Sand im Getriebe: Wie Sie es vermeiden, in der SIEM Einführungs-Phase stecken zu bleiben

Best Practices

Tatsächlich sind die Einführung und die Verwendung von Response-Tools zur Verringerung des Aufwands ein wichtiges Thema für Unternehmen.

Daher präsentieren wir diesen Artikel von empow, der beschreibt, wie Einführung, Response und XDR zusammenhängen.

Wie man mit Response-Tools vermeidet, in der Einführung-Phase stecken zu bleiben

Response ist alles, worüber jeder in der Cybersecurity und SIEM Community in diesen Tagen zu reden scheint, insbesondere automatisierte Response. Security Orchestration, Automation, and Response (SOAR) Tools werden von Security Information and Event Management (SIEM) Anbietern aufgekauft, während Extended Detection and Response (XDR) Lösungen wie Pilze nach dem Regen aus dem Boden schießen

Und was ist mit XDR? Entwickelt es sich tatsächlich zur besten Wahl für automatisierte Reaktionen? Die Anbieter scheinen heute viel zu versprechen, aber wenig zu leisten und keine innovative Technologie zu bieten.

Der Einführung-Engpass bei Response-Tools
Sicherheitsexperten wurden hierzu befragt, wie lange sie typischerweise brauchen, um eine Einführung durchzuführen. Über 50 Prozent der Befragten gaben an, dass sie dafür mehr als 4 Monate benötigen, und nur 6 Prozent waren in der Lage, dies in weniger als einem Monat zu tun. Wie kann das sein in der heutigen Zeit?

Der Fehler liegt in der Art und Weise, wie Anbieter an Response-Playbooks herangehen. Ein vordefiniertes Playbook muss vom SOC-Team entsprechend den Bedürfnissen und Anforderungen des Unternehmens angepasst werden. Es ist ein Kochbuch mit expliziten Richtungen und statischen Anweisungen, das versucht, Best Practices zu definieren. Diese Aufgabe kann nur von qualifizierten Cybersecurity-Spezialisten erfolgreich durchgeführt werden, die sich auf Cyber-Bedrohungen und Incident Response spezialisiert haben und auch mit der Netzwerktopologie und den Richtlinien ihrer Organisation vertraut sind. Der Mangel an qualifizierten und auch bezahlbaren Sicherheitsanalysten auf dem Markt und die Komplexität dieser Aufgabe bedeuten, dass selbst wenn Sie das beste Reaktionstool auf dem Markt kaufen, es Monate dauern wird, bis Sie einen echten Nutzen daraus ziehen können.

Und nicht nur das: Jedes Mal, wenn Sie ein neues Tool (E-Mail-Schutz, EDR, TI usw.) integrieren oder die Playbook-Richtlinie aktualisieren müssen, um zusätzliche Anwendungsfälle zu unterstützen, fängt alles wieder von vorne an – Konfiguration, manuelles Schreiben von Playbooks … und so weiter. Das ist wie Laufen im Sand – sehr ermüdend und macht keinen Spaß.

Die Welt der Cybersicherheit ist extrem dynamisch. Jeder – und jedes System – das sich auf statische Playbooks verlässt, wird wahrscheinlich zurückbleiben und versuchen, den Schaden zu beseitigen, nachdem ein Cyberangriff bereits stattgefunden hat. In allen Phasen der Cyber-Kette – von der Erkennung über die Priorisierung, die Untersuchung bis hin zur Schadensbegrenzung, der Behebung und der Dokumentation des gesamten Prozesses – sollte, wo immer möglich, proaktiv vorgegangen werden. Der einzige Weg, diesen nie endenden Kampf zu gewinnen, ist eine dynamische und flexible Cybersicherheitsplattform.

Was Sie XDR-Anbieter fragen sollten

Bei der Auswahl einer XDR-Lösung sollten Sie vor allem darauf achten, dass die versprochene Automatisierung nicht nur eine Neupositionierung bestehender Technologie ist, sondern Funktionen mit Substanz, die schnell, effektiv und autonom arbeiten können. Hier sind einige Fragen, die Ihnen helfen können, XDR-Tools und -Anbieter besser zu beurteilen:

• Wie lange brauchen Unternehmen in der Regel, um das Response-Tool zu aktivieren?
• Wie viel manuelle Konfiguration ist von Seiten des Analysten erforderlich, um das Response-Tool zu aktivieren?
• Wie viel Zeit und Aufwand ist für die Integration mit neuen Anwendungen erforderlich?
• Welche spezifischen Aufgaben sind automatisiert, und welche erfordern noch eine manuelle Konfiguration?
• Welche Automatisierungsalgorithmen bilden das Rückgrat der Lösung (achten Sie auf Technologien wie Künstliche Intelligenz (KI), Natural Language Processing (NLP), Belief and Bayesian Networks (BBN) Algorithmen, User Entity Behavior (UEBA), Network Traffic Analysis (NTA) und Threat Intelligence (TI) Engines).
• Kann das Playbook auf eine „Entität“ (die mehrere Bedrohungstypen umfasst) oder auf eine „Angriffskampagne“ (die mehrere Entitäten und Risiken als Teil derselben Kampagne umfassen kann) auf einmal und nicht pro Alarm ausgeführt werden?
• Passt sich das Playbook an den Angriffskontext an, der es auslöst, über die statisch definierten Regeln im Playbook hinaus?
• Beinhaltet das Playbook präventive Reaktionsmaßnahmen?

Konkrete Antworten auf diese Fragen werden Sie über leere Versprechungen hinausführen und die Response-Tools, die Ihnen einen echten Nutzen bringen können, aus dem Rest des Feldes herausfiltern.

Über empow

empow ist ein führender Anbieter innovativer Technologien zur adaptiven Erkennung und Verhinderung von Cyberangriffen durch automatische Klassifizierung und Korrelation von Netzwerk- und Endpoint-Protokollen in Echtzeit, ohne die Notwendigkeit, manuell Regeln zu schreiben. Globale Organisationen verlassen sich auf empows innovativen Einsatz von KI, einschließlich natürlicher Sprachverarbeitung (NLP), maschinellem Lernen und Ursache-Wirkungs-Analysen, die automatisch die grundlegende Natur oder Absicht von Bedrohungen verstehen, die tatsächlichen Angriffe, die sich im „Rauschen“ verstecken, finden und bestehende Sicherheits-Tools verbinden, um darauf zu reagieren und Angriffe prädiktiv zu verhindern, bevor sie auftreten. empow hat seinen Hauptsitz in Boston, mit einem F&E-Büro in Tel Aviv und sowohl direktem als auch Channel-Vertrieb an Kunden in der ganzen Welt.

Über scale2gether

scale2gether berät Unternehmen bei Ihrer IT und Digitalisierungsstrategie. Über 30 Jahre Erfahrung im Bereich IT-Infrastruktur, IT-Security, Cloud & Digitalisierung helfen Ihnen dabei die richtige Entscheidung zu treffen.

scale2gether ist Ihr Partner für empow SIEM in Deutschland, Österreich und der Schweiz