KI - NDR
Kontrolle über seitliche Netzwerkbewegungen: MPAC setzt auf Vectra AI
Überblick über seitliche Bewegungen innerhalb der Unternehmensumgebung mit KI-basierte NDR-Lösung von Vectra
Die Vorteile der Cloud sind scheinbar endlos, aber aus der Sicht eines Sicherheitsexperten betrachtet, können die Geschwindigkeit, der Umfang und die gewonnene Konnektivität auch die Tür für Cyberangreifer öffnen. Heutzutage erfordert die Absicherung der Cloud eine neue Denkweise, was für Mirza Baig, IT-Security Manager bei der Municipal Property Assessment Corporation (MPAC) keine Überraschung ist. MPAC bietet Expertise im Bereich Immobilien, um Steuerzahlern, Gemeinden, Behörden und Unternehmen Immobilienwerte, Einblicke und Dienstleistungen zur Verfügung stellen.
Baig und sein kleines, aber schlagkräftiges Team arbeiten als Amazon Web Services (AWS)-Shop, der für die Sicherung der Informationen, Daten und Domains der Unternehmen aus betrieblicher Sicht sowie im Hinblick auf Compliance und Risikomanagement verantwortlich ist. Das Team legt großen Wert auf Sichtbarkeit in ihrer Umgebung, indem es verschiedene Sicherheitskontrollen einsetzt, um Anomalien im Auge zu behalten. Deshalb entschied sich das Team für die KI-basierte NDR-Lösung von Vectra AI (Network Detection & Response).
Seitwärtsbewegungen verhindern
Als IT-Sicherheitsveteran, der aber erst seit kurzem bei MPAC arbeitet, musste Baig sich einen Überblick über die Sicherheitslösungen verschaffen, die das Unternehmen einsetzt. Er stellte erfreut fest, dass das Team der Beseitigung blinder Flecken bereits Priorität eingeräumt hatte, was der Schlüssel zur Erkennung von Angreifern ist. Eine der Lösungen, die das Team bereits im Einsatz hatte, ist Vectra Cognito Detect, eine KI-gesteuerte Netzwerkerkennungs- und Reaktionslösung. Diese hilft MPAC unter anderem dabei, alle seitlichen Bewegungen über Cloud- oder Unternehmens-Workloads zu stoppen.
„Der blinde Fleck, den MPAC vor Vectra hatte, waren die seitlichen Bewegungen innerhalb der Umgebung, da keine gute Sichtbarkeit gegeben war“, erklärt Baig. Cognito Detect ist in der Lage, Angreifer zu identifizieren, die präventive Tools wie Multi-Faktor-Authentifizierung (MFA) oder Endpunktlösungen umgangen haben, und ihre Aktivitäten zu erkennen, bevor ein Angriff erfolgt. Baig fügt hinzu: „Heute sind wir uns dessen bewusst und haben eine wirklich gute Sichtbarkeit.“
Neben der Erkennung von Seitwärtsbewegungen ermöglicht Cognito Detect von Vectra AI dem SOC (Security Operations Center) von MPAC, seine Fähigkeiten mit künstlicher Intelligenz (KI) zu erweitern. Damit ist es möglich, die Priorisierung von Bedrohungen auf der Grundlage von Risiken und Berechtigungen zu automatisieren, die risikoreichsten Bedrohungen zu priorisieren und verhaltensbasierte Bedrohungssignale zu untersuchen.
Baig sagt, dass es neben Vectra AI noch andere Sicherheitskontrollen gibt, die das Eindringen von Bedrohungen sehr schwierig machen, aber das Team schätzt die Untersuchungsfunktionen, die Cognito im Vergleich zu anderen Lösungen bietet. „Vectra macht die Untersuchung einfach und hat in diesem Bereich einen Vorsprung gegenüber der Konkurrenz“, fügt er hinzu.
Kleines Unternehmen, Cloud-Nutzung im großen Stil
MPAC hat – für ein kleines Unternehmen – AWS zu einem wichtigen Bestandteil der gesamten Infrastrukturstrategie gemacht. Das Team ist dabei nicht bereit, die Sichtbarkeit in der gesamten Umgebung zu opfern – weder in AWS noch anderweitig, wenn MPAC weiterhin Cloud-Workloads bereitstellt. „Wir sind ein AWS-Shop“, sagt Baig. „Mit AWS VPC Traffic Mirroring bietet uns Vectra volle Transparenz für unsere Nitro-basierten Instanzen.“
„Manchmal haben wir anomale Aktivitäten innerhalb von AWS oder unserer Infrastruktur, und Vectra schlägt bei diesen Aktivitäten Alarm“, so der IT-Sicherheitsmanager. Er erklärt, dass nicht alle Erkennungen bedeuten, dass etwas Bösartiges passiert ist, aber sein SOC-Team muss trotzdem darüber informiert werden. „Dies ist zum Beispiel der Fall, wenn ein Entwickler ein Update durchführt oder etwas ändert, das Auswirkungen auf die Sicherheit haben könnte. Wenn dies der Fall ist, muss mein Team Bescheid wissen, falls Sicherheitskontrollen angepasst werden müssen.“
Das Team wird nicht nur auf dem Laufenden gehalten, sondern es handelt sich auch um Vorfälle, die sonst unentdeckt bleiben würden und sogar das Verhalten von Angreifern beinhalten könnten. Mit Vectra können Baig und sein Team mehr von dem erkennen, was wichtig ist, ihre Reichweite als Team mit Hilfe von KI erweitern und auf alle auftretenden Bedrohungen reagieren.
Ob Cloud oder On-Premises – mit Sichtbarkeit kann jeder Ort ein besserer Ort sein
Natürlich können neue Technologieumgebungen Herausforderungen mit sich bringen, insbesondere für Sicherheitsexperten, die damit beschäftigt sind, Alarme zu sichten und sich ständig an neue oder bestehende Bedrohungen anzupassen. Das SOC-Team bei MPAC ist da nicht anders. Durch den Einsatz der richtigen Sicherheitslösungen und -kontrollen fühlt sich das Team offensichtlich sicher – und zufrieden. „Unser gesamtes Team ist begeistert“, bestätigt Mirza Baig.
