Threat Hunting – Informieren und abwehren
Threat Detection and Response (TDR) stärkt die Abwehrkräfte von Unternehmen. Dabei geht es darum, Angriffe zu erkennen und zu neutralisieren, bevor es zu ernsthaften Problemen kommt.
Es wird für IT-Sicherheitsteams immer schwieriger, Cyber-Bedrohungen zu identifizieren, zu untersuchen und dagegen vorzugehen. Die Hacker verwenden nämlich mittlerweile fortschrittliche Ausweichtechniken und sind schwer zu entdecken.
TDR deckt diese versteckten Gegner auf, indem sie nach verdächtigen Ereignissen, Anomalien und Mustern in alltäglichen Aktivitäten suchen und feststellen, ob sie böswillig sind. Die Sicherheitsverantwortlichen werden dabei durch automatisierte Technologien einschließlich Mustererkennung durch Künstliche Intelligenz (KI) unterstützt.
Zusammen bilden sie eine starke Verteidigungslinie in einem vielschichtigen Sicherheitssystem der nächsten Generation. Die Bedrohungsjäger und Analytiker beschränken sich nicht darauf, die Bedrohung zu finden, sondern arbeiten mit Kollegen zusammen, um sie abzuwehren und zu neutralisieren.
Fünf Kernkomponenten für TDR
- Prävention
Die erste und wichtigste Sache: Ihre Verteidigung stärken, um zu verhindern, dass Angreifer in Ihr Netzwerk eindringen können. - Sicherheitsereignisse und Warnungen sammeln
Die gebräuchlichsten Methoden zur Erfassung und Überprüfung von Sicherheitsdaten sind erstens der ereigniszentrierte Ansatz mit Security Incident and Event Management (SIEM). Als zweites werden Bedrohungen direkt in den Fokus genommen. In diesem Modell werden Signale priorisiert und Fälle erstellt, die von Analysten überprüft werden. Der dritte hybride Weg ist eine Kombination aus ereignis- und bedrohungszentrierten Methoden und ist am effektivsten. - Priorisierung der Signale
Die Erkennung von Bedrohungen ist eine kritische Komponente, aber sie ist nur die erste Stufe eines mehrschichtigen Prozesses, der Validierung, Untersuchung (Bedrohungsjagd) und Reaktion auf Bedrohungen (Neutralisierung) umfasst. Es ist wichtig, Reibungsverluste zwischen jeder dieser Aktivitäten zu beseitigen. SIEMs und anderen logbuchbasierten Ansätzen fehlt in der Regel der Kontext, der erforderlich ist, um gut informierte Entscheidungen darüber zu treffen. Um zu vermeiden, dass Sie mit Daten überhäuft werden, müssen Sie in der Lage sein, die Warnungen zu lokalisieren, auf die es ankommt. Selbst mit Automatisierung ist dies kein einfacher Prozess. - Untersuchung
Sobald Sie die Schlüsselsignale isoliert haben, ist es an der Zeit, weitere Erkenntnisse hinzuzufügen und bösartiges oder gutartiges Verhalten zu unterscheiden. - Aktion
Wenn Sie festgestellt haben, dass Sie es mit einer Bedrohung zu tun haben, müssen Sie zwei Dinge tun – und beide sind gleichermaßen wichtig. Das erste ist, das unmittelbare Problem zu entschärfen, während das zweite ist, sich daran zu erinnern, dass Sie sich wahrscheinlich nur mit einem Symptom des Angriffs befassen und noch immer die eigentliche Ursache aufspüren und neutralisieren müssen. Das erste muss getan werden, ohne Ihre Fähigkeit zu beeinträchtigen, das zweite zu tun.
Verlassen Sie sich auf erfahrene Experten
Ein Sicherheitsteam, das TDR vollständig beherrscht, werden sich nur wenige Unternehmen leisten können. Deshalb bietet Sophos einen individuellen Service mit seinem Managed Threat Response Service (MTR) für Unternehmen jeglicher Größenordnung. Mit Sophos MTR erhält Ihr Unternehmen ein Expertenteam, das für Sie gezielte Maßnahmen ergreift, um selbst hochkomplexe Bedrohungen unschädlich zu machen.
Es gibt ein echtes Alleinstellungsmerkmal: Andere Managed Detection and Response (MDR) Services informieren Sie lediglich über Angriffe und verdächtige Ereignisse. Ab diesem Punkt sind Sie komplett auf sich allein gestellt. Mit Sophos MTR erhält Ihr Unternehmen dagegen ein Expertenteam, das für Sie gezielte Maßnahmen ergreift, um selbst hochkomplexe Bedrohungen unschädlich zu machen.
- Das Sophos-Team spürt proaktiv potenzielle Bedrohungen und Vorfälle auf.
- Es nutzt alle vorliegenden Informationen, um Ausmaß und Schwere von Bedrohungen zu bestimmen.
- Geeignete Maßnahmen werden je nach Risiko-Bewertung der Bedrohung eingeleitet.
- Dann geht es ans Stoppen, Eindämmen und Beseitigen von Bedrohungen.
- Schließlich gibt es konkrete Ratschläge, um die Ursache wiederholt auftretender Vorfälle zu bekämpfen.
Sophos MTR nutzt die Technologie Intercept X Advanced with EDR, um Bedrohungen aufzuspüren und IT Security Operations zu optimieren. Auf diese Weise wird leistungsstarkes Maschinenlernen und Künstliche Intelligenz mit Expertenanalysen zu einem effektiven Teamwork vereint.
Die Schnelle Eingreiftruppe
Aktuell hat Sophos MTR mit dem neuen Angebot Sophos Rapid Response Service weiter ausgebaut. Der branchenweit erste Service dieser Art bietet remote und zu einem festen Budget die Identifizierung und Bekämpfung von Sicherheitsvorfällen in einem 45-Tage-Zeitfenster.
Unternehmen, die Sophos Rapid Response in Anspruch nehmen, steht ein dediziertes und rund um die Uhr einsatzbereites Team aus hochspezialisierten Security-Experten und Forensikern zur Verfügung, um Angriffe schnell zu stoppen und Eindringlinge aus den Netzwerken zu entfernen.