Schlachtfeld Netzwerk: Feindbeobachtung ist die Basis dynamischer Sicherheitsstrategien

Vorfallreaktion hat immer das Nachsehen – Organisationen brauchen ein vorausschauendes Lernkonzept
Jetzt bewerten:
0 %
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
17 Downloads  
Ein sehr guter Schachspieler denkt vier bis sechs Züge voraus. Im Idealfall geht IT- und Netzwerksicherheit genauso vor: indem sie Bedrohungen antizipiert. Dazu braucht es allerdings umfassende Traffic-Transparenz – und eine gestützte Strategie, die im Vorfeld auf lebenslanges Lernen setzt.

Inhalt:

In diesem Whitepaper zielt Dan Woods von Early Adopter Research auf einen strategischen Zugang zu IT-Sicherheit. Und weil IT Security heute immer Network Security bedeutet, geht es zuallererst um die Sichtbarkeit im eigenen Firmennetzwerk. Dafür sind intelligente NG-NPBs (Next-Generation Network Packet Brokers) bereits ein bewährtes Instrument. Sie können den gesamten Cloud- und Netzwerkverkehr aggregieren, Pakete deduplizieren und filtern, SSL-Traffic entschlüsseln und mehr. Trotzdem wird es nie gelingen, alle Bedrohungen im Keim zu ersticken. Was Organisationen also brauchen, ist eine Art Replay-Button.

Tatsächlich bringen EDR- (Endpoint Detection and Response) und NDR-Lösungen (Network Detection and Response), die auf NPBs aufsetzen, derartige Funktionen mit. Damit können SecOps „zurückspulen“, und das Unternehmen gewinnt einen nicht nur taktischen/reaktiven, sondern einen strategischen/proaktiven Zugang zur Netzwerksicherheit. Woods beschreibt hierfür die zyklischen Phasen von Verstehen, Beobachten und Erkennen. Im Ergebnis soll diese Verschränkung von umfassender Sichtbarkeit und „lebenslangem Lernen“ dafür sorgen,

  • dass die Response-Teams im Ernstfall bereits vorvertraut und damit schneller agieren,
  • dass sich die Anzahl der False Positives reduziert und die Effizienz steigt sowie
  • dass Unternehmen ein realistisches Bild von der Bedrohungslage und ihrem eigenen Stand gewinnen (statt sich in trügerischer Bisher-ist-das-noch-nicht-passiert-Sicherheit zu wiegen).

Originalauszug aus dem Dokument:

For security professionals to combat attackers, they must have visibility across the entire battlefield. Fortunately technology has advanced to give security professionals pervasive visibility into your network and endpoints. For example, today’s intelligent packet brokers can aggregate all your cloud and network traffic (including all east-west traffic), deduplicate packets, perform network and application layer filtering, and decrypt SSL traffic. Similarly, software agents can reside on IP-enabled devices and intercept all the actions taken on a specific host. Providing security professionals with pervasive visibility through packet brokers and agents is akin to ensuring your army is in the right place for battle. If you don’t give them visibility, you can’t expect them to win.

Now that your security professionals have visibility to the battlefield, you must arm them with the ability to study and learn. Unfortunately, it is impractical to believe that we can always stop attackers in real-time, so security professionals need the ability to play back surveillance footage to rapidly zero in on suspicious activity. Both Endpoint Detection and Response (EDR) and Network Detection and Response (NDR) security tools now record in-depth metadata about everything they observe so that security professionals are not only able to hunt or detect malicious activity, but also to piece together the movements and behaviors of their adversaries.