Bedrohungsinformationen spielen eine wichtige Rolle in den Workflows zur Reaktion auf Vorfälle. Unternehmen benötigen differenzierte, umsetzbare und integrierte Einblicke, um schnell und präzise auf Bedrohungen reagieren zu können.
Unternehmen, die Wert auf ihre Sicherheit legen und ihr Security Operations Center (SOC) mit Tools ausstatten möchten, mit denen sie die Vorfallanalyse beschleunigen können, verlassen sich in hohem Maße auf Bedrohungsinformationen und Erkenntnisse, um Warnmeldungen zu priorisieren.
Die Quelle dieser Bedrohungsinformationen konzentrierte sich in der Vergangenheit auf das Netzwerk. Netzwerksicherheitslösungen wie Firewalls sind sehr ausgereift und waren in einer Welt, in der die Mehrheit der Benutzer an zentralen Standorten arbeitete, ein natürlicher Kontrollpunkt für Daten. Dies wurde durch die Einführung von EDR-Lösungen, mit denen Aktionen auf dem Endgerät analysiert werden können, durch Bedrohungsinformationen für Endgeräte ergänzt.
Da Bedrohungsakteure ihre Ausweichtaktiken ständig weiterentwickeln, müssen die Bedrohungsinformationen erweitert werden, um den SOC-Analysten die nötige Bereicherung zu bieten, um schnell und präzise auf Bedrohungen reagieren zu können.
SOC-Teams ziehen Daten aus zahlreichen Quellen ab, um bösartiges Verhalten zu identifizieren. Durch die Korrelation mehrerer Quellen können böswillige Absichten aufgedeckt werden, bei denen es sich sonst um mehrere unzusammenhängende Ereignisse handeln würde und die daher unbemerkt bleiben.
Eine Threat Intelligence-Lösung muss differenziert, umsetzbar und integriert sein.
Nicht dieselben Quellen wie bei anderen bestehenden Lösungen. Das Duplizieren von Daten macht ein Unternehmen nicht sicherer, es kann sogar zu Verwirrung führen. Suchen Sie stattdessen nach Informationen, die eine zusätzliche Perspektive auf die Bedrohungslandschaft bieten. Zwar gibt es viele Quellen für Einblicke in Bedrohungsinformationen zu Netzwerken, Endpunkten und Anwendungen, doch sollten Sie die Bedrohungsvektoren berücksichtigen, auf die sich Bedrohungsgruppen — wie etwa der Webbrowser — konzentrieren, und stellen Sie sicher, dass diese angemessen abgedeckt werden.
Intelligenz um der Intelligenz willen verbessert nicht unbedingt die Sicherheit oder beschleunigt die Bedrohungserkennung. Eine zentrale Überlegung bei der Integration von Bedrohungsinformationen ist, wie umsetzbar sie sind. Was Sie damit machen und welche Ergebnisse zu erwarten sind, sollten die wichtigsten Überlegungen sein.
Verwertbare Informationen liefern eine Reihe von Daten, die es einem Sicherheitsteam ermöglichen, Bedrohungen genau zu identifizieren, Ziele und Reaktionsmaßnahmen zu priorisieren und die Zeit zu verkürzen, die für die Erkennung und Reaktion benötigt wird.
Jede Informationsquelle muss sich nahtlos in bestehende SIEM-Tools (Security Information and Event Management) integrieren lassen und nicht in ein eigenständiges System. Anstatt ein komplexes System von Datenquellen aufzubauen, sollten Unternehmen, wenn möglich, versuchen, die Quellen der Bedrohungsinformationen zu konsolidieren, ohne die Reichweite zu beeinträchtigen.
Menlo beschleunigt die Arbeitsabläufe bei der Reaktion auf Vorfälle, indem es kontextreiche, umsetzbare Informationen zu browserbasierten, stark ausweichenden Angriffen auf Benutzer bereitstellt. Durch die kontinuierliche Analyse des Kunden-Web-Traffics und mehrere KI/ML-gestützte Klassifikatoren ist Menlo in der Lage, das Vorhandensein stark ausweichender Angriffe eindeutig zu identifizieren. Darüber hinaus ermöglichen rechtzeitige, umsetzbare Warnmeldungen den Sicherheitsteams, die mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR) auf alle stark ausweichenden Bedrohungen, die sich gegen ihre Benutzer richten könnten, erheblich zu reduzieren.
Der Isolationskern von Menlo Security analysiert alle Aktivitäten, die Benutzer in ihren Browsern ausführen. Dadurch kann HEAT Visibility Ereignisse innerhalb jeder Websitzung schnell und genau verstehen und korrelieren und Bedrohungsdaten bereitstellen, die ein vollständiges Bild von webbasierten Angriffen vermitteln, für die andernfalls mehrere Sicherheitslösungen und manuelle Datenintegrationsmaßnahmen erforderlich wären. Wenn Sicherheitsadministratoren Details wie nachgeahmte Markenlogos und Aktionen der Endbenutzer, einschließlich der Eingabe von Daten und Zugangsdaten, verstehen, können sie leicht erkennen, dass es sich um ein kritisches Ereignis handelt, auf das sie sofort reagieren müssen. HEAT Visibility-Warnungen können über ein spezielles Dashboard und das Analysetool Insights im Admin-Portal von Menlo Security eingesehen und per API direkt von Ihren SIEM-/SOC-Plattformen abgerufen werden.
