Verwendung von Swimlanes zur Endpunkterkennung und -reaktion

Die Endpunkterkennung ist ein wichtiger Bestandteil moderner Unternehmenssicherheitskonzepte. Da verschlüsselter Datenverkehr das Netz dominiert und seinen Marktanteil stetig ausbaut, werden netzwerkbasierte Angriffserkennung und Binäridentifizierung zunehmend schwieriger.

Manuelles EDR

Eine Endpoint Detection and Response (EDR)-Plattform bietet zwar nützliche Einblicke in Endpunktaktivitäten und Binärdateien, führt aber gleichzeitig eigene Analyseprozesse, Workflows und Berichtsanforderungen für ein Security Operations Center (SOC) ein. Darüber hinaus sind Analysten, die in der traditionellen Netzwerkverkehrsanalyse geschult sind, möglicherweise weniger vertraut mit den Forschungs- und Analysetechniken im Zusammenhang mit EDR.

Ein typischer manueller EDR-Analysten-Workflow könnte wie folgt aussehen:

Wie die Grafik zeigt, erfordert der Großteil des Arbeitsablaufs direkte manuelle Eingriffe. Recherche, Untersuchung, abschließende Entscheidung, Berichterstattung und die Beauftragung eines Sanierungsteams obliegen in den meisten Fällen einem SOC-Analysten, während die eigentliche Sanierung (z. B. die Wiederherstellung einer Workstation oder das Hinzufügen von IP-Adressen zu einer Firewall-Sperrliste) von einem anderen Team durchgeführt wird. Dieser Prozess bietet erhebliches Automatisierungspotenzial.

Automatisierungsgestütztes EDR

Mit einer Automatisierungsplattform wie Swimlane lässt sich ein Großteil des EDR-Workflows automatisieren – einschließlich zeitaufwändiger Schritte wie Recherche und Berichterstellung.

Ein EDR-Workflow mit Swimlane könnte folgendermaßen aussehen:

Wie die Grafik zeigt, besteht der einzige verbleibende manuelle Schritt darin, zu entscheiden, ob ein Ereignis so relevant ist, dass es Gegenmaßnahmen erfordert. Die anfängliche Benachrichtigung und Datenanreicherung fließen in Swimlane ein, das weitere Recherchen und Untersuchungen durchführt und dem Analysten anschließend alle relevanten Informationen (Bedrohungsbewertungen, VirusTotal-Ranglisten, WHOIS-Abfragen usw.) auf einem Bildschirm präsentiert. Dies ermöglicht eine schnelle Entscheidung, ob Gegenmaßnahmen erforderlich sind.

Falls eine Behebung erforderlich ist, kann der Analyst die automatisierte Behebung (über die System-Rollback-Funktion der EDR-Plattform, Firewall-/Gateway-Blacklisting usw.) einfach aus Swimlane heraus einleiten und einen automatisierten Bericht generieren, der die Alarmdetails, die Untersuchungsergebnisse sowie die endgültige Feststellung und die Behebungsergebnisse enthält.

EDR eignet sich daher hervorragend für die Automatisierung mittels Swimlane. So können Analysten ihre Effektivität maximieren, aufwendige manuelle Recherchen minimieren und die ohnehin schon ausgelasteten Netzwerk- oder Systemteams vor unnötigen Eingriffen bewahren. Ein mehrstündiger Prozess mit mehreren Teams lässt sich so auf wenige Minuten verkürzen. Siehe unten: