RSA ADVANCED SECURITY OPERATIONS CENTER-LÖSUNG Umfassende Transparenz, schnelle Erkennung, effektive Reaktion

Transkript

1 RSA ADVANCED SECURITY OPERATIONS CENTER-LÖSUNG Umfassende Transparenz, schnelle Erkennung, effektive Reaktion ÜBERSICHT Es vergeht kaum ein Tag, an dem Printmedien und Nachrichten nicht von aktuellen Sicherheitsverletzungen berichten. Wie viele andere Publikationen kommt auch der Data Breach Investigations Report 2015 von Verizon zu dem Schluss, dass die Angreifer den Verteidigern in der Regel einen Schritt voraus sind. Fakt ist: Angreifer benötigten zur Infizierung von Unternehmen meist nur wenige Tage, die Verteidiger in der Regel aber sehr viel länger für die Entdeckung dieser Angriffe. Angreifer gewinnen also fast immer. Aber warum sind die Angreifer so erfolgreich? Dafür gibt es mehrere Gründe: Angreifer werden immer raffinierter, gehen gezielter vor und können größere Angriffsflächen nutzen, während die aktuellen Sicherheitskontrollen der Unternehmen versagen. Vor diesem Hintergrund müssen Unternehmen die Erkennungs-, Ermittlungs- und Reaktionsfunktionen ihrer SOCs (Security Operations Center) für Sicherheits-Incidents auf eine höhere Ebene bringen. Entscheidend für die effektive Verbesserung dieser Funktionen sind drei Faktoren: Mitarbeiter, Prozesse und Technologien. Mit umfassender Transparenz liefert die RSA Advanced SOC-Lösung die Grundlage für die verbesserte Erkennung und Ermittlung von Sicherheits-Incidents und eine entsprechende Reaktion. Services, über die Aufnahme von Protokollen, Netzwerkpaketen und NetFlow-Daten in Echtzeit und die Analyse dieser Daten mit Modellen zur Event Stream- und Verhaltensanalyse, die Bedrohungen erkennen und identifizieren, bevor ein Angreifer Schaden verursachen kann. RSA ECAT (Enterprise Compromise Assessment Tool) ermöglicht die Transparenz Ihrer Endpunkte auf Anwender- und Kernel-Level, informiert über ungewöhnliche Aktivitäten, bewertet die Bedrohung des Geräts/Endpunkts und blockiert den Prozess oder verschiebt ihn in Quarantäne. RSA SecOps (Security Operations Management) bietet eine Lösung, die über die wiederholbare Automatisierung und Orchestrierung Ihrer Mitarbeiter, Prozesse und Technologien eine bessere Priorisierung und Ermittlung von Sicherheits-Incidents und eine entsprechende Reaktion ermöglicht. RSA Advanced Cyber Defense Practice bietet Services zur Bewertung und Entwicklung Ihrer SOC-Strategie und deren Bereitschaft sowie Ausfallsicherheit. RSA IR Practice (Incident Response) bietet Services, die Unternehmen bei der Erkennung und Ermittlung von Incidents und Sicherheitsverletzungen unterstützen, damit deren Ursachen identifiziert und Pläne zur Eindämmung und Behebung entwickelt werden können. Auf welchem Stand Ihr Unternehmen in puncto Sicherheitsabläufe auch sein mag: Mit der RSA Advanced SOC-Lösung bringen Sie Ihr Unternehmen auf eine höhere Ebene, können Sicherheits-Incidents besser erkennen und ermitteln sowie entsprechend reagieren. Die RSA Advanced SOC-Lösung setzt sich aus individuellen Technologien und Servicelösungen zusammen, deren Integration eine noch umfassendere Lösung ermöglicht. RSA Security Analytics verschafft Einblicke in die Sicherheit Ihrer gesamten Infrastruktur, und zwar vor Ort ebenso wie für Public-Cloud- AKTUELLE SITUATION Die Bedrohungsakteure sind äußerst hartnäckig und arbeiten mit Open-Source-Methodologien, um sich Zugriff auf Unternehmen zu verschaffen und diese zu infizieren. Für Angreifer ist es ein Kinderspiel und zudem extrem rentabel, mit anderen gemeinsame Sache zu machen und bereits existierende Exploits zu LÖSUNGSÜBERSICHT

2 nutzen. Cyberkriminelle, Staaten und Hacktivisten verwenden Open-Source-Methodologien, um sich finanziell zu bereichern und sich Zugang zu IP (Intellectual Property) oder PII (Personally Identifiable Information) zu verschaffen. Sie verwenden TTPs, (Tools, Techniques and Procedures), um Unternehmen anzugreifen, auszubeuten und zu infizieren. In den letzten Jahren sind die TTPs der Angreifer ausgeklügelter geworden, denn sie täuschen ein normales Benutzer- und Unternehmensverhalten vor, das von präventiven, perimeterbasierten Sicherheitskontrollen nicht erkannt wird. Beispielsweise wird beim Phishing Schadsoftware über verdeckte Kanäle an die Opfer übermittelt, was es extrem schwierig macht, das Eindringen schädlicher Nutzdaten zu erkennen. Derzeit stehen Unternehmen, die in perimeterbasierte, präventive Kontrollen und protokollbasierte SIEM- Systeme (Security Incident and Event Management) investiert haben, an einem Scheideweg. Denn Angreifer überwinden diese präventiven Kontrollen und können vom SIEM nicht erkannt werden, weil sie gültige Benutzeranmeldedaten, vertrauenswürdige Zugriffspfade und neue Exploits verwenden, die normales Benutzerverhalten vortäuschen. Herkömmliche, perimeterbasierte Sicherheitskontrollen und SIEMs erkennen die raffinierten TTPs der Angreifer nicht. Das folgende Diagramm zeigt die Leerstelle, die Angreifer erfolgreich für ihre Angriffe nutzen. Datenquellen vollständige Erfassung von Datenpaketen, NetFlow und Protokollen Bedrohungsvektoren Endpunkt, Netzwerk und Cloud RSA Security Analytics ermöglicht umfassende Transparenz über Datenquellen und Bedrohungsvektoren hinweg und reichert Rohdaten zum Zeitpunkt der Erfassung mit Kontextinformationen an, die Sicherheitsanalysten für die Erkennung und Ermittlung von Sicherheits-Incidents nutzen können. Die ergänzenden Inhalte stellt RSA Live bereit. Die Plattform RSA Live liefert Bedrohungsinformationen, Unternehmenskontext und einsatzfertige Inhalte für das Parsing von Datenquellen, die Definition von Warnregeln und das Reporting. Der Vorteil für unsere Kunden liegt in der Zeitersparnis, da auf bereits anderweitig festgestellte Befunde mit RSA Live zurückgegriffen wird. ESA (Event Stream Analysis) ist die Analyse-Engine für RSA Security Analytics. Durch die Korrelation verschiedener Datenquellen werden raffinierte Angriffe erkannt, bevor die Angreifer ihr Ziel erreichen. ESA stellt verhaltensbasierte Analysemodelle bereit, die das Verhalten der Angreifer schnell erkennen und begreifen, wobei weder eine fundiertere Kenntnis des Angriffs noch ein Rückgriff auf Signaturen, Regeln oder Analysten-Tuning erforderlich sind. So erkennt ESA beispielsweise die Akteure raffinierter C2-Angriffe (Command and Control) lange vor der Datenexfiltration über entdeckte Anomalien im Domainverhalten. RSA SECURITY ANALYTICS Vollständige und umfassende Transparenz mit Verhaltensanalysen in Echtzeit ist der erste Schritt zum Erkennen ausgeklügelter Angriffe. Transparenz muss über folgende Bereiche hinweg ermöglicht werden: RSA Security Analytics ist eine umfassende Lösung, die speziell für die Erkennung und Ermittlung von Sicherheits-Incidents konzipiert wurde. Wird in der Kundenumgebung ein Angriff festgestellt, kann RSA Security Analytics genutzt werden, um Sitzungen zu rekonstruieren, die Ermittlungen mit Kontext von RSA ECAT oder anderen Quellen zu ergänzen und einen effektiven Behebungsplan zu implementieren. RSA

3 Security Analytics ist herkömmlichen SIEM-Lösungen deutlich überlegen und bietet sehr viel mehr. SIEM- Lösungen konzentrieren sich auf die schnelle Aufnahme und die Korrelation von Protokollen. RSA Security Analytics hingegen bietet umfassende Transparenz und Analyse über verschiedene Datenquellen und Bedrohungsvektoren hinweg, wodurch ausgeklügelte Angriffe erkannt werden können. Anbieter herkömmlicher SIEMs konzentrieren sich auf Fallbeispiele wie Compliance oder IT-Abläufe, RSA Security Analytics hingegen auf die Erkennung und Ermittlung komplexer Sicherheitsbedrohungen. Die Grundfunktionen von RSA Security Analytics ermöglichen die automatisierte Bedrohungserkennung. RSA ECAT sorgt für Transparenz im Hinblick auf Angriffe an Endpunkten und ist vollständig in RSA Security Analytics integriert. Sobald RSA ECAT verdächtige Aktivitäten oder ein ungewöhnliches Endpunktverhalten entdeckt, werden Warnmeldungen/Events und kritische Endpunktdaten an RSA Security Analytics weitergeleitet, wo sie zueinander in Beziehung gesetzt werden und Transparenz an den Endpunkten ermöglichen. Im Gegenzug können Analysten bei der Ermittlung von Sicherheits-Incidents nach Belieben zwischen RSA Security Analytics und RSA ECAT wechseln, wodurch sich der Zeitaufwand für forensische Analysen reduziert. RSA ECAT ist die spezifische Lösung zur Identifizierung von Endpunkten, bei denen das Risiko einer Infizierung besonders hoch ist. Die Risikobewertung eines Endpunkts erfolgt über die Kombination von Geräteund Prozessverhalten am Endpunkt. Zur Risikobewertung werden Daten und Analysen aus Bedrohungsinformationsfeeds, das Verhalten des Netzwerks und Prozess- sowie Dateianomalien mit Infizierungsindikatoren, Ziel-IP-Informationen und anderen Faktoren in Beziehung gesetzt. Eine Reihe von Angreiferaktionen und das gleichzeitige Auftreten ungewöhnlicher Aktivitäten von Benutzern und Entitäten können beispielsweise als Frühindikatoren einer C2-Kommunikation dienen, die weitere - Ermittlungen und Gegenmaßnahmen erfordern, um den Angreifer zu stoppen. RSA Security Analytics greift auf die relevanten Daten zurück, erstellt Profile der Angreifer-TTPs, erkennt Anomalien mit Verhaltensanalyse und automatisiert dadurch die Bedrohungserkennung. Wird das Risiko eines Endpunkts als hoch bewertet, ist dieser verdächtig und könnte potenziell von Angreifern infiziert werden, woraufhin der Sicherheitsanalyst weitere Ermittlungen in die Wege leiten wird. RSA ECAT Endpunkte wie Windows- oder Mac-Geräte, also Server und Laptops bzw. Desktops, stellen Bedrohungsvektoren dar, die Angreifer nutzen, um Schadsoftware zu installieren und sich so privilegierten Zugriff zu verschaffen und sensible Daten auszulesen. Für Unternehmen ist die Transparenz von Endpunkten besonders wichtig, um Bedrohungen zu erkennen, die herkömmlichen, signaturbasierten Lösungen verborgen bleiben. RSA SECOPS Ein SOC (Security Operations Center) setzt sich aus Mitarbeitern, Prozessen und Technologien zusammen. Die Orchestrierung von Mitarbeitern, Prozessen und Technologien verbessert die Effizienz des gesamten SOC-Programms. Als effektive Strategie haben sich Investitionen in Technologie und die detaillierte Betrachtung des Zusammenspiels dieser drei SOC- Faktoren bewährt. Orchestrierung und Framework können den Return on Investment verbessern und

4 unterstützen den optimalen Einsatz von Ressourcen bei der Implementierung eines SOC. RSA SecOps (Security Operations Management) ermöglicht Orchestrierung und Framework für das SOC. SecOps ist in RSA Security Analytics, RSA ECAT und andere Sicherheitsüberwachungssysteme von Drittanbietern integriert, fügt Events/Warnmeldungen/Incidents hinzu und managt den gesamten Workflow zur Reaktion auf Incidents. Der Workflow und das Erfassen von Incident- Informationen orientieren sich an bewährten Standards der Branche wie NIST, US-CERT, SANS und VERIS. RSA SecOps nützt sämtlichen Mitarbeitern des SOC, also Analysten, Incident-Koordinatoren, SOC-Managern und CISO und bietet einen Überblick über die Effizienz des SOC-Programms insgesamt. Ein Unternehmen, das RSA SecOps zur Reaktion auf Incidents und Sicherheitsverletzungen sowie für das SOC- Programmmanagement nutzt, kann die Funktionen zur Reaktion auf Sicherheits-Incidents insgesamt als effektiven, vorhersehbaren und konsistenten Prozess managen. RSA ADVANCED CYBER DEFENSE PRACTICE RSA Advanced Cyber Defense Practice umfasst eine Reihe von Professional Services, mit denen Unternehmen den Reifegrad ihrer Sicherheitssysteme und ihre Ausgangsposition verbessern, sich auf Sicherheits-Incidents vorbereiten und entsprechend reagieren und dadurch mit der Bedrohungsumgebung Schritt halten können. Diese Services unterstützen Unternehmen auch bei der Entwicklung von Strategien und Taktiken für den Aufbau und die Optimierung ihrer Sicherheitsprogramme, wobei der Schwerpunkt insbesondere auf Konzeption und Optimierung von SOCs oder Teams für die Reaktion auf Incidents und der effizienten Verwendung von Bedrohungsinformationen liegt. RSA-TEAM FÜR DIE REAKTION AUF INCIDENTS Das RSA-Team für die Reaktion auf Incidents setzt sich aus Experten zusammen, die Kunden in erster Linie dabei unterstützen, Sicherheits-Incidents oder Sicherheitsverletzungen zu ermitteln, darauf zu reagieren und die Sicherheit anschließend wiederherzustellen. Im Team sind herausragende Mitarbeiter mit weitreichender Erfahrung in der Reaktion auf Incidents tätig, die bewährte Prozesse und spezialisierte Technologie zur Schadensbegrenzung einsetzen, wenn ein Sicherheits-Incident sich zu einer Sicherheitsverletzung entwickelt hat. RSA Services für die Reaktion auf Incidents können auf verschiedenste Weise genutzt werden. Diese reichen von der Erkennung und Reaktion bis hin zur Verwendung als Retainer. STANDPUNKTE DER BRANCHE Kürzlich von Experten und Analysten der Branche veröffentlichte Studien und Artikel verfolgen eine ähnliche Linie wie die RSA Advanced SOC Platform- Strategie. Sie identifizieren die erforderlichen Funktionen zur Implementierung eines Programms für die effektive Erkennung und Ermittlung von Sicherheits- Incidents und eine entsprechende Reaktion. In diesen Veröffentlichungen werden folgende Funktionen genannt: Der Artikel Network World Incident Response Fab Five Erforderliche Funktionen eines Programms für die Incident-Erkennung und die entsprechende Reaktion: 1. Netzwerkforensik 2. Hostbasierte Forensik 3. Bedrohungsanalyse 4. Monitoring von Benutzerverhalten 5. Prozessautomatisierung Forrester: Security Analytics is the Cornerstone Of Modern Detection and Response Empfehlungen für die Behandlung von Incidents: 1. Security Analytics-Plattform zwingend notwendig

5 2. Umfassender Überblick über das Netzwerk zwingend notwendig 3. Erkennung von Datenexfiltration zwingend notwendig 4. Unbekanntes muss erkannt werden können 5. Dezidierte FTEs für Funktionen zur Reaktion auf Incidents zwingend notwendig Der Gartner Technology Overview for MSSP Advanced Threat Detection Defense (April 2015) kommt zu folgendem Ergebnis: 1. Ausführung von Datenverkehrsanalysen und - forensiken zwingend erforderlich eine höhere Ebene bringen können. Die RSA Advanced SOC-Lösung bietet Ihrem Unternehmen unmittelbare Vorteile, wenn Sie sich mit folgenden Fragestellungen beschäftigen: Wie gut ist Ihr Unternehmen Ihrer Ansicht nach auf Angriffe vorbereitet? Kann zeitnah ermittelt werden? Wie identifizieren Sie infizierte Ressourcen und welche Art Daten nutzen Sie hierfür? Welche Strategie verfolgen Sie für die effektive Reaktion auf Incidents und können Sie deren Effektivität auch für C-Level belegen? Besitzen Sie ausreichend Know-how und erfahrene Mitarbeiter zur Erkennung von raffinierten Angriffen und die entsprechende Reaktion? 2. Transparenz in Endpunktverhalten und Endpunktforensiken notwendig VORTEILE VON RSA RSA Advanced SOC ist eine umfassende Palette von Lösungen und Services, mit denen sich die Effizienz eines Unternehmens hinsichtlich der Prozesse zur Erkennung und Ermittlung von Sicherheits-Incidents und der entsprechenden Reaktion verbessern lässt. RSA Security Analytics, RSA ECAT und RSA SecOps sind vollständig integrierte Lösungen, die auch in Systeme zur Sicherheitsüberwachung von Drittanbietern integriert werden können und umfassende Transparenz gewähren, ungewöhnliches Verhalten vom Endpunkt bis zur Cloud erkennen und Angreifer-TTPs analysieren und rekonstruieren. Die Services von RSA Advanced Cyber Defense unterstützen Unternehmen proaktiv bei der Bewertung von Lücken ihrer Sicherheitsprogramme und sprechen Empfehlungen aus, wie diese Lücken mithilfe von Mitarbeitern, Prozessen und Technologien geschlossen werden können. Die Services von RSA IR können dann genutzt werden, wenn zusätzliche Unterstützung bei der Ermittlung von Sicherheits-Incidents und der entsprechenden Reaktion erforderlich ist. RSA ist einer der wenigen Anbieter mit dem erforderlichen Know-how und einem breitgefächerten Lösungs- und Serviceangebot, mit dem Sie Ihr Unternehmensprogramm zur Reaktion auf Incidents auf EMC 2, EMC, das Logo von EMC, RSA, das Logo von RSA und Archer sind eingetragene Marken oder Marken der EMC Corporation in den USA und anderen Ländern. VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und anderen Ländern. Copyright 2016 EMC Deutschland GmbH. Alle Rechte vorbehalten. Veröffentlicht in Deutschland. 2/16 Lösungsüberblick H RSA ist der Ansicht, dass die Informationen in dieser Veröffentlichung zum Zeitpunkt der Veröffentlichung korrekt sind. Die Informationen können jederzeit ohne vorherige Ankündigung geändert werden.