Cato beschleunigt Einführung von MDR
Schnell zu Erkenntnissen über Bedrohungen
Cato Networks, Anbieter einer globalen SASE-Plattform (Secure Access Service Edge), hat mit Cato MDR 2.0 einen MDR-Service (Managed Detection and Response) vorgestellt, der Bedrohungen und Schwachstellen laut Anbieterangaben schon sofort ab der Bereitstellung identifiziert – also ohne Baselining-Zeitspanne. Ergänzend gibt es eine automatisierte Sicherheitsbewertung von mehr als 70 Sicherheits-Best-Practices und eine dedizierte Security-Fachkraft für jedes MDR-Anwenderunternehmen.
Die Firewall alleine tut es schon längst nicht mehr, da ist man sich in der IT-Security-Branche einig – und die anhaltende Welle von Angriffen mittels Ransomware & Co. gibt den Security-Skeptikern immer wieder auf bedrückende Weise recht. Gefordert ist deshalb eine mehrschichtige Verteidigung („Defense in Depth“) mit wirkungsvollen – und das heißt heute häufig: KI/ML-gestützten (künstliche Intelligenz, maschinelles Lernen) – Präventions-, Erkennungs- und Abwehrfunktionen. Dies aber ist mit hohen Investitionen in Personal, Schulung und Technik verbunden. Das US-Analystenhaus Gartner geht deshalb davon aus, dass MDR-Services künftig zunehmend gefragt sein werden, um diese Security-Lücke zu schließen. Laut Gartners Prognose („Market Guide for Managed Detection and Response Services“, August 2020) wird 2025 die Hälfte der Unternehmen MDR-Services für die Überwachung, Erkennung und Reaktion auf Bedrohungen nutzen.
Das Problem: Bei den heutigen ML-gestützten MDR-Diensten müssen Unternehmen häufig Wochen oder gar Monate warten, bis es für das Unternehmensnetzwerk eine Baseline gibt, auf deren Basis der MDR-Dienst aussagekräftige Ergebnisse liefern kann. Catos neuer Service MDR 2.0 hingegen soll derlei Hürden dank der Leistungsfähigkeit der hauseigenen SASE-Plattform überflüssig machen: Damit, so der israelische Anbieter, entfalle die für MDR-Services typische Einführungszeit.
Cato hat laut eigenem Bekunden unternehmensübergreifende Baselines für „normales“ Netzwerkverhalten erstellt. Denn als Provider einer Netzwerk- und Sicherheitsplattform für Unternehmen habe man tiefen Einblick in die Verkehrsmuster der Unternehmen. Dabei speichere Cato die Metadaten für jede IP-Adresse, jede Sitzung und jeden Datenfluss, der das globale Backbone von Cato durchquert, in einem riesigen Data Warehouse. Dieses kombiniere man mit dem Cato Threat Hunting System (CTHS), einer Reihe von ML-Algorithmen und -Verfahren, die Catos Research Labs entwickelt haben.
CTHS untersuche den Datenverkehr kontinuierlich auf Netzwerkattribute, die auf Bedrohungen hinweisen. Das erlaube die Erstellung von Histogrammen (grafische Darstellung von Häufigkeiten) des normalen Netzwerkverhaltens, abgeleitet aus Daten zu Tausenden Netzwerken und Hunderttausenden Remote-Benutzern weltweit, so Cato.
Auf Rückfrage der LANline, welche Garantien oder SLAs (Service Level Agreements) Cato für die Zuverlässigkeit der ohne Baseline erbrachten MDR-Alarme gebe, sagte Eyal Webber-Zvik, Catos VP of Product Marketing: „Soweit ich weiß, bietet kein MDR-Dienst SLAs für Genauigkeit und Zuverlässigkeit an. Wir sind jedoch in der Lage, Fehlalarme zu messen und unsere Algorithmen für maschinelles Lernen weiter zu trainieren, um ihre Erkennungsraten zu verbessern. Tatsächlich ist die Veröffentlichung von MDR 2.0 das direkte Ergebnis von ML-Training, das zur Abschaffung des Baseline-Zeitraums geführt hat.“
Ergänzend zum MDR-Service bietet Cato eine automatische Sicherheitsbewertung. Das Anwenderunternehmen erfahre sofort, wie seine Netzwerksicherheit im Vergleich zu weltweit implementierten Sicherheitsmaßnahmen und Best Practices abschneidet. Zu den geprüften Punkten zählen laut den Israelis die ordnungsgemäße Konfiguration der Netzwerksegmentierung, Firewall-Regeln und Sicherheitskontrollen wie IPS und Anti-Malware. Die 70-Punkte-Checkliste sei von den Praktiken der „besten“ Unternehmen auf Catos Infrastruktur abgeleitet und vermeide damit die größten Fehler der am schlechtesten aufgestellten Unternehmen.
Um den Support für MDR-Kunden zu verbessern, weise man jedem Anwenderunternehmen einen dedizierten Sicherheitsexperten (DSE) zu. Der DSE fungiere als zentrale Anlaufstelle und Sicherheitsberater des Unternehmens. Zum Beispiel könne ein DSE Bedrohungsabfragen optimieren, um die Erkennung speziell für die Unternehmensumgebung zu verbessern, zum Beispiel durch das Sammeln spezifischer Netzwerkinformationen zum Schutz bestimmter wertvoller Anlagen.
Zur Frage der LANline, ob beziehungsweise wann es deutschsprachige DSEs gibt, die aus der hiesigen Zeitzone agieren, erklärte Webber-Zvik: „Das hängt von der Nachfrage ab. Derzeit gibt es keine deutschsprachigen DSEs, aber wir haben unser SOC in der EU-Zeitzone und natürlich ein lokales deutschsprachiges Kundenteam.“
Lizenziert wird der MDR-Service laut dem Cato-Marketier nach Bandbreite für die Standorte und pro Nutzer. 24/7-Support sei inbegriffen.
Lesen Sie mehr zum Thema
