Einführung von IBM Security QRadar XDR

Auf die Frage nach den geschäftlichen Prioritäten, die die IT-Ausgaben in den nächsten 12 Monaten bestimmen werden, nannten mehr als die Hälfte (47 %) der Befragten im Rahmen der ESG-Umfrage zu Technologieausgabenabsichten 2021 die Cybersicherheit. 1 Dies ist eine wichtige Erkenntnis. Unternehmen benötigen im Zeitalter von Cloud Computing, digitaler Transformation und Unterstützung von Remote-Mitarbeitern solide Verfahren und Kontrollen zur Cybersicherheit als Grundlage für die Gesundheit und Rentabilität ihres Unternehmens.

Angesichts der untrennbaren Verbindung zwischen Geschäft, Informationstechnologie und Sicherheit kann man davon ausgehen, dass Unternehmen ihre Security Operations Centers (SOCs) aktualisiert haben, um Cyberbedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Diese Annahme wäre jedoch falsch – viele SOC-Teams können mit neuen Bedrohungen nicht Schritt halten. Wie ist der aktuelle Stand der Bedrohungserkennung und -reaktion und gibt es in naher Zukunft hoffnungsvolle Fortschritte? Dieses Whitepaper schließt mit der Aussage:

• Organisationen verfolgen eine Vielzahl von Zielen zur Bedrohungserkennung und -reaktion. Zu den Zielen von SOC-Teams zur Bedrohungserkennung und -reaktion gehören die Verbesserung der Erkennung fortgeschrittener Bedrohungen, die Steigerung der Prozessautomatisierung rund um Behebungsmaßnahmen und die Verbesserung der Reaktionszeit bei Vorfällen. Diese Ziele zeigen, dass die aktuellen Taktiken unwirksam sind.
• Es gibt viele Bedrohungen, die identifiziert und auf die reagiert werden muss. Experten für Bedrohungserkennung und -reaktion erkennen eine Reihe von Hindernissen, darunter eine zunehmende Komplexität der Sicherheitsoperationen, Ressourcenbeschränkungen, eine wachsende/veränderte Angriffsfläche, die Abhängigkeit von unverbundenen Einzellösungsprodukten sowie Schwierigkeiten bei der Datenanalyse und Entscheidungsfindung. Diese Herausforderungen wirken sich auf die Wirksamkeit, Effizienz und Produktivität von Sicherheitsoperationsanalysten aus.
• DR kann bei der Identifizierung und Reaktion auf Bedrohungen helfen. Wie die Security Operations and Analytics Platform Architecture (SOAPA) von ESG hat sich XDR (eXtended Detection and Response) als kommerzielle Security Operations Architecture entwickelt. XDR hat das Potenzial, die Bedrohungserkennung und -reaktion zu verbessern und gleichzeitig SOCs zu aktualisieren, auch wenn es sich noch in einem frühen Stadium befindet.
• Die besten XDR-Systeme sollten Funktionen auf Unternehmensebene bieten. ESG ist der Ansicht, dass XDR-Systeme eine Incident-Response-Abdeckung über heterogene IT-Infrastrukturen, leistungsstarke Analysen und automatisierte Playbooks bieten sollten. XDR sollte Cloud-basiert sein und unter Verwendung von Industriestandards, offenen APIs und gängigen Datenformaten entwickelt werden, um Skalierbarkeits- und Integrationsanforderungen zu erfüllen. Die Integration wird auch von führenden XDR-Anbietern über Partnerschaften und Entwickler-Supportdienste gefördert.

Bedrohungserkennung und Reaktion in den Vereinigten Staaten

Die meisten Unternehmen legen Wert auf Bedrohungserkennung und -reaktion, da Cyberangriffe wie Ransomware und Lieferkettenverletzungen den Geschäftsbetrieb stören oder sogar zum Erliegen bringen können. Daher rechnen 83 % der Unternehmen in den nächsten 12 bis 18 Monaten mit steigenden Ausgaben für Technologien, Dienste und Personal zur Bedrohungserkennung und -reaktion. Unternehmen verfolgen eine Reihe von Zielen zur Bedrohungserkennung und -reaktion, um Cyberbedrohungen zu bekämpfen, darunter:

• Verbesserte Erkennung komplexer Bedrohungen. Unternehmen möchten Erkennungsregeln und Analysen verbessern, um die Erkennung bekannter und unentdeckter Bedrohungen zu beschleunigen. Zu den Verbesserungsansätzen für die Erkennung gehören eine verbesserte Anomalieerkennung, genauere Sicherheitswarnungen, detailliertere Angriffszeitpläne in der gesamten Kill Chain und die Unterstützung komplizierter Abfragen für eine erweiterte Bedrohungssuche.
• Zunehmende Automatisierung von Sanierungsaufgaben. Sicherheitsaufgaben zur Bedrohungsminderung und Reaktion auf Vorfälle basieren häufig auf manuellen Verfahren und dem „Stammwissen“ des SOC-Teams. Diese Vorgehensweise mag im Jahr 2010 geeignet gewesen sein, aber manuelle Methoden können nicht mit der Menge an Sicherheitswarnungen oder Analyseanforderungen in heterogenen IT-Infrastrukturen mithalten. SOC-Teams erkennen die Notwendigkeit, sich wiederholende Vorgänge zu automatisieren und Reaktionsmaßnahmen für die Warnmeldungstriage, Sicherheitsuntersuchungen und Bedrohungsprävention zu orchestrieren. Automatisierung kann dazu beitragen, Vorgänge zu vereinfachen, die Produktivität der Analysten zu steigern und das SOC-Team auf kontinuierliche Verbesserung zu konzentrieren.
• Verkürzung der durchschnittlichen Reaktionszeit auf Bedrohungen. Sobald Bedrohungen identifiziert wurden, muss die Reaktion auf Vorfälle schnell beginnen, um die Verweildauer des Gegners zu verkürzen und den Schaden zu begrenzen. Dazu gehört das Stoppen aktiver Cyberangriffe, das Bestimmen des Explosionsradius von Angriffen und schließlich das Beheben aller verbleibenden Schwachstellen oder Überreste der Angriffe. CISOs wissen, dass dieser Prozess beschleunigt werden muss.

Zur Rettung, XDR?

ESG erkannte den Bedarf an eng integrierten Technologien für den Sicherheitsbetrieb und führte 2016 erstmals die Idee einer „Plattformarchitektur für Sicherheitsbetrieb und -analyse“ ein. Diese Form der Integration gewinnt allmählich an Dynamik. In einem kürzlich durchgeführten ESG-Studienprojekt wurden Sicherheitsexperten gefragt, ob ihre Unternehmen der Integration von Sicherheitsanalysen und Betriebstechnologie Priorität einräumen. Die Integration von Sicherheitsanalysen und Betriebstechnologie hatte für 37 % der Umfrageteilnehmer die höchste Priorität, während 56 % angaben, dass dies eines ihrer fünf wichtigsten Ziele sei.

Laden Sie das Whitepaper von ESG herunter, um mehr über die Einführung von IBM Security QRadar XDR nur bei Whitepapers Online zu erfahren.