Erinnern Sie sich zunächst daran, was eine nukleare Triade ist. Dieser Begriff bezieht sich auf die strategischen Streitkräfte eines mit Atomwaffen ausgerüsteten Staates. Die Triade umfasst drei Komponenten: Luft - strategische Luftfahrt, ballistische Land - Interkontinentalraketen, See - Atom - U - Boot - Raketenträger.
Sehr geehrter Gartner, er hat eine Analogie zu den strategischen Streitkräften des Staates mit dem Zentrum für Überwachung und operative Reaktion auf Vorfälle (SOC) erstellt und dabei die folgenden Elemente der SOC-Triade hervorgehoben: Sicherheitsinformations- und Ereignismanagement (SIEM), Netzwerkverkehrsanalyse (NTA), Endpunkterkennung und -reaktion (EDR). Bei Betrachtung dieser Analogie wird deutlich, dass SOC nur dann maximal wirksam sein kann, wenn es mit allen Schutzkomponenten ausgestattet ist: in der „Luft“, auf dem „Land“ und im „Meer“.
Leider verwenden die meisten Unternehmen heute nur noch „strategische Luftfahrt“ - SIEM-Systeme. In seltenen Fällen ersetzen „Interkontinentalraketen“ (NTA) die vollständige Analyse des Netzwerkverkehrs nur durch das Sammeln von Protokollen von Standard-Netzwerksicherheitstools. Und sehr selten ist der "Atom-U-Boot-Raketenträger" - EDR.
In meinem heutigen Artikel möchte ich laut Gartners Testament die Hauptgründe für die Bedeutung der Einbeziehung der EDR-Technologie als eines der Elemente eines modernen Zentrums für die Überwachung und schnelle Reaktion auf Vorfälle hervorheben.
In der Welt der Informationssicherheit ist die EDR-Technologie viel mehr als nur ein fortschrittlicher Schutz von Workstations und Servern vor komplexen Bedrohungen. Von Jahr zu Jahr bleiben Arbeitsplätze das Hauptziel von Angreifern und die häufigsten Einstiegspunkte in die Infrastruktur von Organisationen, was gebührende Aufmerksamkeit und angemessenen Schutz erfordert. Die Telemetrie ist eine wertvolle Information, die für eine qualitativ hochwertige Untersuchung von Vorfällen erforderlich ist. Die Bedeutung des Zugriffs nimmt mit dem Aufkommen des neuen TLS 1.3-Verschlüsselungsprotokolls und seiner aktiven Verteilung noch mehr zu.
EDR wird schnell zur treibenden Kraft für die Steigerung der Reife und Effektivität moderner SOCs.
Mal sehen warum?
Zusätzliche Sichtbarkeit
Erstens kann die EDR-Technologie dem SOC-Team Sichtbarkeit verschaffen, wo die meisten Organisationen heute blind bleiben, da sich die meisten auf die Überwachung der Aktivitäten im Netzwerk konzentrieren. Solche Unternehmen verbinden im Rahmen der Funktionsweise des Überwachungszentrums und der operativen Reaktion auf Vorfälle Endpunkte selten oder nur teilweise als Ereignisquellen im SIEM-System. Dies ist auf die hohen Kosten für das Sammeln und Verarbeiten von Protokollen von allen Endpunkten sowie auf die Erzeugung einer großen Anzahl von Ereignissen für die Analyse mit einem ausreichend hohen Anteil an Fehlalarmen zurückzuführen, was häufig zu einer Überlastung der Spezialisten und einem ineffizienten Einsatz teurer Ressourcen im Allgemeinen führt.
Ein spezielles Tool zum Erkennen komplexer Bedrohungen auf Hosts
Komplexe Bedrohungen und gezielte Angriffe mit unbekanntem Schadcode, kompromittierten Konten, dateilosen Methoden, legitimen Anwendungen und Aktionen, die nichts Verdächtiges enthalten, erfordern einen mehrstufigen Erkennungsansatz mit fortschrittlichen Technologien. Abhängig von einem bestimmten Anbieter kann EDR normalerweise verschiedene Erkennungstechnologien umfassen, die im automatischen, halbautomatischen Modus arbeiten, sowie integrierte Tools, bei denen Aufgaben manuell eingestellt werden müssen, wobei hochqualifiziertes Personal beteiligt ist. Dies können beispielsweise sein: Antivirus, Verhaltensanalyse-Engine, Sandbox, Suche nach Kompromissindikatoren (IoC), Arbeit mit IoA-Angriffsindikatoren, Vergleich mit MITRE ATT & CK-Techniken sowie automatische Interaktion mit Threat Intelligence und manuelle Abfragen an die globale Bedrohungsdatenbank; retrospektive Analyse, die Fähigkeit, proaktiv nach Bedrohungen zu suchen (Threat Hunting). EDR ist ein zusätzliches Tool für die SOC-Analyse mit einer intuitiven Oberfläche für die Echtzeit-Bedrohungssuche, mit der Sie komplexe Anforderungen für die Suche nach verdächtigen Aktivitäten und böswilligen Aktionen unter Berücksichtigung der Funktionen der geschützten Infrastruktur stellen können.
Mit all dem können Unternehmen komplexe Bedrohungen erkennen, die darauf abzielen, herkömmliche Host-Schutz-Tools wie herkömmliche Antiviren-, NGAV- oder EPP-Lösungen (Endpoint Protection Platform) zu umgehen. Letztere arbeiten heute sehr eng mit EDR-Lösungen zusammen, und die meisten Hersteller dieser Produktklasse bieten EPP- und EDR-Funktionen innerhalb eines einzigen Agenten, ohne die Maschine zu überlasten, und bieten gleichzeitig einen integrierten Ansatz zum Schutz der Endpunkte vor komplexen Bedrohungen und zum automatischen Blockieren einfacherer Bedrohungen, die mit der Erkennung und Reaktion auf komplexere Vorfälle enden. Die in EDR verwendeten erweiterten Erkennungsmechanismen ermöglichen es Teams, Bedrohungen schnell zu erkennen und schnell zu reagieren, um mögliche Schäden für das Unternehmen zu vermeiden.
Zusätzlicher Kontext
Daten zu Host-Ereignissen mit EDRs sind eine wichtige Ergänzung zu den Informationen, die von anderen Sicherheitselementen und Geschäftsanwendungen der geschützten Infrastruktur generiert werden und die vom SIEM-System im Zentrum zur Überwachung und schnellen Reaktion auf Vorfälle verglichen werden. EDR bietet schnellen Zugriff auf Endpunktinfrastrukturdaten, die bereits in einem zusätzlichen Kontext angereichert sind. Auf diese Weise können einerseits Fehlalarme schnell identifiziert und andererseits diese Daten als wertvolles vorverarbeitetes Material für die Untersuchung komplexer Angriffe verwendet werden, dh EDR stellt relevante Protokolle bereit mit Ereignissen aus anderen Quellen zu korrelieren und dadurch die Qualität globaler Untersuchungen im SOC zu verbessern.
Zusätzliche Automatisierung
Für Unternehmen ohne EDR scheint die Erkennung komplexer Bedrohungen für die Infrastruktur von Endpunkten, einschließlich: Sammeln, Speichern und Analysieren von Daten sowie Ausführen verschiedener Aktionen in den Phasen der Untersuchung und Reaktion auf komplexe Vorfälle, ohne den Einsatz von Automatisierungstools eine ziemlich mühsame Aufgabe zu sein.
Heutzutage verbringen viele Analysten viel Zeit mit Routineoperationen, die notwendig und wichtig sind, aber automatisiert werden können. Durch die Automatisierung dieser manuellen Routineaufgaben können Unternehmen nicht nur die teure Arbeitszeit des Analysten sparen, sondern auch ihre Arbeitsbelastung reduzieren und sich auf die Analyse und Reaktion auf wirklich komplexe Vorfälle konzentrieren. EDRs bieten einen vollautomatisierten Workflow für das Incident Management, von der Erkennung von Bedrohungen bis hin zur Analyse und Reaktion. Auf diese Weise kann das SOC-Team die täglichen Aufgaben effizienter ausführen, ohne Zeit für manuelle Arbeit zu verschwenden, wodurch die Kosten für die Analyse unnötiger Protokolle gesenkt werden.
Schneller Zugriff auf Daten und deren visuelle Darstellung von Informationen
Unternehmen können auf einige Schwierigkeiten stoßen, die für eine Untersuchung erforderlichen Daten zu erhalten, z. B. die Unfähigkeit, schnell auf Workstations und Server mit einer verteilten Infrastruktur zuzugreifen, oder die Unfähigkeit, aufgrund ihrer Zerstörung oder Verschlüsselung von Daten durch Eindringlinge Kontextinformationen von bestimmten Computern abzurufen. Dies macht es natürlich unmöglich, die notwendigen Daten für einen effektiven Untersuchungsprozess und eine weitere Reaktion auf Vorfälle zu erhalten. Wenn der Vorfall bereits aufgetreten ist, werden durch den Einsatz der EDR-Technologie, einschließlich kontinuierlicher und zentraler Aufzeichnung, Rätselraten vermieden und Analystenzeit gespart.
Ein Angreifer zerstört oft seine Spuren, aber der EDR zeichnet, wie bereits erwähnt, jede angreifende Aktion auf. Die gesamte Ereigniskette wird aufgezeichnet und für die zukünftige Verwendung sicher gespeichert. Wenn eine Warnung jeglicher Art ausgelöst wird, bietet EDR ein praktisches Tool, mit dem SOC-Analysten schnell Informationen anfordern können, um nach Bedrohungen zu suchen, Fehlalarme zu beseitigen und retrospektive Daten erneut zu scannen, um die Effektivität der Untersuchung und Reaktion zu erhöhen.
Alle Aktionen auf den Hosts werden in Form eines Ereignisbaums in der Benutzeroberfläche dargestellt. Auf diese Weise können Analysten das gesamte Bild des Angriffs sehen sowie nach Informationen suchen, die sie zur Untersuchung benötigen, und operative Maßnahmen ergreifen, um die Bedrohung zu verhindern.
Die zentralisierte Speicherung von Telemetrie, Objekten und zuvor erstellten Urteilen ermöglicht es Analysten, im Rahmen einer Untersuchung von Bedrohungen, einschließlich Angriffen, die sich über einen längeren Zeitraum erstrecken, mit retrospektiven Daten zu arbeiten. EDR ist heute eine Quelle wertvoller Daten für den heutigen SOC.
Zentralisierte Antwort
Wenn ein Vorfall erkannt wird, bietet EDR erweiterte Optionen zum Ergreifen von Maßnahmen in verschiedenen Phasen seiner Untersuchung: Zum Beispiel Quarantäne einer Datei, Ausführen beliebiger Befehle auf einem Host, Löschen eines Objekts, Netzwerkisolierung von Hosts und andere Aktionen. Mit EDR können Sie sofort auf Vorfälle reagieren, indem Sie Informationen visuell präsentieren und zentralisierte Aufgaben festlegen. Dies erfordert keine Fahrten zum Tatort, um Beweise zu finden und Maßnahmen zu ergreifen. EDR ist ein Tool zur Optimierung der Arbeitskosten von SOC-Spezialisten. Unternehmen reduzieren die Anzahl der manuellen Routinevorgänge erheblich, sparen Zeit für SOC-Analysten und reduzieren die Reaktionszeit von Stunden auf Minuten.
Fazit
EDRs sind eine unschätzbare Datenquelle für SOCs. Sie bieten leistungsstarke Funktionen für die Bedrohungssuche und eine zentralisierte Reaktion auf Vorfälle und maximieren gleichzeitig die Automatisierung von Prozessen zum Sammeln, Analysieren und Reagieren auf erkannte Bedrohungen.
Durch die Verwendung von EDR innerhalb des SOC können Unternehmen:
- Steigerung der Effizienz der Verarbeitung komplexer Vorfälle aufgrund der zusätzlichen Sichtbarkeit der Endpunktebene, der Möglichkeit einer proaktiven Suche nach Bedrohungen und der visuellen Darstellung von Informationen über erkannte Ereignisse auf Hosts;
- Anreicherung des SOC mit vorverarbeiteten relevanten Daten von Workstations und Servern zum Vergleich mit Protokollen anderer Quellen für eine effektive Untersuchung;
- Reduzieren Sie die Anzahl der Stunden, die Analysten für langwierige, aber notwendige Aufgaben im Zusammenhang mit der Analyse von Daten von Workstations und Servern sowie der Reaktion auf Vorfälle aufwenden, erheblich.