloud – und decken alle Gerätetypen ab, IoT eingeschlossen. Der spezielle Blickwinkel der Endpoint Security richtet sich auf die Abläufe im Innern von hochwertigen Systemen, darunter Workloads in der Cloud, Server und Laptops.Die Werkzeuge für Endpoint Security einerseits und für Netzwerksicherheit andererseits liefern jeweils ihre ganz eigenen scharfsinnigen Erkenntnisse – und wenn es gelingt, diesen doppelten Blick aufs Geschehen in einem einzigen Fokus zu bündeln, können SOC-Teams Bedrohungen deutlich schneller erkennen und stoppen.           

Um ein Beispiel zu nennen: Die Netzwerk-Perspektive kann Ihnen verraten, dass ein VPN-Tunnel existiert und es einem System außerhalb Ihres Netzwerks ermöglicht, ein System in Ihrem Netzwerk zu kontrollieren. Gleichzeitig verrät die Endpoint-Perspektive, ob der damit verbundene Traffic auf ein RAT, eine Teamviewer-Sitzung oder etwas anderes hindeutet. Beide Informationsebenen zusammen tragen dazu bei, Bedrohungen schnell zu identifizieren, sie zu verifizieren und ihnen Einhalt zu gebieten. Diese ldee dürfte schnell Anklang finden.

Aber wie weit geht die Integration wirklich?

„Die Integration von Werkzeugen für Endpoint- und Netzwerksicherheit hat das Potenzial, die Gesamtbetriebskosten von Sicherheitslösungen zu senken und eine bessere Erkennung und automatisierte Beseitigung von Bedrohungen zu ermöglichen“, schreibt Gartner-Analyst Peter Firstbrook in der Research Note “How to Decide Whether Endpoint and Network Security Integration Is a Feature or a Fad”, die am 29. Juni 2017 veröffentlicht wurde (ID: G00321058). 

Die tatsächliche Effektivität hängt allerdings vom Niveau der Integration ab. Gartner nennt fünf Integrationsstufen. Sie beginnen beim bloßen Zusammenstellen zweier Lösungen („Packaging“, Level 1) und gehen übers gemeinsame Management (Level 2), die integrierte Bedrohungsanalyse („Threat Intel“, Level 3) sowie die integrierte Alarmierung (Level 4) bis hin zur Auslösung von Gegenmaßnahmen (Level 5).

„Die meisten Lösungen wurden lediglich zu einem Paket zusammengestellt oder soweit integriert, dass sie Bedrohungen untereinander austauschen. Nur bei wenigen findet sich eine hinreichende Integration auf der Policy-Ebene, die es ermöglichen könnte, mithilfe einer kontextuellen Auswertung ein besseres Sicherheitsniveau zu erzielen. Daraus folgt, dass eine Integration nach dem Motto ‚gemeinsam sind wir stark‘ hier noch nicht verwirklicht wurde“, fährt der Report weiter fort.

Eine neue integrierte Kill Chain

Bei Vectra sind wir bereits Zeuge jener Synergieeffekte geworden, die mit einer Integration von Endpoint- und Netzwerksicherheit einhergehen. Wir haben erkannt, welche Vorteile darin liegen, Security-Teams einen Blick auf den kombinierten Kontext der Sensorergebnisse aus Netzwerktechnik und Endpoint-Security zu verschaffen. Sie können mit Meldungen, die beide Bereiche berücksichtigen, schnell und entschieden auf Cyber-Attacken reagieren und Datendiebstähle vermeiden.

Zur praktischen Untermauerung dieser Einsichten stellen wir eine robuste REST-API bereit, die es Vectra Cognito, unseren Security-Analysten in Softwareform, erlaubt, als integrierte Komponente einer professionell koordinierten Security-Architektur eines Unternehmens zu agieren. Die Vectra-API erlaubt die Integration mit einer ganzen Reihe von Endpoint-Security-Tools – und die Anbindung an nahezu alle anderen Lösungen für Informationssicherheit.

Noch enger integriert sich Cognito mit Carbon Black – einer Lösung für Endpoint Security der nächsten Generation. Die Integration ist in den Produkten selbst verankert, so dass Vectra automatisch Kontext-Informationen von einem Endgerät mit installierter Carbon-Black-Software importieren kann. Mit einem einzigen Klick kann ein Security-Administrator aus der Vectra-Benutzeroberfläche zu Carbon Black Cb Response wechseln, um eine genauere Analyse zu starten, einen Host zu isolieren oder einen Prozess zu beenden.

Cb.jpg

Ein Rechtsklick in einer Vectra-“Detektion“ genügt, und Sie erhalten einen detaillierten Einblick in Aktivtäten eines Host-Systems (Quelle: Carbon Black)

HBO Latin America ist eine Organisation, die die Vorteile der Integration von Vectra und Carbon Black bereits aus eigener Erfahrung kennt. „In der Vergangenheit war es sehr schwierig, Zusammenhänge zwischen Netzverhalten, Host-Verhalten und Event-Logs herzustellen“, erklärt Albert Caballero, CISO bei HBO Latin America.

HBO Latin America nutzt Vectra Cognito dazu, Endpoints auf der Basis aufgedeckten Angriffsverhaltens im Netzwerk automatisch in Quarantäne zu schicken. „Für eine digitale Nachforschung benötigt man Einblicke in Netzwerkaktivitäten (pcaps oder andere Belege zum Netzwerkgeschehen), Informationen über einen als kompromittiert eingeschätzten Host und Log-Daten zur Erhärtung der Ergebnisse. Diese drei Quellen sind zwingend notwendig, um ein komplettes Bild der Vorkommnisse zu gewinnen“, führt Caballero weiter aus. 

Weitere Informationen

Erfahren Sie mehr darüber, warum Vectra Cognito und Carbon Black als Team stärker sind, wenn es um das Erkennen und Eindämmen von Bedrohungen geht. Dokument downloaden.

Erfahren Sie, wie HBO Latin America in Echtzeit gegen aktive Bedrohungen vorgehen kann und sich dabei die enge Integration von Vectra Cognito und Carbon Black zunutze macht. Rufen Sie den Webcast ab oder besuchen Sie unsere deutsche Website.

 

Themen: network security, cybersecurity, APM, Cyberattacken, endpoint