Den Kern der Früherkennung von Bedrohungsindikatoren bildet eine Live-Engine. Diese vereint die Echtzeit-Erkennung mit einer Art UEBA und unterstützt damit die SOC-Analysten. Alles zielt darauf ab, Angriffe, deren Ziele und involvierte Entitys möglichst sofort zu erkennen, um entsprechend zeitnah auch gezielte Abwehrmaßnahmen einleiten zu können. Die schnellsten Ergebnisse liefert natürlich die Threat-Intelligence – die vergleichsweise statischen Vergleiche lassen Bösartiges sofort aufpoppen. Parallel arbeitet hier die Regel-basierte Echtzeiterkennung, die bekannte Bedrohungen durch Korrelation über alle Datentypen findet. In der durch unsupervised Machine Learning (das heißt, das System lernt selbständig, ohne Einspeisung von Informationen durch einen Data-Scientist) getriebenen UEBA-Komponente führt das System ein automatisches Monitoring über alle Anwender und Entitäten aus, um nach Auffälligkeiten zu suchen und diese sofort zu melden. Diese Komponente wird als lernende Instanz naturgemäß immer intelligenter und präziser, je länger sie im Unternehmen im Einsatz ist. Nicht zuletzt bietet NetWitness® für die Früherkennung fortschrittliche Tools, um SOC-Analysten sehr schnell alle für ihre Arbeit relevanten Informationen übersichtlich zu präsentieren und gegebenenfalls unverzügliches Eingreifen zu erleichtern.
Schnelles Handeln minimiert Schäden
Für die automatische, beziehungsweise systematische Behebung von Bedrohungen stellt NetWitness® ein umfangreiches Incident-Management zur Verfügung, das den Analysten schnell und übersichtlich Auskunft gibt, was das eigentliche Ziel des Angreifers war, welche Geräte und Applikationen möglicherweise kompromittiert sind, wie der Angreifer überhaupt ins Netzwerk kam und was danach alles passiert ist. Entscheidendes Ziel ist hier, die eingangs erwähnten Zeitfenster möglichst so zu verkürzen, dass ein Schaden bestenfalls erst gar nicht entsteht. Das Incident Management wird von einer Reihe ziemlich cooler Fähigkeiten in NetWitness® unterstützt, wie beispielsweise die automatische Nachverfolgung und Orchestration von Angriffsaktivitäten. Das System erlaubt auch komplette Session-Rekonstruktionen, die einen Angreifer sehr schnell dingfest machen: Jeder seiner Schritte wird genau sichtbar, ebenso, wer alles beteiligt war, was zu welchem Zeitpunkt passiert ist, welche Programme auf welchem Gerät verwendet wurden und vieles mehr. All das liefert dem Incident Management das nötige Futter, um schnell und gezielt handeln zu können.
Resümee
Aufgabe der RSA NetWitness Suite® ist es, Unternehmen bei der Lokalisierung und Beseitigung von Angriffen zu unterstützen, indem sie Echtzeit-Einblicke in das Netzwerk bietet. Es werden Monitoring-Tools und Deep Analytics eingesetzt, um Metadaten aus verschiedenen Bereichen zusammenzuführen und zu korrelieren. Zusätzlich wird Business-Kontext in die Analysen eingespeist. Unternehmen sind damit in der Lage, die Zeitfenster bis zur Entdeckung und Eliminierung eines Angriffs so weit zu verkürzen, dass ein Schaden – so er überhaupt entsteht – minimal bleibt. Security-Analysen werden deutlich von Fehlalarmen und aufwändigen manuellen Suchen nach Bedrohungen entlastet. Sie können sich auf wirklich relevante Threat-Analysen konzentrieren, wobei sie auch hier das System nie alleine lässt, sondern tatkräftig unterstützt und führt.
Quellen:
(1) Ponemon-Institut: „Cost of a Data Breach Study“, 2018/2019
(2) Gartner Report „Applying Network Centric Approaches for Threat Detection and Response“; März 2019
