SOC Visibility Triad und die Rolle von NDR-Lösungen
Durch die ständige Weiterentwicklung digitaler Technologien werden Cyberangriffe immer zahlreicher und raffinierter. Die Vielfalt der verwendeten alten und modernen IT-Systeme, die Vernetzung von Geräten (die früher isoliert liefen) und die große Anzahl von Drittanbietern stellen eine zunehmende Herausforderung für den ganzheitlichen Schutz der IT-Landschaft dar. Da einige dieser Systeme nicht für eine Vernetzung konzipiert wurden, wird die Sicherheit oft erst nachträglich berücksichtigt. Und die Bereinigung der bestehenden Infrastruktur ist eine große Herausforderung mit dem Risiko, versehentlich etwas zu übersehen, was zu Einfallstoren für Angreifer führen kann.
Daher ist ein ganzheitliches Verständnis des IT-Netzes elementar, um potenzielle Bedrohungen zu überwachen. In der komplexen IT-Landschaft von heute kann jedoch keine einzelne Lösung einen vollständigen Schutz bieten. Daher ist es wichtig, verschiedene Sicherheitsaspekte zusammenzuführen. Um dieser Herausforderung zu begegnen, hat Gartner die SOC Visibility Triad eingeführt, die IT-Sicherheitsexperten bei der Definition und Weiterentwicklung ihrer Architektur und der Schließung von Eintrittspunkten unterstützt, die Angreifer ausnutzen können, um sich unerlaubten Zugang zu verschaffen.
In diesem Artikel werden wir zunächst die SOC Visibility Triade von Gartner näher erläutern, bevor wir auf die besondere Rolle von Network Detection & Response-Lösungen innerhalb dieses Rahmens näher eingehen.
Definition der SOC-Sichtbarkeits-Trias
Die von Gartner im Jahr 2015 vorgeschlagene SOC Visibility Triad zielt darauf ab, Cyber-Angreifer daran zu hindern, lange genug in Ihrem Netzwerk zu bleiben, um ihre bösartigen Ziele zu erreichen. Traditionell verließen sich Unternehmen auf Security Information and Event Management (SIEM) Systeme, um Cyberangriffe zu erkennen und zu stoppen. Bis zur Einführung von Lösungen für Endpoint Detection & Response (EDR) und Network Detection & Response (NDR) waren jedoch viele manuelle Analysen zur Interpretation der gesammelten Daten in einem SIEM erforderlich. EDR und NDR sind beide auf unterschiedliche Anwendungsfälle spezialisiert: Während EDR auf eine Software (Agent) setzt, die auf dem überwachten Endpunkt installiert wird, um die Aktivitäten der Endpunkte im Detail zu untersuchen, überwacht NDR alle Aspekte der Netzwerkkommunikation für eine Vogelperspektive der IT-Aktivitäten, unabhängig davon, ob ein Agent installiert ist oder nicht.
Sicherheitsinformationen und Ereignisverwaltung (SIEM)
Eine SIEM-Lösung sammelt und aggregiert Sicherheitsprotokolldaten von allen Geräten im Netzwerk, z. B. von Endgeräten, Servern, Netzwerkgeräten (Switch, Router), Sicherheitslösungen (Firewalls, IDS/IPS und EDR), benutzerdefinierten Anwendungen und sogar Cloud-Diensten. Das SIEM speichert diese Protokolle an einem zentralen Ort in einem einheitlichen Format, wo das SOC-Team diese Protokolle überprüft, um abnormale Aktivitäten zu erkennen, die auf einen potenziellen Cyberangriff hindeuten können.
Obwohl SIEM zu einem integralen Bestandteil des Arsenals eines jeden Unternehmens zur Erkennung von Cyber-Bedrohungen geworden ist, weist es immer noch erhebliche Nachteile auf:
- Die Analysefähigkeiten von SIEMs sind begrenzt und oft sehr zeitaufwändig, da der Hauptzweck von SIEMs darin besteht, Protokolldaten zu sammeln und zu aggregieren.
- SIEM-Lösungen neigen dazu, viele falsch-positive Alarme auszulösen; dies vergeudet die Zeit der SOCs und hindert sie daran, alle Sicherheitswarnungen zu untersuchen.
- SIEMs verfügen über wenig Visualisierungsfunktionen, was die Suche nach Bedrohungen sehr komplex und mühsam macht.
Endpoint Detection and Response (EDR)
EDR ist eine integrierte Softwarelösung, die die Aktivitäten von Endgeräten (Laptops, Desktops und Server) in Echtzeit überwacht, um bösartiges Verhalten zu erkennen. EDR sammelt Daten von Endgeräten und analysiert die gesammelten Daten, um bösartige Muster zu erkennen. Sobald der EDR gefunden wurde, reagiert er automatisch auf Bedrohungen oder isoliert den infizierten Host, um die Ausbreitung der Infektionen auf andere Netzwerkbereiche und Geräte zu verhindern.
Obwohl EDR eine wichtige Komponente der Unternehmenssicherheit ist, sind seine Fähigkeiten, fortgeschrittene Cyberangriffe zu stoppen, begrenzt:
- Unmöglichkeit der Installation auf IoT- und OT-Geräten. Eine EDR-Lösung erfordert die Installation eines Agenten auf Endgeräten zur Überwachung, was bei den meisten IoT-Geräten nicht möglich ist.
- EDR kann keine mitarbeitereigenen Geräte überwachen, die vor allem während der COVID19-Pandemie populär geworden sind.
- EDR bietet keine umfassende Transparenz in hybriden IT-Umgebungen, da es sich nur auf Endgeräte konzentriert.
Netzwerk-Erkennung und -Reaktion (NDR)
NDR ist das Rückgrat des SOC-Dreiklangs, um einen ganzheitlichen Einblick zu erhalten. NDR analysiert den Netzwerkverkehr, der die gesamte IT-Umgebung durchläuft, um bösartiges Verhalten zu erkennen und entsprechend zu reagieren.
NDR bietet eine Fülle von Sicherheitsfunktionen, die SIEM-Lösungen nicht bieten können. So kann NDR beispielsweise fortgeschrittene Cyberangriffe und unbekannte Malware erkennen, indem es fortschrittliche Technologien wie domänenspezifische maschinelle Lernmodelle einsetzt. Im Gegensatz zu EDR bietet NDR eine umfassende Sichtbarkeit (Ost-West, Nord-Süd) über alle Interaktionen in der IT-Umgebung unabhängig von Agenten, einschließlich Cloud-Assets. Zukunftssichere NDR-Lösungen wie ExeonTrace basieren auf selbstlernenden Modellen für das Geräteverhalten, die Bedrohungen unabhängig von der Verschlüsselung des Datenverkehrs erkennen können. Im Gegensatz zu herkömmlichen Sicherheitslösungen wie Firewalls, IDS und IPS, die auf Deep Packet Inspection beruhen und mit zunehmender Verschlüsselung des Datenverkehrs blind werden. Ein hochmoderner NDR ist daher in der Lage, verdeckte Kommunikationskanäle zu entdecken, die häufig von fortschrittlichen Bedrohungsakteuren wie APT- und Ransomware-Betreibern genutzt werden.
Durch die Kombination einer NDR-Lösung mit SIEM und EDR erhalten SOC-Teams einen vollständigen Überblick über ihr Netzwerk und sind in der Lage, unbekannte Bedrohungen zu erkennen, die täglich neu auftauchen.
Fazit
Gartners SOC Visibility Triad umreißt die drei Aspekte, die erforderlich sind, um eine ganzheitliche IT-Sicherheit zu gewährleisten und die Schwachstellen zu verringern, die sich aus der Verwendung jedes einzelnen Elements ergeben. Während SIEMs bereits weit verbreitet sind, sind EDR und NDR relativ neue Aspekte einer hochmodernen Unternehmens-IT-Sicherheit, wie sie das Framework von Gartner vorschlägt. Um einen vollständigen Überblick zu erhalten, ist der rechtzeitige Einsatz von EDR und NDR absolut sinnvoll. Von den beiden neueren Konzepten gilt NDR als das Rückgrat der SOC Visibility Triad von Gartner, die einen ganzheitlichen Überblick über alle Netzwerkaktivitäten bietet und einen Eckpfeiler moderner Verteidigungsstrategien bildet.