Threat Response Hero

Threat Response Show-Hide

Zu oft sind Sicherheitsteams damit beschäftigt, eine erkannt Sicherheitsbedrohung mit einer Reihe nicht miteinander vernetzter Tools manuell zu untersuchen.  Threat Response bietet eine zentrale Oberfläche, die von Grund auf für den Incident-Response-Prozess ausgelegt ist. Da alle wichtigen Informationen zu einer Bedrohung an einem Ort verfügbar sind und Analysten dabei helfen, wichtige Zusammenhänge zu erkennen, optimiert Threat Response den Workflow, der für eine schnelle Reaktion auf erkannte Sicherheitsbedrohungen erforderlich ist. Das System umfasst folgende Komponenten:

  • Dashboard – Zentraler Überblick über alle kritischen Bedrohungen, offene Vorfälle usw.
  • Vorfallbewertung – Automatische Bewertungsanpassung, sobald neue Details verfügbar werden
  • Vorfall-Workflow – Zuweisung von Vorfällen an Analysten und Zusammenarbeit bei einem Vorfall
  • Vorfalldetails – Zentrale Übersicht über alle erfassten Daten zu einem Vorfall
  • Listen-Management – Hinzufügen und Entfernen von Identitäten und Hosts zu/aus der Quarantäne und Eindämmungslisten
  • Ereignisquellen – Übersicht über Bedrohungserkennungssysteme, die Benachrichtigungen erzeugen
  • Geräteupdates – Übersicht über Geräte und Update-Zeitpläne für Ihre vorhandene Infrastruktur
  • Berichterstellung – Anzeige von Echtzeit-Trends über Malware, infizierte Benutzer, CnC-IPs usw.

Alle diese Komponenten sind nahtlos miteinander integriert und gewährleisten, dass Sicherheitsteams erfasste Daten schnell analysieren und anhand dieser Ergebnisse bestimmte Sicherheitsbedrohungen priorisieren und entsprechend darauf reagieren können, sobald sie erkannt werden.

 
Expand Collapse

Vielen Sicherheitswarnungen fehlen wichtige Informationen, die die Grundlage für die Einordnung der Bedrohung in einen Kontext und die nächsten Schritte bilden.  Threat Response erfasst wichtige Kontextdaten automatisch, sodass Sicherheitsteams erkannte Bedrohungen schnell einordnen und darauf reagieren können. 

Um eine Situation vollständig zu erfassen, müssen Sicherheitsteams folgende Fragen schnell beantworten können:

  • Wer sind der oder die angegriffenen Benutzer?
  • Zu welcher Abteilung oder Gruppe gehören diese Benutzer?
  • Weisen die Systeme der Benutzer Indikatoren für einen erfolgreichen Angriff auf?
  • Trat dieser Angriff schon einmal in unserer oder einer anderen Umgebung auf?
  • Woher kommt der Angriff und wo befinden sich die CnC-Knoten?

 

Da Threat Response sowohl auf interne als auch externe Quellen zugreift, kann es die notwendigen Informationen auf diese Fragen liefern – und zwar schneller und umfassender.

Mithilfe von Standard-APIs werden Daten von internen Quellen wie Active Directory abgerufen, die umfangreiche Details über die Benutzer liefern, die in den Angriff verwickelt sind. Externe Datenquellen wie VirusTotal und Webroot liefern Details zur Bedrohung und Reputationsdaten für bestimmte Malware und Ressourcen, die bei einem Angriff zum Einsatz kommen.

Da Sicherheitsteams alle wichtigen Informationen vor sich haben und die Daten in Threat Response mithilfe intelligenter Algorithmen miteinander verknüpft werden, lässt sich der Zeitaufwand für die Untersuchung eines Vorfalls nachweislich um mindestens 50 % reduzieren.

 
Expand Collapse

Infektionsprüfung

Herauszufinden, ob ein Benutzer bei einem Vorfall tatsächlich infiziert wurde, Stichwort False-Positive-Treffer, nimmt bei der Untersuchung eines neuen Bedrohungsberichts die meiste Zeit in Anspruch. Threat Response bestätigt Infektionen mithilfe des integrierten IOC-Überprüfungsagent automatisch.

Egal, wie schwer erfassbar die Malware auch sein mag, Infizierungen lassen häufig eindeutige Spuren zurück, die auch als Indicators of Compromise (IOC) bezeichnet werden.  Dazu zählen:

  • Prozesse
  • Mutexe
  • Änderungen am Dateisystem
  • Änderungen an der Registry
  • Und weitere ...

Wenn das System eines Benutzers verdächtigt wird, mit Malware infiziert worden zu sein, setzt Threat Response automatisch einen Lightweight-Agent zur IOC-Überprüfung ein, um digitale forensische Daten vom System des Benutzers zu erfassen. Die gesammelten Daten werden dann mit einer Datenbank bekannter IOCs verglichen, damit schnell bestätigt werden kann, ob ein System tatsächlich infiziert wurde.

Das Ergebnis der Infektionsprüfung bedeutet eine wesentliche Reduzierung der False-Positive-Treffer, die in einer Umgebung auftauchen. Der Agent muss zudem nicht auf jedem einzelnen Benutzersystem vorinstalliert werden: Mit Threat Response wird der Agent nur auf den Systemen installiert, die im Verdacht einer Infektion stehen.

 
Expand Collapse

Die Geschwindigkeit, mit der Malware ein Unternehmen schädigen kann, wird zunehmend größer, daher müssen sie einen Weg finden, bestätigte Bedrohungen sofort einzudämmen. Threat Response lässt sich in die vorhandene Sicherheitsinfrastruktur integrieren, um geprüfte Bedrohungen zu blockieren, infizierte Benutzer unter Quarantäne zu stellen und zu verhindern, dass weitere Benutzer infiziert werden.

Viele Unternehmen haben bereits beträchtliche Investitionen in ihre Sicherheitsinfrastrukturen geleistet, wie Firewalls und Webproxys. Mit diesen Einrichtungen lässt sich der Benutzerdatenverkehr bereits untersuchen. Doch Threat Response macht Sicherheitssysteme noch effektiver, indem es sie mit Informationen über die erkannten Bedrohungen versorgt.
 

Sobald eine Bedrohung in Threat Response untersucht wurde, können die Objekte in dieser Bedrohung (MD5, CnC-IP-Adressen, schadhafte URLs usw.) in die Sicherheitsrichtlinien der vorhandenen Systeme aufgenommen werden. Beispielsweise wird eine Liste bekannter CnC-IP-Adressen an eine Firewall gepusht, in der die Verbindung zu diesen IP-Adressen blockiert werden kann. Ein weiteres Beispiel wäre, schadhafte URLs an einen Webproxy zu pushen, um sicherzustellen, dass kein anderer Benutzer auf infizierte Websites zugreifen kann.

Unsere Methode, alle Sicherheitsgeräte im System stets auf dem neuesten Stand zu halten, wurde in Zusammenarbeit mit Hunderten von Sicherheitsteams aus der "realen Welt" entwickelt. Sie können also sicher sein, dass Ihr Netzwerk weiterhin reibungslos funktioniert, mit dem zusätzlichen Vorteil, dass Sie Bedrohungsinformationen in Echtzeit erhalten.

Unternehmen, die Threat Response einsetzen, berichten von bis zu 20-fach beschleunigten Eindämmungszeiten.

 
Expand Collapse

Automatisierte Workflows

Manchmal ist es sinnvoll, zuerst alle Details zu kennen, bevor auf eine erkannte Sicherheitsbedrohung reagiert wird, und in anderen Situationen müssen Bedrohungen sofort bei Erkennen eingedämmt werden. Threat Response bietet die Möglichkeit, die Automatisierung wichtiger Workflows zu konfigurieren, sodass Unternehmen ihren Response-Prozess auf ihre speziellen Bedürfnisse anpassen können.

Der Incident Response-Prozess kann zeitaufwendig sein. Oft sind mehrere Mitarbeiter des Sicherheitsteam mit der Untersuchung und Bestätigung erkannter Bedrohungen beschäftigt.  Threat Response bietet einen Workflow, der von Grund auf für den Incident-Response-Prozess ausgelegt ist.

 

Eindämmung und andere Response-Aktivitäten können in Threat Response mithilfe der Konfiguration einer Geschäftslogik im System automatisiert werden.  Diese Automatisierungslogik kann sich basierend auf den Informationen zu einer Bedrohung auf bestimmte Aktionen auswirken:

  • Art der Bedrohung
  • Ursprung der Bedrohung
  • Kritikalität
  • IP-Adresse-Bereiche (Ein- und Ausschluss)
  • Reputationsstatus
  • Und weitere ...

Sobald eine Automatisierungsregel konfiguriert wurde, leitet Threat Response automatisch die erkannte Response-Aktion ein, vorausgesetzt die Kriterien in der Regel wurden erfüllt.  Alle aufgrund einer Automatisierungsregel ausgeführten Response-Aktionen werden bei Bedarf für Audits und künftige Überprüfungen protokolliert.

Indem Unternehmen die Automatisierungsregeln auf ihre Umgebungen anpassen, können sie sicher sein, dass die kritischsten Bedrohungen nicht erst nach Stunden oder Tagen behandelt werden, sondern innerhalb von Minuten oder gar Sekunden.

 
Expand Collapse