Sicherheitsstrategie
Mehr Sicherheit: Endpunkte und Netzwerke über künstliche Intelligenz verbinden
Cyberangriffe schneller stoppen
Viele Sicherheitsteams sind mit der Menge und Vielfalt an digitalen Bedrohungen überfordert. Die Bedrohungen sind zunehmend raffinierter und schädlicher. Security Operations Centers (SOCs) in den Unternehmen sind damit beschäftigt, die Vorfälle zu untersuchen. Soweit die Lage. Vectra rät vor diesem Hintergrund zur Integration von Endpunkt- und Netzwerksicherheit.
Netzwerksicherheits-Tools bieten einen genauen Überblick, was in einem Unternehmensnetzwerk vor sich geht, von der Benutzerebene über das Rechenzentrum vor Ort bis hin zur Cloud – und über alle Arten von Geräten hinweg, einschließlich Komponenten des Internets der Dinge. Die Endpunktsicherheit blickt hinein in das, was in Cloud-Workloads, Servern und auf Laptops passiert. Endpunkt- und Netzwerksicherheits-Tools haben jeweils ihre eigene Sicht auf die Dinge. Wenn diese beiden Perspektiven zusammengefasst werden, können Security-Teams die Bedrohungen schneller erkennen und stoppen.
Die erforderlichen Informationen liefern Viewpoints, also „Sichtpunkte“ im Netzwerk bzw. an den Endpunkten. Beispielsweise wird an einem Netzwerk-Sichtpunkt sichtbar, dass ein Tunnel einem System außerhalb des Netzwerks ermöglicht, ein System im Netzwerk zu steuern. Der Endpunkt-Sichtpunkt kann erkennbar machen, ob der Prozess, der diesen Verkehr erzeugt, ein RAT (Remote Access Tool), Teamviewer oder etwas Anderes ist. Durch die Kombination der beiden Perspektiven können Bedrohungen schnell erkannt, validiert und behoben werden.
Entscheidend: Wie stark integriert sind die Tools?
„Die Integration von Endpunkt- und Netzwerksicherheits-Tools hat das Potenzial, die Gesamtbetriebskosten für Sicherheitslösungen zu reduzieren und eine bessere Bedrohungserkennung und automatisierte Sanierung zu gewährleisten“, schrieb Gartner-Analyst Peter Firstbrook im Forschungsbeitrag „How to Decide Whether Endpoint and Network Security Integration Is a Feature or a Fad“, veröffentlicht am 29. Juni 2017 (ID: G00321058).
Die tatsächliche Wirksamkeit hängt jedoch von der Integrationsstufe ab. Gartner identifiziert fünf Ebenen der Integration: Packaging (Level 1), Management (Level 2), Threat Intelligence (Level 3), Alert Resolution (Level 4) und Action-oriented (Level 5).
Die meisten Lösungen sind nur auf dem Packaging- oder Threat-Sharing-Level integriert; wenige sind in der Policy-Ebene hinreichend integriert, um die Sicherheitsposition basierend auf Kontext zu ändern. Infolgedessen liefert die Integration noch nicht eine bessere Sicherheit durch ein optimales Zusammenspiel
Robuste REST API für Vectra Cognito
Vectra , spezialisiert auf die automatisierte Erkennung bereits stattfindender Cyberangriffe mittels künstlicher Intelligenz, ist von der hohen Effektivität der Integration von Endpunkt- und Netzwerksicherheit überzeugt. Sicherheitsteams können den kombinierten Kontext sowohl bei der Erkennung im Netzwerk als auch am Endpunkt sehen, so dass sie schnell reagieren können. Durch gezielte Eingriffe können die bisherigen Folgen von Cyberattacken behoben werden und es kann verhindert werden, dass die Angreifer erfolgreich sind und es zu Datenverlust kommt.
Eine robuste REST API dient als Basis für Vectra Cognito, ein Sicherheitsanalyst in Form von Software. Die Vectra API ermöglicht die Integration mit vielen Endpoint-Security-Tools und praktisch jeder anderen Sicherheitslösung. Vectra Cognito integriert sich noch enger mit der Endpunktsicherheitsplattform Carbon Black . Vectra kann automatisch Kontext über einen Endpunkt mit Carbon Black importieren. Mit einem einzigen Klick kann ein Sicherheitsadministrator dann von der Vectra UI zu Carbon Black Cb Response, ein EDR-Tool (Endpoint Detection and Response), wechseln. Damit lässt sich eine Bedrohung weiter untersuchen, ein Host isolieren oder Prozesse stoppen.
HBO Latin America ist ein Unternehmen, das die Vorteile der Integration von Vectra und Carbon Black erkannt hat. „In der Vergangenheit war es sehr schwierig, die Punkte zwischen Netzwerkverhalten, Hostverhalten und Ereignisprotokollen zu verbinden“, erklärt Albert Caballero, CISO bei HBO Latin America.
HBO Latin America nutzt Vectra Cognito, um basierend auf Netzwerkangriffsverhalten automatisch Endpunkte in Quarantäne zu setzen.
„Eine digitale Untersuchung erfordert Informationen darüber, was auf dem Host geschieht, der als kompromittiert gilt, und es sind Protokolle nötig, um ihn zu schützen. Diese drei Dinge sind wichtig, um ein vollständiges Bild von dem zu erhalten, was passiert“, so Caballero.