Wenn Ihr Netzwerk angegriffen wird, verfügen Sie über eine Vielzahl von Tools – Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS), Antivirensoftware, Security Information and Event Management (SIEM)-Technologien – die Ihnen sofort eine Warnung senden dass etwas nicht stimmt.
Wenn eine potenzielle Bedrohung erkannt wird, ist Schnelligkeit von entscheidender Bedeutung. Je schneller die Bedrohung lokalisiert, isoliert und eingedämmt werden kann, desto geringer ist die Wahrscheinlichkeit, dass ein tatsächlicher Schaden oder Verlust eintritt. Während der Alarmprozess vollständig automatisiert ist, weshalb fast keine Zeit mit der Erkennung von Problemen verschwendet wird, ist der typische Sicherheitsreaktions-Workflow immer noch sehr manuell und zeitaufwändig. Hier kommen Transparenz und Automatisierung ins Spiel.
Wenn jede Sekunde zählt, löst die „Just-in-Time“-Automatisierung eine Tier-0-Diagnose aus, die die Angriffsabwehrzeit drastisch verkürzt.
Einblick in die Auswirkungen der Bedrohung gewinnen
Zuallererst müssen Sie die Auswirkungen der Bedrohung verstehen. Ihr IDS/IPS oder SIEM wird Ihnen nicht viel Einblick geben, außer dass Sie wissen, dass potenziell bösartiger Datenverkehr vorhanden ist. Ihre Netzwerkdiagramme geben Ihnen einen Eindruck davon, wie das Netzwerk verbunden ist, sodass Sie die potenziellen Auswirkungen erkennen können. Doch allzu oft sind Diagramme unvollständig oder veraltet. Sie müssen sich entweder auf Ihren Arbeitsspeicher verlassen – was in komplexen, softwaredefinierten und hybriden Umgebungen mit mehreren Anbietern immer schwieriger wird – oder manuell eine Reihe von CLI-Befehlen eingeben und Unmengen von Textausgaben durchforsten. Dadurch erhalten Sie Einblick in die Konfiguration und das Design auf Geräteebene, aber nicht auf Netzwerkebene. Das ist viel Zeit, um sich einen sehr begrenzten Überblick über die Situation zu verschaffen. Und wenn alles andere fehlschlägt, müssen Sie die Dinge an einen höherrangigen Ingenieur eskalieren. Aber wie wir alle wissen, ist es leichter gesagt als getan, den Experten zu finden, der die Blutung stoppen kann. Herkömmliche „Datensilos“ zwischen dem NOC und dem SOC machen die Zusammenarbeit und Eskalation alles andere als nahtlos – verschiedene Teams verlassen sich auf unterschiedliche Tools und unterschiedliche Systeme und unterschiedliche Datensätze.
„Just-in-Time“-Automatisierung zur Minderung der Auswirkungen der Bedrohung
Angenommen, ein Angreifer versucht, ein Zielgerät mit ICMP-Echo-Request-Paketen (Ping-Flood) zu überfluten. Ihr IPS erkennt die Bedrohung und generiert eine SNMP-Trap für Splunk. Splunk empfängt den Trap und löst mithilfe eines Such- und Warnmechanismus einen API-Aufruf an aus NetBrain mit Eingabeparametern Quelle (Angreifer) und Ziel (Opfer).
Sobald Splunk eine Bedrohung erkennt, wird ein API-Aufruf ausgelöst NetBrain um den Problembereich automatisch zuzuordnen und das Problem in Echtzeit zu diagnostizieren.
NetBrain macht dann zwei Dinge automatisch:
Wir nennen dies eine Tier-0-Diagnose, da all diese Sichtung und Analyse automatisch erfolgt, bevor sich ein Mensch einmischt. Die Just-in-Time-Automatisierungsfunktionen geben Ihnen Echtzeit-Einblicke und -Analysen über die Bedrohung, während sie entsteht.
NetBrain erstellt automatisch a Dynamic Map des Angriffspfads und ausführbar Runbooks sammelt und analysiert automatisch alle Daten für Sie.
Alle Diagnoseergebnisse werden direkt im aufgezeichnet Runbook. Diese gemeinsam genutzte Analysekonsole ermöglicht es allen zu sehen, wer was wann getan hat – wodurch die Notwendigkeit entfällt, das Rad während der Eskalation neu zu erfinden (durchführen derselben Analysen wie die vorherigen Ingenieure) und verschiedene Teams (NOC und SOC) auf dieselbe Seite bringen, um einen Angriff abzuwehren. In der Tat, ein NetBrain Umfrage stellten fest, dass die mangelnde Zusammenarbeit zwischen Netzwerk- und Sicherheitsteams die größte Herausforderung bei der Behebung von Netzwerksicherheitsproblemen war. NOC- und SOC-Teams können Prozesse automatisch dokumentieren (durch Customizing Runbooks on the fly mit den nächsten besten Schritten, die unternommen werden sollten) und teilen Sie wichtige Erkenntnisse, die die Zeit bis zur Lösung drastisch verkürzen.
Unternehmen haben seit langem die Möglichkeit, automatisch Warnungen zu generieren, wenn eine offensichtliche Bedrohung ihr Netzwerk angriff. Ist es nicht an der Zeit, dass die Ingenieure, die mit der Abschwächung dieser Angriffe beauftragt sind, den gleichen Grad an Automatisierung in ihrem Arsenal haben?
Erfahren Sie mehr darüber, wie NetBrain kann Ihnen bei Ihrer helfen Sicherheitsbemühungen.
Schauen Sie sich unseren Blog an Gewährleistung einer effektiven Sicherheit und Zusammenarbeit im Netzwerk.