Incident Response
IBM Security X-Force setzt auf Cortex von Palo Alto Networks
Palo Alto Networks und IBM für verbesserte Incident Response
Jeden Tag arbeitet IBM Security X-Force mit Unternehmen zusammen, um Cyberangriffe zu verhindern, zu erkennen, darauf zu reagieren und betroffene Umgebungen zu sanieren. Die Wahl der richtigen Sicherheitstools ist entscheidend dafür, dass die Teammitglieder konzentriert und produktiv arbeiten und bereit sind zu reagieren, wenn Ransomware, Datenschutzverletzungen und andere Cyberbedrohungen die Kunden gefährden. X-Force ist eine Partnerschaft mit Palo Alto Networks eingegangen, um seine bestehenden, branchenführenden Funktionen durch das Cortex-Produktportfolio zu ergänzen. Dadurch erhalten Unternehmen einen vollständigen, präzisen und umsetzbaren Überblick über die sich schnell verändernden und zunehmend datenreichen IR-Umgebungen von heute.
Gemeinsam bieten Palo Alto Networks und X-Force einen wichtigen Vorteil, wenn es darum geht, wo und wie die IR-Ressourcen eingesetzt werden sollen. Die Zeit bis zu verwertbaren Erkenntnissen verkürzt sich und damit auch die Zeit zur Eindämmung und Behebung eines Vorfalls. Mit Cortex können die Analysten von X-Force Bedrohungen schneller verifizieren und untersuchen sowie effektivere Reaktionen auf Cyberangriffe konzipieren. Durch die Kombination von Spitzentechnologie mit einem der besten Incident-Response-Teams der Branche ermöglicht X-Force vielen Unternehmen, den immer raffinierteren und hartnäckigeren Bedrohungen von heute einen Schritt voraus zu sein.
Ransomware ist real – Unternehmen zahlen den Preis
Incident Response, also die Reaktion auf Sicherheitsvorfälle, war schon immer eine Kernkompetenz des X-Force-Teams. Heutzutage ist es immer wahrscheinlicher, dass Ransomware-Angriffe und andere Bedrohungen reale Geschäftsabläufe beeinträchtigen. Die Angriffe sind besonders kritisch, da sie Lieferketten unterbrechen, Vertriebs- und Transportnetzwerke ins Chaos stürzen und das Markenimage und die Kundenbeziehungen eines Unternehmens schädigen.
Diese Arten von Auswirkungen in der realen Welt bedeuten, dass IR zu einer geschäftskritischen Disziplin geworden ist, die wenig bis keinen Raum für Fehler lässt. Die Responder stehen unter dem Druck, schnell zu handeln, das Chaos und die Komplexität eines typischen Angriffs zu durchdringen und wichtige Entscheidungen darüber zu treffen, wo und wie sie ihre Bemühungen konzentrieren sollen.
Endpoint Detection and Response (EDR)-Lösungen sind seit langem ein wichtiger Bestandteil des Software-Stacks. X-Force und andere IR-Teams setzen EDR ein, um Ransomware und andere Arten von Cyberangriffen zu identifizieren, zu bewerten und darauf zu reagieren. Leider haben es IR-Teams auch mit immer mehr Situationen zu tun, in denen sie mit herkömmlichen EDR-Tools nicht das bekommen, was sie brauchen. Ein neuer IR-Ansatz ist erforderlich, damit Unternehmen besser vorbereitet sind und mit der sich schnell verändernden Bedrohungslandschaft Schritt halten können.
Drei Gründe, warum herkömmliche EDR ins Hintertreffen gerät
Es gibt drei Bereiche, in denen frühere Ansätze zur Nutzung von EDR problematisch waren:
- Konzentration auf zukunftsorientierte Datenquellen: Herkömmliche EDR-Tools sind in erster Linie darauf ausgelegt, Sicherheitstelemetrie in Echtzeit zu erfassen und die Daten den IR-Teams zur Verfügung zu stellen. Sie eignen sich weniger für die Integration historischer Telemetriedaten, die vor der Installation des Tools generiert wurden. Diese rückwärtsgerichteten Daten können jedoch für das Verständnis des Umfangs und der Auswirkungen eines Angriffs sowie für das Verständnis aktueller Sicherheitsschwachstellen entscheidend sein.
- Unfähigkeit, über den Endpunkt hinauszublicken: Während die Endpunkt-Telemetrie eine wichtige IR-Ressource ist, ist es oft genauso wichtig, externe Datenquellen zu betrachten – Cloud-Protokolle, Firewall-Daten und Authentifizierungsdaten. Den meisten EDR-Tools fehlt jedoch die Fähigkeit, diese wertvollen Kontextdaten zu integrieren oder zu bewerten.
- Unnötige Komplexität: IR-Teams versuchen oft, diese blinden Flecken bei der Analyse mit einem Flickenteppich von Lösungen zu füllen, darunter EDR-Tools, benutzerdefinierte Skripte und Protokoll-Aggregations-Tools. Dieser Ansatz kann die Arbeit eines IR-Teams weitaus komplizierter machen als nötig, was zu vermeidbaren Fehlern führt.
Cortex: Entwickelt für die Reaktion auf Vorfälle
X-Force brauchte einen einfachen und nachhaltigen Weg, um diese Herausforderungen zu meistern und seine IR-Fähigkeiten zu verbessern. Die Cortex-Plattform bot eine ideale Lösung, die auf einer Reihe von Schlüsselfunktionen basiert:
- Erweiterung und Anpassung an ein breites Spektrum von Datenquellen: Cortex eignet sich hervorragend zum Sammeln und Integrieren von Sicherheitsdaten aus beliebigen Quellen (vom Endpunkt bis zum Rechenzentrum sowie Telemetrie aus der Cloud). Außerdem können IR-Teams kritische Sicherheitsdaten sammeln, bevor die Plattform in den Technologie-Stack integriert wurde. Dadurch erhalten die Analysten ein vollständigeres Bild der Landschaft. Cortex XDR geht über EDR hinaus, denn es ist erweiterbar und bezieht Netzwerk-, Cloud-, Endpunkt- und Drittanbieterdaten mit ein.
- Ermöglicht einen einfacheren, rationalisierten IR-Prozess: X-Force-Analysten nutzen Cortex, um Daten zu sammeln und zu analysieren, für die sie zuvor mit verschiedenen Tools arbeiten mussten, und integrieren und präsentieren datengestützte Erkenntnisse auf einer einzigen Oberfläche.
- Analysten können sich auf die wichtigen Dinge konzentrieren: Cortex unterstützt die „taktische Automatisierung“, indem es eine Vielzahl von Routineaufgaben der Datenerfassung und -verdichtung übernimmt. Dadurch können sich die Analysten auf hochwertige Bewertungs- und Analysetätigkeiten konzentrieren.
- Komplexität und Ineffizienz werden durchbrochen: Da die X-Force-Analysten einen Großteil ihrer Arbeit mit einem einzigen Tool erledigen können, ermöglicht Cortex einen einfacheren und zuverlässigeren IR-Workflow. Dies gibt den Analysten weniger Möglichkeiten, vermeidbare Fehler zu machen.
Erfolg messen: Wie Cortex einen Mehrwert für IBM X-Force schafft
Durch einfachere und schnellere IR-Vorgänge ist Cortex in der Lage, zwei wichtige X-Force-Kennzahlen zur Cybersicherheit zu verbessern: die mittlere Zeit bis zur Entdeckung (MTTD) und die mittlere Zeit bis zur Wiederherstellung (MTTR). Das X-Force-Team betrachtet jedoch auch zwei weitere Kennzahlen, die beide wertvolle Einblicke bieten, die für das Verständnis von Angriffen und die Reaktion darauf unerlässlich sind.
Erstens prüft X-Force die Fähigkeit, die wertvollsten Datenquellen zu identifizieren, um einen Angriff zu verstehen und darauf zu reagieren. Cortex zielt darauf ab, das Rauschen zu durchbrechen, so dass sich die IR-Teams auf die wichtigsten Daten konzentrieren können, bei denen die Wahrscheinlichkeit bösartiger Aktivitäten hoch ist.
Darüber hinaus misst X-Force die Fähigkeit, die geschäftlichen Auswirkungen eines Angriffs zu minimieren. Diese Metrik ist entscheidend, um eine proaktive Ressource für Kunden zu sein. Sie verhindert den Schaden eines Cyberangriffs, anstatt nur die Folgen zu beseitigen.
X-Force sichert seine Zukunft mit Cortex
Es ist allen Beteiligten klar, dass es unmöglich ist, sämtliche Bedrohungen auszurotten und Vorfälle zu verhindern. Durch die Einführung von Cortex können die erfahrenen Experten von X-Force jedoch ein einzigartiges und leistungsstarkes Technologie-Toolset nutzen, das die Messlatte für erstklassige Cybersicherheitsleistungen höher legt und es den Kunden ermöglicht, neuen Sicherheitsbedrohungen immer einen Schritt voraus zu sein.
Als eines der fähigsten Cybersicherheitsunternehmen der Branche besteht das X-Force-Team aus Hackern, Respondern, Forschern und Analysten, die allesamt Top-Experten auf ihrem jeweiligen Gebiet sind. Diese Experten wissen, wie Angreifer denken und handeln, und ihre Erfahrung verschafft X-Force einen strategischen Vorteil bei der Vorbereitung auf Vorfälle, der Erkennung und Reaktion darauf sowie bei Krisenmanagementlösungen. Palo Alto Networks Cortex hat bereits bewiesen, dass es IBM Security X-Force hilft, all diese Ziele zu erreichen, indem es einen messbaren Vorteil für die IR-Leistung des Teams schafft.