Threat Response - Automatisierte IT Sicherheit

Nahtlose Orchestrierung und Workflow

Threat Response orchestriert mehrere wichtige Phasen bei der Reaktion auf bestimmte IT-Sicherheitsereignisse.

Die Lösung nutzt die Sicherheitswarnungen verschiedener Sicherheits-Tools. Sie erfasst den Kontext, Zielverläufe und Informationen von internen und externen Quellen. Zudem nutzt die Lösung die forensischen Daten am Endpunkt und analysiert diese.

Mit diesen gesammelten Informationen werden Workflows und Reaktionen automatisiert. Threat Response erstellt Listen und Objekte, um die Quarantäne zu aktivieren und Behebungsmaßnahmen durchzusetzen. Die Effektivität Ihrer Reaktion auf Ereignisse wird anhand automatisch generierter Berichte bewertet, die Aufschluss über die wichtigsten Leistungsindikatoren auf jeder Ebene geben.

Die gesamte Orchestrierung wird mit einer integrierten, zentralen Konsole durchgeführt, die eine Verbindung zu den Quellen der Sicherheitsalarme sowie den integrierten Tools für IT-Sicherheit für die Quarantäne und Durchsetzung der Maßnahmen herstellt. Das integrierte Design verschafft Nutzern einen Überblick über die Reaktionen auf Ereignisse in Echtzeit und sorgt damit für vollkommene Transparenz.

Die IT-Sicherheitsplattform führt die gesamte Erfassung, alle Vergleiche und Analysen automatisch durch. Das steigert die Effizienz, denn so ist es möglich, die wichtigsten Details schnell anzusehen, eine Entscheidung zu treffen und Maßnahmen zu ergreifen. Für die Quarantäne-Maßnahmen können Sie die von Ihnen gewählten Automatisierungsstufen wählen. Sie können die Automatisierungsstufe einstellen und Workflows erstellen, um Firewall-Aktualisierungen automatisch auszulösen, oder auch eine einfache Block-List für die Kontrolle der Änderungen erstellen.

Sammlung forensischer Daten und IOC-Verifizierung

Auch wenn das Erkennen von Malware oft sehr komplex sein kann, hinterlassen Infektionen meist verräterische Spuren auf den Endpunkten. Diese werden IOCs (Indicators of Compromise) genannt. Dank der integrierten IOC-Verifizierung erkennt Threat Response Malware-Infektionen automatisch.

Diese IOCs können Folgendes umfassen: 

• Prozesse
• Mutexe (Mutual Exclusions)
• Änderungen am Dateisystem
• Änderungen an der Registry
• Webpage-Verläufe

Wenn ein Sicherheitsalarm ein System meldet, das von Malware betroffen ist, stellt Threat Response automatisch einen Endpunkt-Kollektor bereit, um forensische Daten vom betroffenen System zu erfassen. Diese Daten werden mit einer Datenbank bekannter IOCs verglichen, um schnell feststellen zu können, ob es sich bei der aktuellen Attacke um einen bekannten IOC handelt. Sicherheitsverantwortliche erhalten auch einen Einblick in IOCs früherer Angriffe, die noch nicht bereinigt wurden. Diese integrierte Verifizierung von Infektionen kann im Falle eines sicherheitsrelevanten Ereignisses wertvolle Zeit sparen. Zudem sinkt die Zahl zeitraubender falscher Positivmeldungen (False-Positives), die unnötige Wiederherstellungszyklen aus Images und Backups nach sich ziehen. Die Kollektoren für die Aufnahme von forensischen Daten am Endpunkt müssen nicht vorab installiert werden, sie werden bei Bedarf für die mutmaßlich infizierten Systeme bereitgestellt. Der Kollektor wird vorübergehend im Speicher ausgeführt und wird nach Abschluss wieder deinstalliert.

Kontext und Erkennung der Lage

Vielen IT-Sicherheitswarnungen mangelt es an wichtigen Informationen, die für die Feststellung des Zusammenhangs einer Bedrohung erforderlich sind. Threat Response reichert die Sicherheitswarnungen automatisch durch die Erfassung wichtiger interner und externer Zusammenhänge und Daten an, um einen nachvollziehbaren Einblick aller Warnungen zu schaffen. Mit dieser Übersicht können Sicherheitsteams Sicherheitsbedrohungen schnell verstehen, priorisieren und darauf reagieren.

Mit Threat Response können IT-Sicherheitsverantwortliche schnell Fragen beantworten, wie z. B.:

• Welcher Abteilung oder Gruppe unterstehen die betroffenen Nutzer?
• Enthalten die betroffenen Systeme Meldungen zu einem erfolgreichen Angriff?
• Ist dieser Angriff zuvor in Ihrer Umgebung oder an anderer Stelle aufgetreten?
• Woher kommt der Angriff und wo befinden sich die C&C-Knoten?
• Weisen Browser- oder Verbindungsverlauf Ungewöhnliches auf, wie beispielsweise eine verdächtige Webseite oder offene Verbindungen zu C&C-Servern?

Einfache Isolierung und Eindämmung von Malware zur IT-Sicherheit

Threat Response wird in Ihre aktuelle Sicherheitsinfrastruktur integriert, um bekannte Bedrohungen zu blockieren, infizierte Benutzer zu isolieren und andere Benutzer zu schützen, damit sich die Infektion nicht ausbreitet.

Threat Response kann beispielsweise die Active Directory-Gruppenmitgliedschaft der betroffenen Benutzer folgendermaßen aktualisieren: 

• Beschränkter Zugriff auf Filesharing-Websites
• Kontrollierter VPN-Zugang
• Aktualisierung von Network Access Control (NAC) und Application Control Systems (ACS)

Die Möglichkeit, die Block-Listen der Tools für die Durchsetzung zu aktualisieren, schützt Sie mithilfe von Webfiltern durch beschränkten Zugriff auf Webseiten und URLs. Sie können Netzwerkverbindungen zu schädlichen „Watering-Hole“-Sites sowie kriminellen Domänen und Hosts zulassen oder ablehnen.

E-Mails mit schädlichen Anhängen können jederzeit in einen abgesicherten Bereich verschoben werden – selbst, wenn diese bereits zugestellt wurden. Auf diese Weise wird das Risiko verringert, dass die Mitarbeiter erneut auf diese Anhänge klicken.