Die Sicherstellung von Erkennungs- und Reaktionsfähigkeiten über alle Geräte hinweg – verwaltete und nicht verwaltete – ist ein Muss für alle Unternehmen, insbesondere in Zeiten, in denen sich die Arbeitsbedingungen wandeln und die Welt zunehmend auf Remote-Arbeit setzt. Die EDR-Technologie von Cisco bietet detaillierte Sichtbarkeit, Nachverfolgung und Kontrolle über alle verwalteten Geräte hinweg, während NDR die restlichen Geräte abdeckt.
NDR verwendet eine Entitätsmodellierung, um Geräte oder Entitäten innerhalb des Netzwerks oder der Cloud zu klassifizieren – Server, Drucker, MRT-Geräte, Thermocontroller, Container usw. – und erstellt unter Verwendung von über 100 verschiedenen Verhaltensmodellen und mehr als 400 Machine-Learning-Klassifikatoren eine Baseline für normales Verhalten.
Nach der Klassifizierung können schädliche, alarmierende, abnormale Entitäten und verdächtige Datenströme erkannt werden, sogar in verschlüsseltem Datenverkehr. Und da SecureX sowohl verwaltete als auch nicht verwaltete Geräte einsehen kann, sind wir in der Lage, schädliche Aktivitäten zu erkennen und zu blockieren, die beide betreffen – zum Beispiel, wenn ein HLK-System einen Laptop zum Senden von Informationen verwendet. Zusätzlich werden alle Geräteaktivitäten überwacht und für spätere Untersuchungen aufgezeichnet, sodass im Falle eines Verstoßes alle historischen Informationen auf Netzwerk-, Geräte- und Dateiebene sofort für die Teams verfügbar sind.
Teams, die SecureX eingeführt haben, berichten von einer 85-prozentigen Reduzierung des Zeitaufwands für die Behebung von Angriffen. Dadurch sparen sie 4 bis 6 Stunden pro Woche für die Untersuchung oder 100 Stunden pro Workflow für die Automatisierung.
Zeit ist immer entscheidend, wenn es um Sicherheit geht. Cisco Secure-Lösungen bieten eine erweiterte Erkennung sowohl auf passive als auch auf aktive Weise, indem sie schwache Signale von mehreren Sicherheitskomponenten zu starken Signalen über schädliche Absichten kombinieren. So werden Sie vor Bedrohungen gewarnt, die ansonsten übersehen worden wären. Mehrschichtige Machine-Learning-Engines (überwacht, nicht überwacht, statistisch und verhaltensbasiert) werden kontinuierlich in der Umgebung ausgeführt. Zur Klassifizierung der Entitäten anhand von Modellen der Bedrohungsakteure erkennen diese Engines Anomalien und korrelieren sie mit Angriffsmustern und bekannten Kampagnen, sogar innerhalb von verschlüsseltem Datenverkehr. Die Aktivitätsbeschreibungen sowie die Verhaltens- und forensischen Profile für auftretende Bedrohungen, die Sie von diesen Machine Learning-Engines erhalten, liefern auch die Inferenzebenen, die zur Beurteilung herangezogen werden.
Das Ergebnis ist, dass Sie in der Lage sind, verdächtige Verhaltensweisen, von denen Sie nicht einmal wussten, dass Sie darauf hätten achten sollen – wie Scanning, Host-Beaconing, Datenerhebung und mehr – in Echtzeit zu erkennen und sofort darauf zu reagieren. Darüber hinaus können Sie, wenn Sie bestimmte Untersuchungen beschleunigen müssen, proaktiv nach schädlichen, versteckten Artefakten in Echtzeit suchen und den Incident Respondern schnell mitteilen, wie ein Angriff entdeckt wurde, wie er sich entwickelt hat und was als nächstes zu tun ist, um die Situation zu beheben, bevor sie zu einem echten Problem wird. Geben Sie einfach den Namen eines Artefakts in die Suchmaschine unserer Sicherheitsplattform ein und prüfen Sie Kontext, Protokolle und die Telemetrie aus dem gesamten Netzwerk bis hinunter auf die Endpunktebene. Sie wissen sofort, ob dieses Artefakt in Ihrer Umgebung beobachtet wurde, in welchen Regionen es aufgetreten ist, welche Kommunikation damit einherging, welche Geräte beteiligt waren und vieles mehr. Kunden haben berichtet, dass mit diesen XDR-Funktionen in ihren Umgebungen die Erkennungszeiten um 95 % und die Verweilzeiten um 85 % reduziert werden konnten.
SecureX und das Cisco Secure-Portfolio optimieren die Bandbreite Ihres Teams und zeichnen sich durch eine der niedrigsten Fehlalarmquoten der Branche aus, damit die Massen nutzloser Warnungen, die Sicherheitsteams normalerweise überfluten, der Vergangenheit angehören. Vor der Erstellung von Warnungen indiziert Cisco Secure eine detaillierte Ansicht der Umgebung – Netzwerk, Endpunkt und Cloud – und führt kontinuierliche Datei- und Datenverkehrsanalysen durch, um jede Ressource zu verstehen, einschließlich ihres Status, der zugehörigen Benutzeridentität, relevanter Richtlinieneinstellungen und typischer Verhaltensmuster.
Ergänzt werden diese Informationen durch eine detaillierte Ansicht aller Aktivitäten, die auf jedem Endpunkt stattgefunden haben – einschließlich des Zeitpunkts, zu dem Dateien zum ersten Mal aufgetreten sind, wie sie sich seit ihrem Eintreffen verhalten haben und aller relevanten Verbindungen mit anderen Sicherheitsebenen, die mit der Plattform verbunden sind. Das mehrschichtige Machine Learning korreliert dann das in der Umgebung beobachtete Bedrohungsverhalten mit dem global beobachteten Verhalten, um abnormale und schädliche Netzwerk- oder Cloud-Aktivitäten zu erkennen, die auf eine Sicherheitsverletzung hindeuten. Wenn eine Warnung generiert wird, sind all diese Informationen an einem einheitlichen Ort verfügbar, und mit nur wenigen Klicks können sich die Teams ein vollständiges Bild von der Situation machen.
Nur Dinge, die so aufgebaut sind, dass sie sich einfach erkunden lassen, sind auch leicht verständlich. SecureX bietet eine übersichtliche, leicht zu lesende Oberfläche, die mögliche Angriffe nach Ereignissen und Hosts aufzeigt, Warnungen mit Prioritäten für den Schweregrad der Bedrohung anzeigt und Abhilfemaßnahmen empfiehlt. In der Detailanzeige einer Warnung sehen Sie eine visuelle Forensik, die jedes Gerät, den Datenverkehr und eine Dateistrecke mit allen zugehörigen Artefakten anzeigt – von E-Mail-Anhängen bis zu Web-Anfragen.
Jetzt, da Sie die Ursache kennen, können Sie den Ausbruch leicht kontrollieren.
Im Anwendungsfall 6 erfahren Sie, wie wir Sie dabei unterstützen können.
Da unsere patentierte retrospektive Sicherheitstechnologie die Bewegung jeder Datei und jedes Datenflusses verfolgt, sind forensische Daten jederzeit verfügbar. Durch diese kontinuierliche Überwachung werden neue Bedrohungsinformationen mit historischen Daten korreliert, um Dateien automatisch in Quarantäne zu stellen, sobald sie ein schädliches Verhalten zeigen. Diese automatisierte Reaktion auf die neuesten Bedrohungen verkürzt die Zeit bis zur Erkennung und reduziert die Verbreitung von Malware erheblich. Im Falle einer Sicherheitsverletzung können Sicherheitsteams sehen, wann diese begann, wann sie entdeckt wurde und welche Art von Taktiken verwendet wurden. Sie erhalten also eine Zusammenfassung der Malware – bzw. dateilosen Malware oder eines böswilligen Insiders –, die bzw. der hinter den Aktionen steckt. Außerdem können sie herausfinden, welche Art von Informationen exfiltriert wurde, wann und wohin die Informationen gesendet wurden, und sie erhalten empfohlene Schritte zur Abhilfe.
Die Wahl der richtigen Warnungen für die Untersuchung ist ein Teil des Problems, das wir durch eine differenziertere und genauere Alarmierung erleichtern. Aber das ist nur der erste Schritt – als Nächstes müssen Sie genau herausfinden, WAS passiert und WIE Sie handeln müssen. Das ist nicht immer einfach. Daher haben wir unsere Sicherheitslösungen und Schlüsselfunktionen MITRE ATT&CK zugeordnet. Dieses Framework konzentriert sich darauf, die spezifischen Taktiken, Verfahren und Prozeduren zu verstehen, die von Angreifern verwendet werden, um Systeme zu infiltrieren. So können Teams schnell sehen, welche Arten von Gegenmaßnahmen sie zur Verfügung haben, welche sie verwenden und wann sie sie verwenden sollten.
Wenn Sie zum Beispiel auf eine Warnung klicken, können Sie alle zugehörigen Artefakte sehen und wo sie im MITRE ATT&CK-Framework einzuordnen sind. Zudem erhalten Sie Empfehlungen, wie Sie auf die Situation reagieren sollten. Sie können auch globale Abfragen durchführen, die bestimmten MITRE-Kategorien zugeordnet sind, sodass Sie Ihre Sicherheitslage schnell beurteilen und Gegenmaßnahmen in Bereichen mit versteckten Angriffen ergreifen können.
Diese Abfragen können in umfassendere Sicherheits-Playbooks eingefügt werden, die in regelmäßigen Abständen ausgeführt werden. Dank der enormen Arbeit, die Cisco bereits geleistet hat und weiterhin leistet, um bestehende IoCs auf MITRE ATT&CK abzubilden, muss Ihr Team keine Kenntnisse über das Verhalten verschiedener Malware-Stämme, die spezifischen Korrekturmaßnahmen oder MITRE selbst haben. Sie werden in der Lage sein, das Wissen, das in den Code unseres Sicherheitsportfolio eingeflossen ist, zu nutzen, um schneller intelligentere Entscheidungen zu treffen.
Zusätzlich ermöglicht SecureX die Nachverfolgung von Bedrohungen, bei der die Expertise von Talos und unserem Team für Research und Effektivitätsforschung genutzt wird, um Bedrohungen in Kundenumgebungen proaktiv zu identifizieren. Durch die automatisierte, manuelle Nachverfolgung können Bedrohungen mit hoher Genauigkeit aufgespürt und entsprechende Warnungen ausgegeben werden. Die 20 Jahre Erfahrung können einen Mangel an verfügbaren Sicherheitskenntnissen oder Personal mehr als wettmachen.
ATT&CK ist eine Sammlung der Methoden, die von Cyberangreifern verwendet werden, um sich Zugang zu Ihrer Umgebung zu verschaffen. MITRE hat diese Hunderte von Taktiken analysiert und einer relativ kurzen Liste von 41 Abhilfemaßnahmen zugeordnet.
Diese Abhilfemaßnahmen machen es einfacher, Sicherheitsthemen zu besprechen und Schritte wie die „Einschränkung webbasierter Inhalte“ zu erörtern, anstatt eine Litanei von Fragen zu stellen wie „Wie verhindern wir den Diebstahl von Zugriffstoken?“ oder "Wie kann ein Drive-by-Angriff gestoppt werden?“.
Wenn Sie mehr erfahren möchten, lesen Sie diesen Blog und dieses neue Whitepaper oder besuchen Sie uns unter cisco.com.
Eine Schlüsselkomponente von XDR ist seine Fähigkeit, sicherheitsrelevante Reaktionen zu beschleunigen und zu automatisieren. Kein Team, egal wie groß es auch sein mag, hat die Zeit, jeder einzelnen Warnung nachzugehen. Dies führt zu den Verweilzeiten, die wir heute erleben. Aber da die Exfiltration innerhalb von 3 Stunden nach einer Verletzung stattfindet, muss die Erkennung in dem Wettlauf gegen die Zeit schnellstmöglich erfolgen. Mit der Orchestrierungsfunktion unserer Sicherheitsplattform teilen wir vordefinierte Workflows für die Nachverfolgung von Bedrohungen (SecOps), das Schwachstellenmanagement (SecOps und ITOps) oder die Datenverkehrsoptimierung (SecOps und NetOps) mit Ihren Teams. Das bedeutet, dass Ihre Teams diese nicht von Grund auf neu erstellen müssen und am Beispiel lernen können. Auf diese Weise können Sie, wenn Sie Ihr eigenes automatisiertes Playbook erstellen oder Ihre Muster anpassen müssen, unseren per Drag-and-Drop zu bedienenden Erstellungsbereich mit einer umfangreichen Bibliothek integrierter Aktivitäten einschließlich der Gegenreaktionen und Genehmigungen verwenden.
Die Korrekturmaßnahmen sind jetzt einfacher und prozessorientierter. Mit detaillierter Dateiverfolgung auf allen Endpunkten und in Korrelation mit Netzwerk-, E-Mail- und Web-Aktivitäten können Sie automatisierte Dateiblockierung und Exploit-Prävention über Analyseergebnisse vor der Ausführung oder im Nachhinein konfigurieren. Wir haben zudem Richtlinienaktionen wie die Erstellung forensischer Snapshots, die Durchführung von Dateianalysen, das Blockieren von Dateien und Domänen und das Verschieben von Entitäten in eine aggressivere Schutzstufe wie die Abschaltung des Netzwerkzugriffs oder die Quarantäne automatisiert, sodass Ihre Teams mehr Zeit haben, sich auf zeitnahe Entscheidungen zu konzentrieren. All dies ist in einer einzigen Ansicht verfügbar, sodass Sie nicht zwischen den Konsolen hin- und herspringen müssen, wenn die Zeit drängt. Unsere Kunden haben berichtet, dass unsere Sicherheitsplattform ihnen geholfen hat, die Zeit bis zur Behebung von Problemen um 97 % zu reduzieren.
Ein wesentlicher Vorteil integrierter Sicherheitsebenen, eines riesigen globalen Kundenstamms und der größten nicht-staatlichen Bedrohungsforschungsorganisation der Welt ist die Fähigkeit, schnell und konsequent zu handeln, wenn tatsächlich ein Angriff stattgefunden hat. In dem Moment, in dem eine Bedrohung in Ihrer Umgebung erkannt und blockiert wird, wird sie automatisch auch von anderen angegriffenen Endpunkten entfernt und im gesamten Netzwerk, auf allen Endpunkten, in E-Mails, im Web und in der Cloud blockiert – bei 500.000 Cisco Secure-Kunden. Wenn beispielsweise ein Endgerät eine URL aufruft und angegriffen wird, wird in dem Moment, in dem diese URL als schädlich erkannt wird, die Domain für alle Geräte gesperrt und der angegriffene Endpunkt isoliert, um eine weitere Verbreitung zu verhindern.
Das Speichern, Aggregieren und Analysieren von Protokollen in großem Umfang ist selbst für sehr erfahrene Sicherheitsteams ein extrem schwieriges Unterfangen. Um dies zu vereinfachen und die von modernen Sicherheitsteams benötigte Zugriffsgeschwindigkeit zu gewährleisten, verlagern die Cisco Secure-Lösungen wichtige Elemente in die Cloud. Datenverkehrsprotokolle, Analysen, historische Daten über Endpunkte, Dateinamen, Dateibewegungen und andere Muster sind jederzeit verfügbar, werden aber außerhalb Ihrer Umgebung gespeichert. Darüber hinaus wird unsere Threat-Intelligence ebenfalls über die Cloud bereitgestellt, sodass ein riesiger Bestand an Informationen in Echtzeit verfügbar ist.
Die Größenordnung wird vielleicht an diesem Beispiel deutlich: Jede einzelne Datei, die auf Endgeräten abgelegt, an E-Mails angehängt, über das Web heruntergeladen oder im Netzwerk oder in der Cloud übertragen wird, kann von uns verfolgt werden. Wir analysieren fortlaufend alle unbekannten Dateien – solche ohne einen bekannten guten oder bekannten schlechten Ruf –, da Dateien zunächst harmlos erscheinen, sich aber später schädlich verhalten können. Wenn dies geschieht, nutzt Cisco seine Cloud-nativen Malware-Analysen, um Teams nachträglich zu alarmieren. In Verbindung mit den Anwendungsfällen 3 und 7 wird den Teams aufgezeigt, wo diese Datei in der Vergangenheit zuletzt beobachtet wurde. Danach werden automatisierte oder Single-Click-Reaktionsworkflows angeboten, um die Situation zu lösen.
Compliance ist für viele Unternehmen ein komplexes Thema, sowohl in der Definition als auch in der Umsetzung. Regeln sind in einer Firewall leicht zu konfigurieren, aber die Feststellung, wann und ob eine Störung vorliegt, ist eine andere Geschichte. Menschliche Fehler, mangelndes Fachwissen und unzureichende Fehlerbehebung können und werden leicht zu Lücken in Ihrem Compliance-Status führen. Dank der integrierten Analysefunktionen im Netzwerk, in der Cloud und auf den Endpunkten erhalten Sie Einblick in jede Kommunikation innerhalb und außerhalb Ihrer Umgebung. Diese Transparenz deckt Konfigurationsrisiken auf, indem Berechtigungsregeln, veraltete API-Schlüssel und native Compliance-Warnungen in Cloud-Infrastrukturen erkannt werden. Außerdem ermöglicht sie Prüfpfade und Warnungen bei Richtlinienverletzungen, die auf die Geschäftslogik abgestimmt werden können.
Da sich die Transparenz auf alle einzelnen Endpunkte erstreckt, kann der Status der Systeme wie Betriebssystemversionen, Software-Schwachstellen und aktuelle Patches ganz einfach überprüft werden, um das Risiko angemessen zu beurteilen. Darüber hinaus können diese Arten von Geräte- und Richtlinienprüfungen in SecureX durch Live-Geräteabfragen automatisiert werden (mit einer Secure Endpoint-Funktion namens Orbital). Außerdem sind wir in der Lage, Benutzer- und Endpunktschutz zu vereinheitlichen, um die Compliance in Echtzeit durchzusetzen und ein Zero-Trust-Modell zu erreichen. Durch die Weitergabe von Telemetriedaten von unserem Endpunkt-Agenten an Analyse- und Zugriffslösungen können wir Informationen wie Standort, Gerät, Status usw. sofort berücksichtigen und den Zugriff automatisch entsprechend anpassen. Dies stellt sicher, dass die richtigen Personen den richtigen Zugriff auf die richtigen Informationen haben – ohne das Unternehmen zu gefährden.
Cisco ist zweifacher führender Anbieter von Zero Trust in „The Forrester Wave: Zero Trust eXtended Ecosystem Platform Providers“. Cisco hat von Forrester die höchstmögliche Punktzahl in den Kategorien ZTX-Vision und -Strategie, Marktansatz, ZTX Advocacy und Zukunft der Zero-Trust-Infrastruktur erhalten.
Eine der nachvollziehbarsten Bedenken, die Gartner in seiner Analyse von XDR-Produkten anführt, ist die Herstellerabhängigkeit. Und das zu Recht. Die Integration ist an sich schon ein schwieriges Unterfangen – Integrationen zu erstellen, die konkurrierende Technologien aufnehmen, ist auf eine ganz eigene Art problematisch. Aber vorrangig ist die Sicherheit des Kunden – und sollte es auch immer sein.
SecureX wurde mit Blick auf größtmögliche Offenheit entwickelt und bietet Ihnen die Flexibilität, Ihre Tools miteinander zu verbinden, sei es mit eingebetteten, vorkonfigurierten oder benutzerdefinierten Integrationen.
Eingebettete Integrationen – Kunden können sofort eingebettete Integrationen in SecureX konfigurieren, die von Cisco und ausgewählten Partnern für Technologie von Drittanbietern entwickelt wurden.
Vorkonfigurierte Integrationen – Mit den von Cisco oder seinen Partnern entwickelten Paketen verwenden Kunden vorgefertigte Skripte und eine vom Kunden bereitgestellte Cloud-Infrastruktur zur Konfiguration von Integrationen.
Benutzerdefinierte Integrationen – Kunden können die SecureX Threat Response-APIs und APIs anderer Technologieanbieter für jede benutzerdefinierte Integration nutzen.
Viele Tools lassen sich auf eine dieser drei Arten integrieren, aber wir bieten auch eine Browsererweiterung an, mit der Sie die integrierten Funktionen von SecureX auf jedes beliebige browserbasierte Tool eines Drittanbieters ausweiten können. Unser Partner-Ecosystem für Technologie umfasst bereits Intelligence-Quellen, operative Tools wie SIEMs und SOARs sowie Sichtbarkeits- und Schutzlösungen, die dazu beitragen, die in SecureX integrierte Nachverfolgung von Bedrohungen und Incident Response zu ergänzen. Tatsächlich geben 82 % unseres derzeitigen Kundenstamms an, dass unsere Integrationen von Drittanbietern bereits einen bedeutenden Mehrwert für ihre Untersuchungstätigkeit darstellen.
