by 1. August 2018
Bei einem Angriff von Bedrohungen der Netzwerksicherheitverfügen Sie über zahlreiche Tools – Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Antivirensoftware, Security Information and Event Management (SIEM)-Technologien – die Ihnen umgehend eine Warnung senden, wenn etwas nicht stimmt.
Wenn eine potenzielle Bedrohung erkannt wird, ist Geschwindigkeit von entscheidender Bedeutung. Je schneller Netzwerksicherheitsbedrohungen lokalisiert, isoliert und eingedämmt werden können, desto geringer ist die Wahrscheinlichkeit, dass tatsächliche Schäden oder Verluste auftreten. Während der Warnprozess vollständig automatisiert ist, weshalb bei der Erkennung von Problemen fast keine Zeit verschwendet wird, ist der typische Sicherheitsreaktions-Workflow immer noch sehr manuell und zeitaufwändig. Hier kommen Transparenz und Automatisierung ins Spiel.
Wenn jede Sekunde zählt, löst die „Just-in-Time“-Automatisierung eine Tier-0-Diagnose aus, die die Angriffsabwehrzeit drastisch verkürzt.
Einblicke in die Auswirkungen von Netzwerksicherheitsbedrohungen gewinnen
Zuallererst müssen Sie die Auswirkungen von Netzwerksicherheitsbedrohungen verstehen. Ihr IDS/IPS oder SIEM bietet Ihnen keine großen Einblicke, außer dass es potenziell bösartigen Datenverkehr gibt. Ihre Netzwerkdiagramme geben Ihnen einen Eindruck davon, wie das Netzwerk verbunden ist, sodass Sie die potenziellen Auswirkungen erkennen können. Aber Diagramme sind allzu oft unvollständig oder veraltet. Sie müssen sich entweder auf Ihr Gedächtnis verlassen – was bei komplexen, softwaredefinierten und hybriden Umgebungen mit mehreren Anbietern immer schwieriger wird – oder manuell eine Reihe von CLI-Befehlen eingeben und Unmengen von Textausgaben durchforsten. Dadurch erhalten Sie Einblick in die Konfiguration und das Design auf Geräteebene, aber nicht auf Netzwerkebene. Das ist viel Zeit, um einen sehr begrenzten Überblick über die Situation zu erhalten. Und wenn alles andere fehlschlägt, müssen Sie die Angelegenheit an einen erfahreneren Ingenieur weiterleiten. Aber wie wir alle wissen, ist es leichter gesagt als getan, den Experten zu finden, der die Blutung stoppen kann. Herkömmliche „Datensilos“ zwischen NOC und SOC machen die Zusammenarbeit und Eskalation alles andere als reibungslos – verschiedene Teams verlassen sich auf unterschiedliche Tools, unterschiedliche Systeme und unterschiedliche Datensätze.
„Just-in-Time“-Automatisierung zur Minderung von Netzwerksicherheitsbedrohungen
Angenommen, ein Angreifer versucht, ein Zielgerät mit ICMP-Echo-Request-Paketen (Ping-Flood) zu überfluten. Ihr IPS erkennt die Bedrohung und generiert eine SNMP-Trap für Splunk. Splunk empfängt den Trap und löst mithilfe eines Such- und Warnmechanismus einen API-Aufruf an aus NetBrain mit Eingabeparametern Quelle (Angreifer) und Ziel (Opfer).
Sobald Splunk Bedrohungen für die Netzwerksicherheit erkennt, werden API-Aufrufe ausgelöst NetBrain um den Problembereich automatisch zuzuordnen und das Problem in Echtzeit zu diagnostizieren.
NetBrain macht dann zwei Dinge automatisch:
- Es berechnet den Weg zwischen Angreifer und Opfer, baut ein Dynamic Map des Angriffspfads und liefert die URL dieser Karte automatisch an Splunk zurück.
- Es führt ein Runbook – eine programmierbare (und anpassbare) Reihe von Verfahren zum Sammeln und Analysieren spezifischer Netzwerkdaten – die erste Schritte zur Fehlerbehebung durchführt, Leistungsstatistiken erfasst und den Netzwerkstatus dokumentiert zu dem Zeitpunkt, als die Bedrohung erkannt wurde.
Wir nennen dies eine Tier-0-Diagnose, da die gesamte Sichtung und Analyse automatisch erfolgt, ohne dass ein Mensch eingreifen muss. Die „Just-in-Time“-Automatisierungsfunktionen geben Ihnen Echtzeiteinblicke und Analysen zu Netzwerksicherheitsbedrohungen, während diese auftreten.
NetBrain erstellt automatisch a Dynamic Map des Angriffspfads und ausführbar Runbooks sammelt und analysiert automatisch alle Daten für Sie.
Alle Diagnoseergebnisse werden direkt im aufgezeichnet Runbook. Diese gemeinsam genutzte Analysekonsole ermöglicht es allen zu sehen, wer was wann getan hat – wodurch die Notwendigkeit entfällt, das Rad während der Eskalation neu zu erfinden (durchführen derselben Analysen wie die vorherigen Ingenieure) und verschiedene Teams (NOC und SOC) auf dieselbe Seite bringen, um einen Angriff abzuwehren. In der Tat, ein NetBrain Umfrage stellten fest, dass die mangelnde Zusammenarbeit zwischen Netzwerk- und Sicherheitsteams die größte Herausforderung bei der Behebung von Netzwerksicherheitsproblemen war. NOC- und SOC-Teams können Prozesse automatisch dokumentieren (durch Customizing Runbooks on the fly mit den nächsten besten Schritten, die unternommen werden sollten) und teilen Sie wichtige Erkenntnisse, die die Zeit bis zur Lösung drastisch verkürzen.
Organisationen können schon seit langem automatisch Warnmeldungen generieren, wenn ihr Netzwerk offensichtlich von Sicherheitsbedrohungen angegriffen wird. Ist es nicht an der Zeit, dass die Ingenieure, die mit der Abwehr dieser Angriffe beauftragt sind, über ein ähnliches Maß an Automatisierung verfügen?
Erfahren Sie mehr darüber, wie NetBrain kann Ihnen bei Ihrer helfen Sicherheitsbemühungen.
Schauen Sie sich unseren Blog an Gewährleistung einer effektiven Sicherheit und Zusammenarbeit im Netzwerk.