Viele Sicherheitsteams können aktive Angriffe nicht schnell genug erkennen und deshalb auch nicht rechtzeitig stoppen. Trotz unzähliger Sicherheitstools fehlt es an unternehmensweiter Transparenz und an detaillierten Analysen, um Bedrohungen zuverlässig aufzudecken. Voneinander isolierte Lösungen generieren Unmengen von Warnmeldungen und zwingen Ihre IT-Mitarbeitenden dazu, ständig von einer Konsole zur anderen zu wechseln. Dadurch übersehen sie häufig auch echte Angriffe oder können diese nicht umfassend analysieren. Wie es Ihnen trotz chronischer Zeitnot und Fachkräftemangel gelingt, Ihre Detect & Respond-Fähigkeiten zu verbessern, zeigen wir Ihnen in diesem Blogbeitrag.
Die Bedrohungslandschaft entwickelt sich rasant weiter. Das grösste Kopfzerbrechen bereitet vielen Cybersicherheits-Abteilungen jedoch nicht die endlose Anzahl von Risiken, sondern die frustrierenden, sich wiederholenden Aufgaben, die sie jeden Tag erledigen müssen, um den endlosen Berg von Warnmeldungen abzubauen, die ihnen die Sicherheits-Tools generiert haben. Kennen Sie das auch?
Sicherheitsteams sehen sich heute mit zwei gewaltigen Herausforderungen konfrontiert: einer ständigen Flut von Angriffen und einer noch grösseren Anzahl von Warnmeldungen – im Durchschnitt 174’000 Alarme pro Woche (gemäss «The State of SOAR Report», 2018 von Demisto / Palo Alto Networks) – und diese Zahl ist in der Zwischenzeit garantiert nicht kleiner geworden. Um mit all diesen Alarmen Schritt halten zu können, arbeiten Analysten oft im Feuerwehrmodus und versuchen, jeden Tag so viele Alarme wie möglich zu sortieren. Da diesen Alarmen oft der für die Untersuchung notwendige Kontext fehlt, sind die Analysten aber leider gezwungen, wertvolle Zeit mit der Suche nach zusätzlichen Details zu verschwenden. So werden über 90% der Alarme ignoriert – was die nachfolgende Darstellung eindrücklich illustriert:
Unternehmen haben somit zwei unattraktive Alternativen vor sich: Entweder sie verlassen sich ausschliesslich auf vorhandene Präventionsprodukte oder sie setzen ein Sammelsurium unzusammenhängender Erkennungs- und Reaktionsprodukte ein. Sie haben also die Qual der Wahl:
Zur Lösung der heutigen Herausforderungen in der Cybersicherheit ist deshalb zwingend ein neuer Ansatz erforderlich. Ein Ansatz, der jede Phase der Security Operation erleichtert, von der Erkennung und Suche nach Bedrohungen bis hin zur Triage, Untersuchung und Reaktion. Damit Sie die Risiken senken und gleichzeitig Abläufe vereinfachen können, benötigen Sie drei Funktionen:
Mit diesen drei Funktionen, die über alle Ihre kritischen Ressourcen, einschliesslich Netzwerk, Endpunkte und Clouds, koordiniert werden, können Sie die immer raffinierter werdenden Bedrohungen abwehren und Ihre Endpunkte effektiv gegen Angriffe schützen. Womit wir bei der dritten Alternative wären!
Extended Detection and Response (XDR) Produkte lösen dieses Problem, indem sie mehrere Sicherheitsfunktionen auf einer Plattform zur Erkennung von und Reaktion auf Sicherheitsvorfälle vereinen. Das ermöglicht eine einheitliche Sichtbarkeit über mehrere Angriffsvektoren hinweg. Im Gegensatz zu SIEM-Systemen, die meist einen engen Compliance-Fokus haben und als reines Aufzeichnungssystem für Sicherheitsorganisationen fungieren, konzentriert sich XDR auf die eigentliche Aktivität der Erkennung von und Reaktion auf Bedrohungen. Eine XDR-Plattform erweitert die Erkennungs- und Reaktionsmöglichkeiten, um Bedrohungen zu identifizieren, die präventive Kontrollen umgehen, und nutzt Daten aus dem gesamten Netzwerk, inkl. Cloud und von allen Endpunkten. Diese Daten wiederum werden mit Hilfe von UEBA erweitert – einer Technik, die Verhaltensanomalien im gesamten Netzwerk, bei Rechnern, Nutzern und Anwendungen erkennt.
Genau hier kommt der leistungsstarke Agent von Cortex XDR von Palo Alto Networks ins Spiel. Er schützt Ihre Endpunkte vor Zero-Day-Malware, dateilosen oder skriptbasierten Angriffen und anderen Hackeraktivitäten, indem er eingehende Dateien vor und nach der Ausführung analysiert. Da der Agent aus der Cloud bereitgestellt wird, bietet er Ihren Endpunkten sofortigen Schutz vor komplexen Bedrohungen und beginnt unmittelbar mit der Erfassung von sicherheitsrelevanten Daten zur Verbesserung der Erkennungs- und Abwehrmechanismen. Dieser harmonisierte Datensatz wird dann mit Hilfe von Orchestrierungs- und Automatisierungsfunktionen und vielseitigen Analysefunktionen genutzt, um Sofortmassnahmen zu ergreifen, bevor diese potenziellen Risiken Schaden anrichten können.
Cortex XDR ist Teil von CortexTM, der cloudbasierten Sicherheitslösung für die automatisierte Erkennung, Untersuchung und Abwehr von Cyberbedrohungen von unserem Partner Palo Alto Networks. Die Cortex XSOAR, die eine Evolution der SOC-Prozesse von einem überwiegend manuellen, reaktiven Modell mit hohem Ressourcenbedarf hin zu einer effizienten, proaktiven und automatisierten Arbeitsweise ermöglichen. So wird die durchschnittliche Zeit bis zur Erkennung und Abwehr von Bedrohungen in jedem Anwendungsfall massiv verkürzt.
Das sagen übrigen nicht nur wir, sonder auch der «MITRE ATT&CK cybersecurity evaluations » Bericht. Cortex XDR hat dabei zwei Jahre in Folge unübertroffene Erkennungsergebnisse bei realen Angriffsszenarien geliefert.
Und das Beste zum Schluss: Sie können Cortex XDR von InfoGuard als Managed Service beziehen, vergleichbar mit einem durchgehend besetzten SOC (Security Operations Center), das Funktionen wie Meldungsmanagement oder die Suche und Abwehr von Bedrohungen übernimmt – vom Netzwerk über Endpunkte bis in die Cloud. Darüber hinaus setzen wir bei unseren Cyber Defence Services ganz gezielt auch auf die XDR-Lösungen von unserem Partner Palo Alto Networks.