Automatisierung ist in aller Munde. Viele Stellenprofile werden sich durch sie in Zukunft ändern, auch in der IT-Sicherheit. Doch das bedeutet keineswegs, dass nun IT-Security Spezialisten oder Admins um ihren Job fürchten müssen. Vielmehr kann und sollte Automatisierung dort eingesetzt werden, wo eine Unterstützung dringend nötig ist, um dem steigenden Arbeitspensum Herr zu werden – speziell im Bereich der Erkennung und Bekämpfung von IT-Bedrohungen.
Das ist nicht zuletzt der Fall, weil Hackerangriffe immer ausgeklügelter werden, Cyberkriminelle ebenfalls automatisiert vorgehen und die Anzahl der Angriffe immer weiter steigt. Für Unternehmen ist das eine Situation, der sie kaum gerecht werden können, wenn sie sich rein auf menschliche Arbeitskraft verlassen, um Hackerattacken aufzuspüren und abzuwehren.
Denn die Datenmengen, die auf verdächtige Inhalte hin untersucht werden müssen, nehmen derart rasant zu, dass Menschen diese quantitativ nicht mehr verarbeiten können. Da es nicht nur einen, sondern viele Wege in ein Unternehmensnetzwerk gibt, müssen außerdem gleich mehrere potenzielle Einfallstore auf Malware hin kontrolliert werden. Die manuelle Überprüfung gleicht so immer mehr einer nicht enden wollenden Sisyphusarbeit.
Mit MDR der Datenflut entgegentreten
Hier setzt Managed Detection and Response (MDR) an. Durch einen MDR-Service können verschiedene Logdaten überwacht werden, die von unterschiedlichen Quellen gesammelt und zentral korreliert werden. Die somit erzeugte unvermeidliche Datenflut kann nur gebändigt werden, indem Routineaufgaben der Bedrohungserkennung von KI und Machine Learning übernommen werden.
Dank indevis MDR auf der sicheren Seite
Auch bei indevis steht der MDR-Service im Fokus. indevis setzt dabei auf die Lösungen Cortex XDR sowie XSOAR von Palo Alto Networks. Cortex XDR als Detection and Response Plattform wird mit integrierten Endpunkt-, Netzwerk- und Cloud-Daten gespeist. Angereichert werden diese Daten durch XSOAR. Diese Security Orchestration, Automation and Response Lösung kann verdächtige Events automatisch miteinander verknüpfen – egal ob es sich um Events in der Firewall handelt oder am Endpoint Alarm geschlagen wird.
Auf Basis dieser Informationen werden Playbooks erstellt, die immer weiter angereichert werden. So lassen sich wiederkehrende Alarme mehr und mehr automatisieren. Im Ergebnis werden Events dann nicht mehr manuell ausgelesen, sondern so angereichert, gescreent und bewertet, dass am Ende keine Vielzahl von Logs mehr von Administratoren betrachtet werden muss, sondern sich geschulte Analysten nur noch um die relevanten Alarme kümmern brauchen.
Automatische Alarmierung ermöglicht frühzeitige Gegenmaßnahmen
Dadurch wird verhindert, dass kritische Events in der Masse anderer untergehen. Ab einer kritischen Schwelle wird ein indevis SOC-Mitarbeiter (SOC = Security Operation Center) informiert, der diesen dann nachgeht. Er kann sich sofort ein umfassendes Bild des Angriffsvektors verschaffen, da letztlich nur echte Incidents bei ihm ankommen. Er ist beispielsweise in der Lage festzustellen, welche User betroffen sind, aus welchem Land der Angriff gestartet wurde, kennt die Source IP und kann Aussagen zur Malware selbst treffen. Die kritischen Events können so herausgefiltert und an den Kunden weitergegeben werden. Auf Basis der bekannten Informationen werden außerdem Maßnahmen vorgeschlagen, um entsprechend auf mögliche Angriffe reagieren zu können.
Sollten auch Sie für Ihr Unternehmen Handlungsbedarf im Bereich MDR sehen, so setzen Sie sich bitte gerne mit Ihrem Vertriebsbetreuer in Verbindung: Sprechen Sie uns an!
Bildquelle: stock.adobe.com-Petr Ciz
