Anzeige: RSA NetWitness Suite® - SIEM mit Geschäftsbezug

Von Cyber-Security zu Business-Security

16. Dezember 2020, 10:00 Uhr   |  Wolfgang Rieger, Senior Business Development Manager bei Tech Data

Von Cyber-Security zu Business-Security
© Wolfgang Traub

SIEM-Systeme fokussieren sich typischerweise auf Log-Daten als einzige Informationsquelle. Auch wenn damit protokolltechnisch alles Wesentliche aus dem Geschehen im Netzwerk erfasst ist – für die Abwehr moderner Cyber-Angriffe ist dieses Vorgehen unzureichend. Wegen einer fehlenden Gesamtsicht, die alle Security-Instanzen in ihre Analysen mit einbezieht, werden Angriffe erst viel zu spät erkannt. Einzelne Anomalitäten führen wegen fehlender Querbezüge zur genaueren Einordnung zu häufigen Fehlalarmen. Das stiehlt dem Security-Team unnötig die Zeit. Die RSA NetWitness Suite® dockt sich an zahlreichen weiteren Informationsquellen an. Sie bringt so schnelle und präzise Erkenntnisse zu Angriffen. Zusätzlich qualifiziert sie diese Angriffe durch Einbezug von Business-Kontext hinsichtlich der Gefahr fürs Unternehmen.

Vom erfolgreichen Angriff bis zur Kompromittierung eines IT-Netzwerks dauert es meist nur wenige Minuten. Bis das Unternehmen aber merkt, dass irgendetwas im Netzwerk nicht stimmt, vergeht laut einer Untersuchung des Ponemon-Instituts (1) gut ein halbes Jahr (197 Tage). Aber auch dann ist das Problem noch längst nicht behoben. Bis Unternehmen ihre IT wieder bereinigt haben, dauert es nach der erwähnten Untersuchung weitere gut zwei Monate (67 Tage). Fast ein dreiviertel Jahr lang kann die mit dem Angriff eingeschleuste Schadsoftware also ungehindert Systeme manipulieren, Daten abgreifen oder anderweitig Schaden anrichten.

Starke Bedrohung gegen geschwächte Verteidigung

Warum ist es so schwierig, Bedrohungen schnell zu erkennen? Ein Hauptgrund ist sicher die deutlich veränderte Situation in der IT – und damit einhergehend – die Veränderung in der Bedrohungslandschaft.

Ein kostenfreies Web-Seminar der LANline zum Thema findet am 28.01.2021 um 10:00 statt. Alle Informationen gibt es hier: https://weka-online-campus.de/event/web-seminar/rsa-securid-im-praxiseinsatz-zentrales-iam-system/

So werden heute einerseits neue Applikationen schneller als je zuvor eingerichtet. Andererseits haben sich die Angreifer massiv weiterentwickelt. So gibt es heute beispielsweise Angriffe als „Fraud-as-a-Service“ oder „Phishing-as-a-Service“ vom Crime-Dienstleister des Vertrauens. Angriffe selbst werden sehr zielgerichtet und über mehrere Vektoren gleichzeitig ausgeführt.

Dem gegenüber stehen ausgedünnte und mangels Budget kaum weitergebildete Security-Mannschaften, die eine historisch gewachsene Silo-Landschaft von Security-Controls zur Verfügung haben. Sie werden von einer großen Anzahl von Fehlalarmen aus jeder Richtung – Firewall, Datenbank, Endpoint-Security etc. – bombardiert, was ihren Job in letzter Konsequenz nahezu undurchführbar macht und im Grunde ad absurdum führt. Erschwerend hinzu kommt, dass viele dieser Controls statisch angelegt sind, also ausschließlich auf dem Vergleich mit bekannten Signaturen und Verhaltensweise basieren. Interne Bedrohungen werden mit diesen Mitteln so gut wie nie erkannt. Jüngere Anstrengungen, das Verhalten der Nutzer dynamisch in die Bedrohungsermittlung einzubeziehen – etwa durch UEBA (User and Entity Behavior Analytics) gehen in die richtige Richtung, werden jedoch nur selten flächendeckend eingesetzt.

Die RSA NetWitness Suite® begegnet dieser Situation mit drei entscheidenden Eigenschaften: Umfassende Sicht auf die Bedrohungslandschaften, Erkennen früher Bedrohungsindikatoren und automatische, beziehungsweise systematische Behebung der Bedrohung.

Umfassende Sicht auf die Bedrohungslage

Umfassende Sicht gewinnt der Security-Analyst, da NetWitness® nicht nur die üblichen Log-Daten aus den Security-Controls und Betriebssystem- und Anwendungs-Logs für seine Analysen heranzieht. Vielmehr hat das System auch Zugriff auf NetFlows, was tiefe Einblicke in die Vorgänge direkt im Netzwerk erlaubt. Über Deep Paket Inspection im Datenfluss auf der Netzwerk-Session-Ebene lassen sich Vorgänge in Echtzeit erkennen, umfassender als dies Intrusion Prevention Systeme (IPS) bieten können. Darüber hinaus nutzt das System auch Informationen aus den Endpoints und deren Betriebssystemen, untersucht diese nach Auffälligkeiten und meldet sie an die „NetWitness®-Zentrale“. Einen weiteren Security-Block bildet die in nahezu jedem Security-Gewerk vorhandene Threat Intelligence, wo bekannte Ereignisse und Bedrohungen gesammelt werden. Das ist zwar technologisch nicht besonders anspruchsvoll, verhindert aber, dass der gleiche Fehler zweimal das Netzwerk bedroht.

So hat NetWitness® für die Suche nach aktiven Exploits die gesamte Infrastruktur im Blick, anstatt eben nur die klassischen SIEM-Log-Daten. Das ist wichtig, denn Angreifer haben gelernt, sich unauffällig zu verhalten und ihre Aktivitäten zu verschleiern. Durch die Gesamtsicht lassen sich auch Aktivitäten als Risiko identifizieren, die bei den üblichen, fragmentierten Analysen als völlig unbedenklich durchgingen. Das Geheimnis hinter den umfangreichen Fähigkeiten von NetWitness® ist die automatische Anreicherung von Event-Informationen aus den überwachten Systemen um die entsprechenden Metadaten. Mit dieser Fähigkeit macht das System aus unübersichtlichen Rohdaten aussagekräftige und leicht verständliche Informationen. Die NetWitness Suite® unterstützt die Security-Verantwortlichen zusätzlich durch Verhaltensanalyse und maschinellem Lernen, um Indikatoren zu korrelieren. In Verbindung mit der Nutzung aller verfügbaren Metadaten ist das bislang einzigartig.

Das Sahnehäubchen bildet die Einfügung von Business-Kontext in die Analysedaten, über den sich das effektive Schadpotenzial für das Business in Form eines Risiko-Scores bewerten lässt. Menschliches Eingreifen lässt sich so auf Fälle beschränken, die tatsächlich relevant sind und eine echte Bedrohung für das Geschäft darstellen. Das ist eine erhebliche Entlastung für das SOC-Team (Security Operations Center), das ansonsten oft stark überlastet ist, da es Massen irrelevanter Alarme verfolgen muss. Insgesamt erfüllt die RSA NetWitness Suite® damit alle Anforderungen, die Gartner für die Sichtbarkeit von Bedrohungen in einem SOC definiert hat. Hier sind neben SIEM/UEBA auch Network Detection and Response (NDR) und Endpoint Detection and Response (EDR) als unabdingbare Komponenten aufgeführt (2). NetWitness® bietet alle drei Bereiche unter einer einheitlichen Nutzeroberfläche und auf Basis eines gemeinsamen Datenmodells.

Seite 1 von 3

1. Von Cyber-Security zu Business-Security
2. Früherkennung von Bedrohungsindikatoren
3. Tech Data

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Tech Data GmbH & Co. OHG, RSA Security GmbH

RSA

Sicherheit