Extended Detection and Response
Bedrohungsanalyse auf solider Datengrundlage
Fortsetzung des Artikels von Teil 1
Bewährte Threat Intelligence-Verfahren, die den Einsatz von XDR ermöglichen
Für Unternehmen, die den Einsatz von XDR in Erwägung ziehen oder die Technologie bereits eingeführt haben, helfen die folgenden Best Practices dabei, Bedrohungsdaten zu nutzen, um einen größeren Mehrwert zu erzielen:
- Sammeln von Daten aus allen Quellen: Integration ist eine der Kernkompetenzen für XDR, da Unternehmen nicht von Null anfangen, sondern über Dutzende von Technologien, Feeds und Drittanbieter-Datenquellen in verschiedenen Abteilungen und Teams verfügen. Durch eine starke Integration und Interoperabilität mit allen Systemen und Datenquellen - intern und extern – können Bedrohungsdaten optimal genutzt werden. Die Anzeige einer Fülle von kontextualisierten Daten über eine gemeinsame Arbeitsoberfläche ermöglicht es den Teams, diese Daten zu nutzen, um die Bedrohungen zu verstehen, mit denen sie konfrontiert werden. So kann eine erweiterte Erkennung und Reaktion in der gesamten Infrastruktur und über alle Angriffsvektoren hinweg ermöglicht werden.
- Konzentration auf Prioritäten: Die Prioritätensetzung sollte automatisiert sein, aber unter der Kontrolle des Sicherheitsteams stehen. Durch das Herausfiltern von Störfaktoren (False Positives und irrelevante Informationen) anhand von Parametern, wird sichergestellt, dass die Priorisierung auf den relevanten Risiken basiert. Die Analysten können sich somit auf die wichtigsten Bedrohungen konzentrieren, anstatt Zeit mit der Jagd nach „Geistern“ zu verschwenden. Feedback und Ergebnisse sollten kontinuierlich erfasst, gespeichert und zur Verbesserung der Sicherheitsabläufe genutzt werden.
- Steuerung von Reaktionen: Der effektivste Weg, Teams zu unterstützen, besteht darin, sich wiederholende, risikoarme und zeitaufwändige Aufgaben zu automatisieren. Unregelmäßige, zeitkritische Untersuchungen mit hohem Risiko werden jedoch am besten weiterhin von einem menschlichen Analysten geleitet, während die Automatisierung die Arbeit lediglich ergänzt. Ein ausgewogenes Verhältnis zwischen Mensch und Maschine stellt sicher, dass die Teams immer über das beste Werkzeug für die jeweilige Aufgabe verfügen, und ein datengesteuerter Ansatz verbessert die Geschwindigkeit und Gründlichkeit der Arbeit.
Die Erkennung erfordert eine Vielzahl von Informationen aus verschiedenen Systemen und Quellen in der gesamten Infrastruktur. Daten und Aktionen werden in einer einzigen Ansicht zusammengefasst, um ein umfassendes Verständnis der Bedrohungen zu erhalten, denen das Unternehmen ausgesetzt ist und eine effektive Verteidigungsstrategie aufzubauen. Die Reaktion ändert sich parallel dazu. Da jetzt mehrere Systeme an Angriffen beteiligt sind, müssen die einzelnen Teile zusammengefügt werden, um ein vollständiges Bild der Vorgänge zu erhalten. Die Reaktion basiert auf der Fähigkeit, über eine Datei oder ein System, alle damit zusammenhängenden Ereignisse und Daten im gesamten Unternehmen zu finden. Anschließend müssen sie in einen ganzheitlichen Kontext gesetzt werden, um einen Vorfall in der gesamten Infrastruktur beheben und angemessen reagieren zu können.
Implementieren von XDR
Cybersicherheitsexperten sind an Veränderungen gewöhnt. Es ist bekannt, dass Bedrohungsakteure ihre Methoden ändern, sobald neue Angriffsvektoren auftauchen, um ihre Ziele zu erreichen. Also sind Anpassungen entscheidend und es bedarf neuer Sicherheitstools oder neuer Prozesse. Aber in den letzten Jahren haben die Beschleunigung der digitalen Transformation, die Remote-Arbeit und die Verlagerung von Unternehmensdaten in die Cloud die Sicherheitsexperten dazu gezwungen, einen ganzheitlicheren Ansatz für die Erkennung von Cyberbedrohungen und die Reaktion darauf zu wählen.
Ein neuer Ansatz bei den Erkennungsmethoden ist nötig, um die Masse an Informationen aus den unterschiedlichsten Systemen und Quellen in der gesamten Infrastruktur einzubeziehen. Das befähigt die Sicherheitsteams dazu, die stetig steigende Anzahl an Bedrohungen besser verstehen und abwehren zu können. Ebenso ist eine Aktualisierung des Reaktionsansatzes unabdingbar, um alle Durchsetzungspunkte, in der gesamten von einem Angriff betroffenen Infrastruktur zu berücksichtigen. Zur Unterstützung dieser neuen Erkennungs- und Reaktionsanforderungen, müssen Prioritäten gesetzt und die Zusammenarbeit von Systemen und Tools verbessert werden. Alle diese Punkte zeigen auf, dass der Extended Detection and Response (XDR) Ansatz einen elementaren Baustein eines effektiven IT-Sicherheitskonzepts darstellt und auch weiterhin an Bedeutung gewinnen wird.
- Bedrohungsanalyse auf solider Datengrundlage
- Bewährte Threat Intelligence-Verfahren, die den Einsatz von XDR ermöglichen
Lesen Sie mehr zum Thema
