Company

Bedrohungserkennung und Response mit einer Architektur ohne SIEM

Geschrieben von Chris Morales am 04.05.2019 01:48:43

Finden Sie mich auf:

Eine der großen Herausforderungen beim Aufsetzen eines guten Incident-Response-Programms besteht darin, die notwendigen Verbesserungen bei der Netzwerk-Transparenz, der Bedrohungserkennung und einer schlagkräftigen Response gegen die Kosten und die Komplexität abzuwägen, die der Aufbau und der Betrieb eines gut einsetzbaren und effektiven Security-Stacks mit sich bringt.

In der Vergangenheit stand im Mittelpunkt von Security Operations oft das Security-Information- und Event-Management (SIEM). Es sollte eine breite Palette an Use Cases abdecken, einschließlich Bedrohungserkennung, Compliance-Reporting und Zentralisierung der Security-Alarme. Auch die Arbeitsprozesse der Security-Analysten orientierten sich am SIEM. 

Für manche Organisationen ist ein SIEM-System tatsächlich der ideale zentrale Anlaufpunkt für alles, was mit der Erkennung von Bedrohungen und der Log-Auswertung zu tun hat. Bei anderen hängt der Grad der Fähigkeit, ein SIEM effektiv zu betreiben, stark davon ab, ob sie die dafür notwendigen Fachkräfte gewinnen und halten können. Dem einen oder anderen Unternehmen fehlen die gut ausgebildeten Mitarbeiter, aus denen sich ein „Blue Team“ aus Verteidigern gegen Cyber-Bedrohungen zusammenstellen ließe.

Unglücklicherweise bringt der Betrieb eines SIEMs gewöhnlich auch zusätzlichen Overhead auf mehreren Ebenen mit sich. Und es muss nicht jede Untersuchung einer Bedrohung und nicht jeder Incident-Response-Workflow in oder mit einem SIEM stattfinden. Der wirklich kritische Faktor für die Bedrohungserkennung ist, herauszufinden, welche Security-Events sich am stärksten gegenüber dem Grundrauschen im Netz abheben. Wie groß ist vor diesem Hintergrund tatsächlich der Nutzen eines SIEM-Systems in einer Umgebung, die mit beschränkten Ressourcen operieren muss? 

Um diese Frage zu beantworten, müssen wir zunächst die konkreten Anforderungen an Bedrohungserkennung und Incident Response definieren:

  1. Umfassende Sichtbarkeit der Assets im Unternehmen, wo auch immer sie sich befinden mögen. Zu den Assets können zum Beispiel Rechenzentrums- und Cloud-Workloads, firmeneigene Laptops sowie BYOD- und IoT-Geräte gehören.
  2. Korrelation von sicherheitsrelevanten Vorfällen (Security Events) und die Fähigkeit, Beziehungen zwischen Workloads und Geräten zu identifizieren.
  3. Kontext-Informationen zu Sicherheitsvorfällen für praktikable Response.Maßnahmen.
  4. Reproduzierbare Prozesse und Workflows, die es Einsteigern in die Analystenkarriere erlauben, ihre Kompetenz schnell auszubauen, und mit denen erfahrene Kollegen schnell zu schlüssigen Untersuchungsergebnissen kommen.
  5. Eine Bedrohungserkennung und -analyse, die bei unterschiedlichsten Ausgangspunkten ansetzen kann.

Meiner Ansicht nach bieten Informationen aus dem Netzwerk den einfachsten Weg, höchste Transparenz in der IT-Umgebung zu erzielen. Das Netzwerk bildet deshalb eine hervorragende Ausgangsposition für eine gezielte Bedrohungsjagd. Andere Datenquellen sind gut dazu geeignet, die Kontext-Informationen zu komplettieren.

Bedrohungserkennung benötigt Kontext-Informationen aus dem Netzwerk sowie von Endgeräten und zugleich Log-Informationen. Für jede dieser Datenquellen sollten auf den jeweiligen Datentyp ausgelegte, spezielle Tools für Transparenz, die Erkennung und Response zur Verfügung stehen. Die Werkzeuge sollten von vornherein darauf ausgelegt sein, zusammenzuarbeiten.

Derzeit macht eine neue Art von Sicherheitsarchitektur von sich reden, die ohne SIEM auskommt. Sie ermöglicht es den Unternehmen, kluge Mitarbeiter mit allgemeiner IT-Erfahrung zur nächsten Generation von Sicherheits-Analysten heranzubilden. Die spezialisierten Erkennungs- und Reaktionsplattformen, die auf der neuen Architektur beruhen, bieten leicht verständliche, reproduzierbare Prozesse als Bausteine effektiver Untersuchungen – unabhängig davon, welcher Art von Bedrohung Sie gerade ausgesetzt sind.

 blog pic

Die drei Schlüsselkomponenten der fraglichen dynamischen Architektur sind: (1) Bedrohungserkennung im Netzwerk und an Endgeräten (NDR und EDR) in Kombination mit (2) der Automatisierung und Orchestrierung von Sicherheitsmaßnahmen, um (3) ein vollständiges Incident-Response-Case-Management aufzubauen.

Bedrohungsanalysen können dann überall beginnen – im Netzwerk, am Endpunkt oder bei der Sicherheits-Automatisierung und -Orchestrierung – weil wichtige Komponenten miteinander kommunizieren. Die Perimeter-Sicherheitstools, die Sie bereits besitzen, können in vielen Fällen wertvolle Zusatzinformationen liefern oder dabei helfen, Response-Maßnahmen umzusetzen.

Die Architektur wird häufig in Kundenumgebungen eingesetzt, die Vectra mit Systemen von CrowdStrike, Demisto und Palo Alto Networks integriert. Eine Integration via Orchestrierung erlaubt es beispielsweise, auf umfassenden Informationen basierende Aktionen auf der Grundlage von Cognito-Taggings auszulösen, die erstens Security-Events generieren und zweitens automatisierte Response-Reaktionen mittels Demisto in Gang setzen. Darüber hinaus liefert die Architektur wertvolle Erkenntnisse, auf deren Grundlage die Sicherheitsverantwortlichen der Unternehmen sehr effektive Blue Teams zur Bedrohungsabwehr bilden können.  

Mit besseren Datenquellen wie NDR von Vectra und EDR von CrowdStrike können Sicherheits-Analysten die Kosten und Komplexität von SIEMs reduzieren und gleichzeitig von den Vorteilen einer schnelleren Incident Response profitieren.

Die Cognito-Plattform von Vectra wurde speziell für die Integration mit Systemen zum Endpoint-Schutz, Werkzeugen zur Security-Orchestrierung, Firewalls, Cloud-Umgebungen und Sicherheitssystemen für virtualisierte Rechenzentren entwickelt, um bestehende Incident-Response-Workflows in genau der Weise zu unterstützen, die am besten zu Ihrer Organisation passt.

Die Integrationen umfassen unter anderem VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk Phantom, Juniper und Palo Alto Networks. Sicherheits-Analysten können deshalb problemlos zwischen beliebigen Plattformen oder Tools wechseln und gleichzeitig umfassende Kontext-Informationen über kompromittierte Hosts und die Bedrohungen und Incidents selbst gewinnen und berichten.

Und wenn Sie sich von Ihrem SIEM partout nicht trennen können, weil Sie es als Zentrum Ihres persönlichen Universums zur Bedrohungsanalyse verstehen – dann fügt sich Cognito auch dort gut ein (QRadar, ArcSight und Splunk).

Themen: SIEM, incident-response