Sicherheitsanalysten brauchen bessere Tools
Sicherheitsanalysten sind weiterhin mit einer sich ständig weiterentwickelnden Bedrohungslandschaft konfrontiert, und ihre traditionellen Ansätze erweisen sich als recht begrenzt. Sie werden weiterhin mit Sicherheitswarnungen überschwemmt und ihre SIEMs können häufig nicht alle relevanten Daten richtig korrelieren, wodurch sie Cyber-Bedrohungen stärker ausgesetzt sind. Diese Analysten benötigen eine effektivere Methode, um Bedrohungen schneller zu verstehen und Sicherheitsrisiken in ihrer Umgebung zu reduzieren.
Extended Detection and Response (XDR) wurde eingeführt, um Sicherheitsabläufe zu verbessern und diese Risiken zu beseitigen. XDR ist eine umfassende Cybersicherheitslösung, die über herkömmliche Sicherheitstools hinausgeht. Sie wurde entwickelt, um einen ganzheitlicheren Ansatz zur Erkennung und Reaktion auf Bedrohungen über verschiedene IT-Umgebungen hinweg zu bieten. Standard-XDR-Tools haben jedoch ein Problem mit der Datenqualität, da sie zur Verarbeitung von Bedrohungsdaten in eine Struktur normalisiert werden müssen, die das XDR versteht. Dies führt häufig zu unvollständigen oder reduzierten Daten, und diese Inkonsistenz erschwert die Erkennung von Bedrohungen.
SASE-basiertes XDR
Cato Networks erkannte, dass XDR weiterentwickelt werden musste. Die Datenqualitätseinschränkungen aktueller XDR-Lösungen musste überwunden werden, um sauberere Daten für eine genauere Bedrohungserkennung zu erzeugen. Um dies zu erreichen, musste die Art und Weise, wie XDR Daten aufnimmt und verarbeitet, geändert werden – angefangen bei der Plattform. Diese nächste Weiterentwicklung von XDR würde in eine SASE-Plattform integriert werden, um so einen umfassenderen Ansatz für Sicherheitsvorgänge zu ermöglichen.
SASE-basiertes XDR ist ein völlig anderer Ansatz für Sicherheitsabläufe, der die Einschränkungen von Standard-XDR-Lösungen überwindet. Integrierte native Sensoren überwinden Datenqualitätsprobleme und erzeugen qualitativ hochwertige Daten, die keiner Integration oder Normalisierung bedürfen. Die von diesen Sensoren erfassten Daten werden in einem einzigen Data Lake gespeichert und ermöglichen es KI/ML-Algorithmen, auf diesen Daten zu trainieren, um hochwertige XDR-Vorfälle zu erstellen.
Cato Networks SASE Threat Research Report H2/2022 | Download the ReportKI/ML in SASE-basiertem XDR
KI/Machine Learning (ML) spielt eine wichtige Rolle im SASE-basierten XDR, wobei fortschrittliche Algorithmen für mehr Genauigkeit in Korrelations- und Erkennungs-Engines sorgen. Fortgeschrittene ML-Modelle trainieren auf Petabytes an Daten und Billionen von Ereignissen aus einem einzigen Data Lake. Die über die nativen Sensoren eingegebenen Daten erfordern keine Integration oder Normalisierung und keine Datenreduktion. Die KI/ML wird anhand dieser Rohdaten trainiert, um Versäumnisse bei der Erkennung und Fehlalarme zu eliminieren, was zu qualitativ hochwertigen Threat Incidents führt.
SASE-basierte XDR-Threat Incidents
SASE-basiertes XDR erkennt verschiedene Arten von Cyber-Bedrohungen und reagiert darauf. Jede Bedrohung in der Verwaltungskonsole wird als Vorfall betrachtet, der eine Darstellung einer Bedrohung von ihrer Entstehung bis zu ihrer endgültigen Lösung darstellt. Diese Vorfälle werden im Dashboard angezeigt und bieten Sicherheitsanalysten eine Roadmap zum Verständnis der erkannten Bedrohungen. SASE-basiertes XDR generiert drei Arten von Vorfällen:
- Threat Prevention – Korreliert Blockereignissignale, die von Präventions-Engines wie IPS generiert wurden.
- Threat Hunting – Erkennt schwer fassbare Bedrohungen, die keine Signaturen haben, indem verschiedene Netzwerksignale mithilfe von ML und erweiterter Heuristik korreliert werden.
- Erkennung von Anomalien – Erkennt ungewöhnliche verdächtige Nutzungsmuster im Laufe der Zeit mithilfe fortschrittlicher statistischer Modelle und UEBA (User and Entity Behavior Analytics).
Threat Intelligence für SASE-basiertes XDR
SASE-basiertes XDR enthält ein Reputations-Bewertungssystem zur Eliminierung von Fehlalarmen. Dieses System nutzt maschinelles Lernen und KI, um leicht verfügbare Netzwerk- und Sicherheitsinformationen zu korrelieren und erfasst Millionen von IoCs aus über 250 Quellen für Bedrohungsinformationen. Es bewertet sie mithilfe von Echtzeit-Netzwerkinformationen, die von ML-Modellen gesammelt werden.
Die Anreicherung von Bedrohungsinformationen stärkt das SASE-basierte XDR, indem es die Qualität der von der XDR-Engine verarbeiteten Daten erhöht und so die Genauigkeit der XDR-Vorfälle verbessert. Sicherheitsteams sind jetzt besser gerüstet, um ihre Vorfälle zu untersuchen und Cyber-Bedrohungen in ihrer Umgebung zu beheben.
Cato XDR: Der Game-Changer
Cato XDR ist die branchenweit erste SASE-basierte XDR-Lösung, die Sicherheitsteams entlastet und einen 360-Grad-Ansatz für Sicherheitsabläufe ermöglicht. Es nutzt fortschrittliche KI/ML-Algorithmen für eine höhere Genauigkeit der Korrelations- und Erkennungs-Engines von XDR bei der Erstellung von XDR-Storys. Darüber hinaus nutzt es eine Reputations-Bewertungsengine für Bedrohungsinformationen, um Bedrohungsquellen zu bewerten und Fehlalarme zu identifizieren und zu beseitigen.
Cato XDR überwindet auch das Datenqualitätsproblem von Standard-XDR-Lösungen. Der Schlüssel dazu sind native Sensoren, die in die SASE-Plattform integriert sind. Diese hochwertigen Sensoren erzeugen hochwertige Metadaten, die keiner Integration oder Normalisierung bedürfen. Diese Metadaten werden in unseren riesigen Data Lake eingepflegt, und Algorithmen für maschinelles Lernen trainieren darauf, um die Bedrohungslandschaft abzubilden.
Cato XDR ist ein echter Game-Changer, der einen saubereren Weg zu effizienteren Sicherheitsabläufen darstellt. Dank der in die Plattform integrierten XDR- und Sicherheitsfunktionen sind die Ergebnisse eine sauberere und genauere Erkennung, was zu einer schnelleren und effizienteren Untersuchung und Behebung führt.
Weitere Informationen zu XDR finden Sie hier.
Demetris Booth
As the Product Marketing Director for Cato Networks in Asia Pacific, Demetris leads the strategic engagements around Cato’s Cloud-Native approach to Secure Access Service Edge (SASE). He is a strong advocate and champion of network and security convergence, promoting SASE as the pathway to better business and technical outcomes. Prior to Cato, Demetris held various leadership roles with Sophos, Cisco, Juniper Networks and Citrix Systems. As a 20+ year technology industry veteran, he brings a diverse, global perspective, having lived and worked in North America, Europe, and Asia.