:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vom Monitoring bis zur Gegenaktion Mission Control von Splunk integriert den Security-Zyklus
Auf der diesjährigen Anwenderkonferenz „.conf“ präsentierte die kalifornische Softwareschmiede Splunk neben anderen Neuerungen „Mission Control“. Hinter dem Begriff verbirgt sich eine integrierte Umgebung für das Security Operation Center (SOC), die vom Monitoring über die Investigation bis zur Gegenaktion den gesamten Zyklus der IT-Sicherheit unterstützen soll.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Kommen die Marktchampions im Sektor Security-Software zur Sprache, fallen meist Namen wie McAfee oder Symantec, im Enterprise-Umfeld sicher auch IBM, Dell und HP. Splunk wird häufig vergessen, obwohl das in San Francisco heimische Unternehmen 2018 rund zwei Fünftel seines Jahresumsatzes im Security-Bereich erzielte; das sind immerhin 700.000 Dollar. Zudem positioniert der „Gartner Magic Quadrant“ den Anbieter im Marktsegment Security Information and Event Management (SIEM) ganz weit rechts oben, also in führender Position hinsichtlich „Vollständigkeit der Vision“ und „Lieferfähigkeit“.
Dass Splunk sich derzeit nicht vorrangig als Security-Spezialisten vermarkten will, liegt wohl daran, dass man neben den IT-Spezialisten jetzt verstärkt die Business-Klientel ansprechen möchte. Symptomatisch sind Marketing-Schlagwörter wie „Data-to-Everything-Plattform“ oder „Data-to-Action-Company”. Im Grunde genommen gehe es aber immer um Dasselbe, erläutert Oliver Friedrichs, Vice President Security Products bei Splunk: „Nämlich um den Digital Exhaust, also darum, Einsichten aus den Daten herauszupressen.“
Dabei kann Splunk – dank der „Schema-on-read“-Technik – relativ rasch auch solche Daten verarbeiten, die nicht in strukturierter Form verfügbar sind. Im Anwendungsfall IT-Sicherheit handelt es sich dabei vor allem um Daten, die am „Endpoint“, sprich: beim Anwender, auflaufen. Sie betreffen Log-ins, Windows Event Logs, Antivirus-Aktivitäten und Firewall-Daten, Endpoint Detection and Respond (EDR), Anwenderverhalten, zum Beispiel anhand des Active Directory, etc.
Rundum-Überwachung am User Endpoint
Splunk verfügt bereits seit längerem über ein wirkungsvolles Software-Arsenal für das Security Operation Center (SOC) – mit dem Monitoring-Werkzeug „Enterprise Security“ (ES), mit einem Tool für die „User Behaviour Analysis“ (UBA) sowie mit der für Security Orchestration, Automation and Response (SOAR) ausgelegten Software „Phantom“. Die neue Arbeitsoberfläche Mission Control verbindet diese drei Software-Werkzeuge und soll es den Sicherheitsverantwortlichen ermöglichen, Security-relevante Daten über unterschiedliche Instanzen von Splunk und Splunk ES hinweg zu überwachen, zu analysieren und schließlich auf etwaige Bedrohungen zu reagieren.
Das Hauptprodukt ES liegt bereits in der Version 6.0 vor. Die aktuelle Ausführung der SIEM-Plattform ist laut Anbieter sowohl schneller als auch höher skalierbar als die Vorgängerversion, was vor allem an den neuen Asset- und Identitäten-Frameworks liege. Darüber hinaus biete sie die Möglichkeit, Analytics-Reports über Dateninvestigationen zu erstellen. Zu bestimmten Sicherheitsmetriken sind jetzt vorkonfigurierte Berichte abrufbar. Und last, but not least lässt sich ES 6.0 enger mit dem Machine-Learning-Toolkit (MLT) von Splunk integrieren.
Vor allem die ML-Funktionen sind auch das Pfund, mit dem UBA 5.0 wuchern kann. Das Produkt dient dazu, Anomalien im Anwender- und Systemverhalten möglichst rasch und präzise zu entdecken beziehungsweise zu lokalisieren. Dazu legt es eine Analytics-Schicht über die verfügbaren Daten.
Die neue Produktausführung hilft den SOC-Teams, Machine-Learning-Modelle für die Beobachtung von abweichenden Performance-Werten und ungewöhnlichem Anwenderverhalten maßzuschneidern – ausgerichtet an der jeweiligen Sicherheitsumgebung und dem speziellen Anwendungsfall. Damit das leichter und schneller vonstatten geht, stellt UBA 5.0 jetzt auch vorgefertigte Custom-Use-Frameworks bereit. Disaster-Recovery-Funktionen und Geräte-Management wurden ebenfalls verbessert.
Automation statt Feuerwehreinsatz
In einer produktorientierten Konferenz-Keynote gab Kia Behnia, Vice President IT Markets bei Splunk, den Slogan aus: „Wir stehen für Automation, nicht für die Bekämpfung von Bränden.“ Feuerwehrleute seien sicher Helden, erläuterte er auf Nachfrage, aber den meisten von ihnen sei es sicher lieber, wenn sie nicht so oft ausrücken müssten, wenn also die ersten schwachen Anzeichen eines Brandherds so früh erkannt würden, dass er sich noch mit wenig Aufwand ersticken lasse. Der legendäre „War Room“, den Security-Teams nach einem Zwischenfall aufbauen, soll nach Behnias Auffassung über kurz oder lang der Vergangenheit angehören.
Diese Forderung lässt sich, so der Splunk-Manager, besonders auf die Security-Produkte anwenden: Splunk wolle die Security Operation Center in die Lage versetzen, mögliche Bedrohungen permanent zu identifizieren und angemessen darauf zu reagieren, bevor sie den Betrieb tatsächlich stören oder sogar zum Erliegen bringen. Zu diesem Zweck hat der Software-Anbieter seine Security-Produkte vor etwa 18 Monaten durch das SOAR-Werkzeug Phantom abgerundet.
Das jüngste Release 4.6 ist auch auf mobilen Endgeräten verfügbar. Das Tool wurde dafür geschaffen, Routineaufgaben zu automatisieren, damit sich die Sicherheitsanalysten ganz auf ihr eigentliches Arbeitsfeld, das Erkennen und Abwehren unternehmenskritischer Ausnahmefälle, konzentrieren können. Über Apps können die Entwickler in den Kundenunternehmen auf den Quellcode von Phantom zugreifen; so sind sie in der Lage, Orchestrierung und Automationsfunktionen auf die individuellen Bedürfnisse des SOC anzupassen und Muster für Abwehraktionen in einem „Playbook“ zu hinterlegen.
Voraussichtlich im Frühling verfügbar
Aufgaben wie Datenforensik und Einleitung von Response-Aktionen kosten für sich genommen schon eine Menge Zeit; die dehnt sich weiter aus, wenn die SOC-Mitarbeiter dazwischen mehrfach die Tools wechseln müssen. Es ist also nachvollziehbar, dass eine integrierte Arbeitsumgebung wie Mission Control die Teams schneller und effizienter arbeiten lässt – vor allem, wenn im Hintergrund Automatisierungsfunktionen ihren Dienst tun. Wie der für die Security-Produkte zuständige Vice President Friedrichs in den Raum stellt, lässt sich die Reaktionszeit insgesamt um etwa 90 Prozent reduzieren.
Mission Control befindet sich derzeit im Betastadium. Voraussichtlich gegen Ende des ersten Quartals 2020 wird die Version 1.0 generell verfügbar sein. Zunächst muss die Software noch on premise installiert werden – obschon auch die Splunk-Kunden immer schneller in die Cloud wechseln, wie Friedrichs einräumt.
Aus diesem Grund will das Unternehmen im kommenden Frühling zumindest Phantom aus der Cloud anbieten. Bislang kommunizieren die mobilen Geräte über eine verschlüsselte und durch Authentifizierung geschützte Datentextur mit dem On-premise-System. Dass auch ES und UBA aus der Cloud beziehbar sein sollten, ist Splunk ebenfalls klar. Ein Release-Termin steht allerdings noch nicht fest.
(ID:46212299)
:quality(80)/images.vogel.de/vogelonline/bdb/1896200/1896263/original.jpg "OPNsense ist eine auf FreeBSD basierende Open-Source-Firewall-Distribution. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904800/1904816/original.jpg "pfSense ist eine auf FreeBSD und dem Paketfilter pf basierende Firewall-Distribution, die als Open-Source-Edition und als kommerzielle Software erhältlich ist. (gemeinfrei)")