Wenn eine Threat Detection einen Angreifer erkennt und niemand bemerkt das, ist er dann wirklich entdeckt?

München, den 06.09.2022 – Vectra AI, führender Anbieter bei der Erkennung von Cyber-Bedrohungen und angepassten Reaktionen für hybride und Multi-Cloud-Unternehmen, stellt seine neue Integration in Splunk vor.

Es gibt einen berühmten philosophisches Sinnspruch, der sich um Beobachtung und Wahrnehmung dreht: "Wenn ein Baum im Wald umfällt und niemand in der Nähe ist, um das zu hören, macht er dann wirklich ein Geräusch?"

Genau die gleiche Frage sollte man sich bei der Detection Security stellen: "Wenn ein Detection Tool einen Angreifer aufspürt und niemand in der Nähe ist, um ihn zu sehen, wird er dann wirklich erkannt?" Die IT-Sicherheitsexperten bei Vectra glauben nicht, dass dies der Fall ist. Eine Erkenntnis oder Detection, die nicht wahrgenommen wird, ist genauso gut wie gar kein Ergebnis.

In seinem Bestreben, die Security voranzutreiben, ist Vectra AI der Meinung, dass es nicht ausreicht, ein hochmodernes, AI-gestütztes Aufspüren von Bedrohungen der IT anzubieten. Man muss vielmehr solche Ergebnisse auch so bereitstellen, dass ein Security-Team in der Lage ist zu merken, was besonders wichtig ist und wie man sofort darauf reagieren kann.

Security in die Arbeitsprozesse integrieren

Um sicherzustellen, dass die von einem Detection Tool erkannten Bedrohungen auch zur Kenntnis genommen werden, müssen sie sich in die Arbeitsabläufe der Security Teams einfügen.

Der jüngste Schritt auf diesem Weg, den Vectra unternommen hat, besteht in einer nun veröffentlichten Version der Splunk-Integration.

Die neue Version von Vectra ist für ein neues Netzwerk konzipiert, in dem Bedrohungen im Rechenzentrum, bei entfernt arbeitenden Angestellten, in SaaS-Anwendungen oder in der öffentlichen Cloud erkannt werden können. Vectra kombiniert all diese verschiedenen Datenquellen in einer einzigen, einheitlichen Oberfläche, in dem die größte Bedrohung für das Unternehmen (über alle Quellen hinweg) aufgelistet ist. Damit wissen die Mitarbeiter genau, was sie als Erstes tun müssen – egal, ob es sich um einen Host oder einen Account im Netzwerk oder in der Cloud handelt.

Unabhängig davon, wie viele Angriffsvektoren Sorgen bereiten, zeigt Vectra den Mitarbeitern die Priorität Nummer Eins an, basierend auf dem, was unseren Algorithmen zufolge Aufmerksamkeit erfordert – und zwar für alle von uns überwachten Oberflächen.

Diese Priorität bezieht sich nicht auf eine einzige Detection-Ebene, sondern auf eine Gesamtheit von Ebenen, und damit auf den tatsächlichen Angreifer, den Vectra bei verdächtigen Aktivitäten entdeckt hat. Dabei kann es sich um einen Host im eigenen Rechenzentrum, einen Account von AWS oder einen Anwender von Azure AD handeln. Vectra ist in der Lage, die Bedrohung einzuschätzen (wie schlimm der Angriff ist, wenn er echt ist) und die Wahrscheinlichkeit anzugeben (wie sicher sind wir, dass er echt ist). Damit kann Vectra einen Quadranten erstellen, der von „Low“ bis zu „Critical“ reicht, und die Daten werden direkt in dem Produkt wiedergegeben.

Dieser Quadrant wird durch eine Liste der wichtigsten Bedrohungen unterstützt, die Aufmerksamkeit erfordern, so dass Analysten genau wissen, was untersucht werden muss.

"Zuweisung" der Zeitpunkte

Ein Team eines Security Operations Center (SOC) funktioniert nur dann effizient, wenn Nachweise einer Bedrohung schnell gemeldet werden können und die Kommunikation zwischen den Team-Mitgliedern schnell und einfach abläuft. Um sicherzustellen, dass sich nicht zwei Analysten mit demselben Problem befassen, nutzt Vectra seinen leistungsstarken "Assignments Workflow", um zu zeigen, wer an welcher Sache arbeitet. Jeder, der den "Assignments Workflow" verwendet, kann nun sehen, wer sich mit welchem Problem beschäftigt und ob er nach dem nächsten zu erforschenden Element sucht. Damit lassen sich leicht neue Problemfälle aufspüren. Auf diese Weise wird nicht nur Zeit eingespart, da man andere Kollegen nicht mehr darüber informieren muss, wer an welchem Vorfall arbeitet, sondern es lässt sich auch ein sehr detaillierter Bericht über die Betriebskennzahlen erstellen.

Berichtspflichten

Jeder, der beruflich mit der Verwaltung von Systemen zu tun hat, weiß, dass es nicht ausreicht, ein funktionierendes System einzurichten und es dann ruhen zu lassen – man muss diese Systeme auch kontinuierlich überwachen, um ihre Wirksamkeit zu garantieren. Die Überwachung von Third-Party-Tools kann oft mühsam und langwierig sein, aber der Operational Metrics Report von Vectra automatisiert diesen gesamten Prozess, indem er den bereits erwähnten Assignment Workflow benützt, der sich direkt in den bestehenden Splunk-Workflow integrieren lässt. Mit diesem Report haben Manager einen klaren Überblick darüber, wie viele Alarmmeldungen das SOC-Team untersuchen muss und wie lange das Team im Durchschnitt braucht, um sie zu bestätigen und darauf zu reagieren. Dies ist ein äußerst leistungsfähiges Tool, das klare, eindeutige Daten zu der Sicherheitsabdeckung zur Verfügung stellt.

Wenn ein Baum umfällt, sollte man ihn auffangen, bevor er etwas trifft

Die neue Splunk-Integration von Vectra vereinfacht den Arbeitsablauf des SOC: Wenn also ein Baum im Wald umfällt, wird das Sicherheitsteam sofort benachrichtigt, sieht, was passiert, und kann den Schaden abfangen, bevor Konsequenzen auftreten.

# # # ENDE # ##

tech2com UG
Philipp Haberland Am Burgholz 18
D-73098 Rechberghausen
Festnetz: 07162/601400-1
Mobil: 0163/2722363
Mail: p.haberland(at)tech2com.de