Palo Alto Networks: So helfen Sie SOC-Analysten bei der Bekämpfung von "Ermüdungserscheinungen"
29. Juli 2019 - Die Umfragedaten von Palo Alto Networks zeigen, dass SOC-Analysten nur 14% der von Sicherheitstools generierten Warnungen verarbeiten können. Wenn Sie IDC-Daten berücksichtigen, aus denen hervorgeht, dass die meisten Warnungen "false positives" sind, sind die Ergebnisse vorhersehbar: Warnungen werden ignoriert, Analysten verlieren Zeit damit, falschen Meldungen nachzujagen und tatsächliche Bedrohungen werden dabei oftmals sogar übersehen.
Über die anfängliche Prävention hinaus erfüllen die meisten Sicherheitstools eine Schlüsselfunktion: Erstellen von und Reagieren auf Warnungen. Server erstellen Warnungen. Router erstellen Warnungen. Firewalls erstellen Warnmeldungen. Antivirus-Tools erstellen Warnungen. Sicherheitsteams richten für potenziell riskante Prozesse, die das Unternehmen regelmässig verwendet, häufig nur Richtlinien mit Warnmeldungen ein, anstatt Richtlinien zu verwenden welche wirklich auch blockieren.
Die hoffnungsvolle Annahme ist, dass Security-Fachleute verdächtige Verhaltensweisen auf der Grundlage dieser Warnungen überprüfen und aufspüren können. Diese Strategie bricht jedoch schnell zusammen, wenn Analysten täglich Tausende von Low-Fidelity-Warnungen erhalten. Noch schlimmer ist, dass diese Warnungen von isolierten Sicherheitstools stammen, die praktisch keinen bis wenig Kontext zu den tatsächlichen Vorgängen bieten.
Checkliste zur Reduzierung von Ermüdungserscheinungen
Wenn wir alarmgebende Sensoren und Systeme eliminieren, schaffen wir Sicherheitslücken - und doch sind zu viele Informationen fast so schlecht wie gar keine Informationen. Wir müssen Technologie intelligenter einsetzen, um Probleme zu lösen, ohne neue zu schaffen. Wir benötigen weiterhin Warnmeldungen, benötigen jedoch genauere Warnmeldungen. Dies bedeutet, dass Sie die folgenden Konzepte berücksichtigen, wenn Sie Ihre Tools und Prozesse evaluieren:
1. Automatisierung
Erstens können Unternehmen ihren Alert-Triage-Prozess mithilfe der Automatisierung erheblich verbessern. Palo Alto Networks ist der Ansicht, dass alle Sicherheitsvorgänge der Stufe 1 (Alert Triage) mithilfe von SOAR-Technologien automatisiert werden können und sollten, bei denen vordefinierte Wiedergabebücher zur Automatisierung von Reaktionsaktionen verwendet werden. Bei der Alarmanalyse umfassen diese Aktionen das Analysieren eines Alarms, das Aktualisieren eines Falls, wenn es sich um ein bekanntes Problem handelt, das Öffnen eines Falls, wenn es sich nicht um ein bekanntes Problem handelt, und das Testen des Alarmschweregrads, um ihn an einen Analysten zu senden. Durch die Automatisierung dieses Prozesses wird die Anzahl der Warnungen, auf die Analysten reagieren müssen, erheblich reduziert, sodass Analysten ihre wertvolle Zeit damit verbringen können, Probleme zu untersuchen, anstatt auf Protokolle zu starren.
2. Daten zusammenfügen
Zweitens müssen Sicherheitsteams damit beginnen, integrierte Tools vor isolierten Tools zu priorisieren, wenn sie die Sichtbarkeit verbessern möchten. Wenn Sie über sieben verschiedene Tools verfügen, die jeweils einen bestimmten Teil Ihrer Sicherheitsinfrastruktur betrachten, ohne miteinander zu kommunizieren, können diese Tools keinen Kontext bereitstellen, der bei der Bedrohungssuche und -ermittlung hilfreich ist. Sie wissen nicht, ob eine Reihe von Aktionen, die für sich genommen harmlos erscheinen, tatsächlich in einer Reihenfolge ausgeführt werden, die möglicherweise darauf hinweist, dass sich ein Gegner in Ihrem System befindet. Alternativ können Sie eine Stunde damit verbringen, ein Teil der Malware zu verfolgen, das sich an Ihrem EPP vorbei geschlichen hat, um festzustellen, dass es von Ihrer Firewall blockiert wurde.
Eine Sicherheitsplattform mit integrierten Funktionen ermöglicht einen viel umfassenderen Einblick. Cortex Data Lake verbindet beispielsweise Endpunkt-, Cloud- und Netzwerkdaten miteinander. Diese Integration von Sicherheitskomponenten bietet Cortex XDR den Vorteil besserer Telemetriedaten (für schnellere Ermittlungen und Bedrohungssuche) und manipulierter Warnungen (zum Blockieren von Aktionen, die mit böswilligem Verhalten in der Vergangenheit in Zusammenhang stehen).
3. Maschinelles Lernen
Schliesslich sollte ein EDR-Tool über maschinelles Lernen verfügen, das es ihm ermöglicht, Muster zu erkennen, damit es lernen und sich verbessern kann. Ihr EDR sollte sich auf Ihre (hoffentlich integrierten!) Datenquellen stützen, um seine Algorithmen weiter zu verfeinern und präzise, priorisierte Warnmeldungen mit hoher Wiedergabetreue zu generieren.
Cortex XDR bietet intelligentere Erkennungsmöglichkeiten
Cortex XDR bietet nachweislich die höchste Kombination von High-Fidelity-Warnmeldungen, die sich am besten zur Erkennung von Bedrohungen eignen, sowie angereicherte, korrelierte Telemetrieprotokolle für Ermittlungen und die Suche nach Bedrohungen. Diese Art von Warnmeldungen kann Unternehmen dabei helfen, die Flut von Fehlalarmen einzudämmen, damit sich ihre Analysten auf die Untersuchung realer Bedrohungen konzentrieren können.
Ein Test von EDR-Tools unter Verwendung realistischer Angriffsemulationen der APT 3-Gruppe durch MITRE ATT&CK ergab kürzlich, dass Cortex XDR und Traps die meisten Angriffstechniken gegenüber 10 anderen EDR-Anbietern erkannt haben. Diese Bewertung lieferte eine der ersten offenen und objektiven Bewertungen der Branche für die tatsächlichen Funktionen und Leistungen des EDR-Marktes.
Mit seiner Standardkonfiguration während des MITRE-Tests generierte Cortex XDR 20 Echtzeit-Warnmeldungen und 82 erweiterte Telemetrieprotokolle. In einer realen Implementierung können Kunden Cortex XDR noch besser in das Verhalten potenzieller Bedrohungsakteure einbeziehen, indem sie zusätzliche Netzwerk- und Cloud-Sensoren im Cortex Data Lake einbinden. Dadurch werden Fehlalarme weiter reduziert und das Erkennen von böswilligem Verhalten verbessert.
Lesen Sie hier mehr über die MITRE-Ergebnisse von Cortex XDR und Traps von Palo Alto Networks.
Sie wollen mehr erfahren?
Selbstverständlich zeigen wir Ihnen die Vorteile von Cortex XDR und Traps auch gerne bei Ihnen vor Ort, rufen Sie uns an.