Cybereason Defense Platform: Intelligenter Cloud-Security-Service aus einem Guss

Die Zeiten, in denen das Firmen-Rechenzentrum der Standard in der professionellen IT war, sind vorbei. Vielmehr integrieren Unternehmen und Organisationen heute meist unterschiedliche Varianten von Cloud-Services in ihre IT-Infrastruktur. Laut Statista[i] nutzen derzeit 76 Prozent der deutschen Unternehmen Cloud Computing. Dafür sollen 2021 12,1 Milliarden Euro ausgegeben werden. Softwareservices kommen auf 4,5 Milliarden Euro Umsatz, Plattformservices auf 427 Milliarden Euro und Infrastrukturservices auf 705 Millionen Euro.

Die Cloud-Nutzung betrifft laut derselben Datenquelle zu 38 Prozent Public Cloud und zu 58 Prozent Private Cloud Computing. Nach Daten von IDC aus dem Jahr 2019[ii] hatten 90 Prozent der befragten Firmen zu diesem Zeitpunkt bereits eine Cloud-Strategie festgelegt. Immerhin 11 Prozent nutzten mehr als drei verschiedene Plattformen, betrieben also eine Multicloud.

Die hybride Multicloud, eine Kombination aus einer Private Cloud im eigenen Unternehmen oder bei einem Kolokateur, gekoppelt mit den Diensten eines oder meist mehrerer Public-Cloud-Provider, entpuppt sich damit als die Standard-Infrastruktur der kommenden Jahre. Neu hinzu werden in den kommenden Jahren sogenannte Edge-Clouds kommen, wo Daten entstehungsnah verarbeitet und gegebenenfalls in Steuerimpulse umgesetzt werden können.

Cloud zwingt zu veränderten Sicherheitskonzepten

Die neu entstehende Infrastrukturlandschaft hat gravierende Auswirkungen auf das Sicherheitskonzept: Der Komplexitätsgrad der Sicherheitsarchitektur steigt. Der Netzwerkrand (Perimeter) verschiebt sich noch weiter nach außen. Schon durch Mobil- und Home-Office-Nutzung wurde er immer diffuser, nun kommen Public Cloud und bald auch Edge Clouds dazu.

Zudem stehen heute eine Vielzahl von Sicherheitsprodukten – Virenscanner, Firewalls, Intrusion Detection, Digital Rights Prevention und so weiter – unverbunden nebeneinander. Ein weiteres separates Werkzeug für die Cloud verbessert die Lage nicht. Denn alle Werkzeuge erzeugen eigene Alarme, haben eigene Abfragesprachen, Updatezyklen, Benutzerschnittstellen. Den Überblick zu behalten, wird für das SOC-Team immer schwieriger.

Nötig ist daher eine integrierte, intelligente Sicherheitslösung. Sie muss die gesamte Infrastruktur umgreifen, alle Tools integrieren, gewonnene Daten unter einer Benutzeroberfläche zusammenführen, falsche Alarme möglichst frühzeitig verhindern und auf wirkliche Angriffe schnellstmöglich wirksam reagieren. Zudem sollte eine zeitgemäße Lösung in vielfältigen Erbringungsformen verfügbar sein. Im Notfall sollte der Rückgriff auf ausgewiesene Experten des Lösungslieferanten möglich sein.

Cybereason Defense Platform: Ein Agent für alle Umgebungen

Cybereason Defense Platform begegnet diesem Bedarf durch eine modulare Lösung in allen wichtigen Erbringungsformen. Um ihre Aufgaben zu erfüllen, verwendet die Cybereason Defense Platform einen einheitlichen Softwaresensor, der auf Cloud-Endpoints und auf jedem Endgerät implementiert wird. Dieser Sensor ermittelt in Echtzeit rund 400 Indikatoren des Endpunktes.

Die Sensordaten werden in der Cybereason-Cloud ML-gestützt im Gesamtkontext des jeweiligen Infrastruktur- und Netzwerkgeschehens betrachtet. Zusammengeführt mit Daten aus externen Quellen und gegebenenfalls aus beim Kunden vorhandenen, mit den Cybereason Defense Platform integrierten Drittsystemen, werden sie korreliert und kontextualisiert.

Mutmaßlich harmlose Ereignisse können sich so als erster Schritt in einer Kette maliziöser Abläufe entpuppen. Diese zielt meist auf den Gewinn unberechtigter Zugriffs- und Nutzungsrechte, die horizontale Ausbreitung in der Infrastruktur und letztlich darauf, das Unternehmen mittels Ransomware zu erpressen, Daten zu entwenden oder sonstwie Schaden anzurichten.

Indicators of Compromise (IoBs) und Malops^TM kennzeichnen bösartiges Verhalten

Derart komplexe, häufig zielgerichtete Angriffe, sogenannte Advanced Persistent Threats (APTs) werden oft dateilos oder mit anderen neuartigen Methoden ausgeführt. Sie unterlaufen viel zu lange den Radar konventioneller Sicherheitslösungen. Nach Daten von Cybereason dauert es im Durchschnitt 56 Tage, bis ein Angriff entdeckt wird. Gleichzeitig ertrinken SOC-Teams in falschen Alarmen, sogenannten False Positives.

Der Grund: Die bislang üblichen Indicators of Compromise (IoCs) wie Bedrohungs-Hashes greifen zu kurz. Deshalb hat Cybereason die verhaltensbasierte Analyse mit Indicators of Behavior (IoBs) entwickelt. IoBs kennzeichnen eine charakteristische Abfolge von Aktivitäten in der gesamten Infrastruktur einschließlich der Cloud, die im Gesamtzusammenhang verdächtig wirken. Mehren sich solche Anzeichen für einen Angriff, wird das Gesamtgeschehen als Malops^TM grafisch dargestellt.

Malops^TM-Diagramme zeigen potentielle Angriffe Schritt für Schritt als übersichtliches, interaktives Diagramm mit vielen Drill-Down-Möglichkeiten. Malops^TM liefern den genauen zeitlichen Verlauf jeder Attacke in Echtzeit und die einzelnen registriertern IoBs,  betroffene Personen, Maschinen und Prozesse. Dabei ist es egal, ob die Cloud, das Home Office, mobile User, konventionelle Arbeitsplatzrechner oder das eigene Rechenzentrum angegriffen wurden.

Punktgenaue Gegenmaßnahmen sind nur einen Mausklick entfernt. Sie laufen voll automatisiert oder sind als interaktiver Dialog realisiert. So können auch wenig erfahrenen SoC-Mitarbeiter jede  Bedrohungslage neutralisieren.

Die Effektivität bei der Bewältigung von Angriffen steigt so erheblich: Wird Cybereason als Public Cloud Service bezogen oder auf der eigenen Infrastruktur installiert, kann ein SoC-Mitarbeiter 200.000 Endpunkte überwachen. Die Reaktion auf Sicherheitsevents erfolgt bis zu 93 Prozent schneller. Das ist besonders wichtig, da SOC-Teams oft unterbesetzt und überlastet sind.

Vom Public-Cloud-Service bis zum Managed Service mit Sicherheitsgarantie

Kunden können den Leistungsumfang von Cybereason Defense Platform stufenweise vergrößern: beginnend bei NGAV (Next Generation Antivirus) über den intelligenten Schutz der Endgeräte, den Einbezug auch der Mobilsysteme bis hin zur vollständig gemanagten Plattform. Dafür müssen sie keine neuen Agenten installieren.

Im Hintergrund arbeitet das Team Nocturnus, eine Gruppe höchstqualifziterter Cybereason-Sicherheitsspezialisten aus den USA, Israel und Europa. Das Team überwacht ständig das weltweite digitale Sicherheitsgeschehen, analysiert neue Bedrohungen und entwickelt Gegenmaßnahmen. Die Nocturnus-Spezialisten unterstützt Kunden bei Bedarf oder übernehmen das komplette Management ganzer Sicherheitsumgebungen.

Managed-Service-Kunden profitieren dabei von einer Sicherheitsgarantie in Höhe von einer Million Dollar. Sie wird fällig, sobald es Angreifern gelingt, trotz des gemanagten Cybereason-Sicherheitsdienstes in die Infrastruktur einzudringen und dort Schaden anzurichten.

[i] https://de.statista.com/themen/562/cloud-computing/

[ii] IDC Deutschland: Data Center Ressourcen in Deutschland 2019 – Automatisierung, Effizienz, Skalierung, Workloads