Verkürzung der Verweilzeit durch Integration von Sicherheitskontrollen über offene APIs

Sicherheitsorganisationen wissen, dass sie sich nicht darauf verlassen können, dass bösartige Akteure zu 100 % von ihren Netzwerken und Systemen ferngehalten werden. Aber sie können den Schaden, den Eindringlinge anrichten, begrenzen, indem sie die Zeit, in der sie sich unbemerkt und ungehindert im Netzwerk bewegen können, verkürzen .

Aus diesem Grund wird die "Verweildauer" zu einer wichtigen Kennzahl für die Verfolgung und Verbesserung der Cyber-Resilienz. Aus diesem Grund konzentrieren sich viele Sicherheitsorganisationen auf die Integration von Kontrollen in ein einheitliches System, das für eine intelligentere und schnellere Reaktion orchestriert werden kann. Und es ist auch der Grund, warum sie zunehmend die Bedeutung offener APIs erkennen, wenn sie in neue Sicherheitstechnologien investieren.

Verweildauer: Schlecht, und (noch) nicht besser

Die Verweildauer misst die Zeit zwischen dem unbefugten Eindringen eines Bedrohungsakteurs in ein Netzwerk und der Auslöschung des Angriffs. Eine der branchenweit angesehensten Messungen der Verweildauer-Trends findet sich in den jährlichen Berichten des Ponemon Institute über die Kosten von Datenschutzverletzungen. Unter Berücksichtigung von Sicherheitsverletzungen bis April 2020 beträgt laut Ponemon die durchschnittliche Zeit bis zur Identifizierung und Eindämmung einer Sicherheitsverletzung jetzt 280 Tage- und sie hat sich in den letzten zwei Jahren weiter verschlechtert. [1]

CISOs und ihre Kollegen wissen, dass eine lange Verweildauer ein Faktor bei vielen öffentlichkeitswirksamen Sicherheitsverletzungen war, darunter die von Equifax und dem GAO/Office of Personnel Management der US-Regierung. Matthew Gardiner, leitender Sicherheitsstratege bei Mimecast, hat einen der ersten dieser Fälle miterlebt. Im März 2011 war er bei RSA, einem Anbieter von geschäftskritischen Kryptographielösungen für viele der sicherheitssensibelsten Organisationen der Welt, , als das Unternehmen eine kritische Sicherheitslücke entdeckte . "Wir haben uns bemüht, zu verstehen, was los war, aber da unsere Daten nicht gut integriert waren, haben wir länger gebraucht, als wir hätten tun sollen - und wenn wir es eine oder zwei Stunden früher herausgefunden hätten, hätten wir den Schaden verhindern können.

Heutzutage sind die Systeme, Angriffe und Verteidigungsmaßnahmen natürlich komplexer und vielfältiger als 2011. Sicherheitsorganisationen haben neue Tools eingeführt: Nach Angaben von Rapid7 muss die durchschnittliche Organisation heute 57 davon verwalten. Viele davon waren ursprünglich nicht für die Integration konzipiert. Das kann die schnelle Erkennung von Mustern erschweren oder unmöglich machen, wenn fragmentarische Anzeichen einer Bedrohung in mehreren Systemen auftauchen. SOAR und verwandte Tools können dazu beitragen, die Bedrohungssuche und -untersuchung zu zentralisieren, aber nur, wenn sie problemlos auf Daten und Erkenntnisse zugreifen können, die von anderen bereits vorhandenen Tools erfasst werden. Es kann auch schwierig sein, effiziente Arbeitsabläufe zu erstellen, die Eingaben und Ausgaben von mehreren Systemen kombinieren, die nicht dafür entwickelt wurden.

Die Vorteile von offenen APIs

Vorgefertigte Integrationen bieten eine Teillösung. Wie Marius Iversen, Senior Platform Engineer bei KPN, kürzlich feststellte, integrieren sie jedoch möglicherweise nicht alle Tools, die für Sie wichtig sind, unterstützen nicht alle Funktionen, die Sie benötigen, sind nicht erweiterbar und unterstützen keine neuen Softwareversionen, wenn diese eingeführt werden. [2]

Genau hier kommen offene APIs ins Spiel. Wenn ein Anbieter von Sicherheitstechnologie seine Funktionen über eine gut dokumentierte und umfassende API zur Verfügung stellt, können Sie bei Bedarf eigene Integrationen erstellen, mit einem SOAR- oder SIEM-Partner zusammenarbeiten oder mit dieser API erstellte Integrationen erweitern und pflegen.

Wenn Sie z. B. feststellen, dass ein Benutzer kompromittiert wurde, können Sie die API verwenden, um Ihr E-Mail-Gateway zentral anzuweisen, diesen Benutzer sofort daran zu hindern, ausgehende E-Mails zu senden, um so einen Datenverlust zu verhindern. Umgekehrt können Sie die Weiterleitung von protokollierten E-Mail-Empfangs-, Verarbeitungs-, Zustellungs- und Link-Klick-Ereignissen vom E-Mail-Gateway an ein unternehmensweites Sicherheitsanalysesystem wie Splunk automatisieren.

Offene APIs können Aufgaben wie das Durchsuchen von Nachrichtenarchiven, die Aktualisierung von verwalteten Absendern und URLs, die Neukonfiguration von Richtlinien und die Verwaltung des Kundenlebenszyklus rationalisieren. Einige dieser Aufgaben können Ihnen helfen, Ereignisse zu korrelieren und Eindringlinge früher zu erkennen; andere können Ihnen helfen, schneller zu reagieren und den Angriff zu beenden.

Natürlich sind nicht alle APIs gleichermaßen hilfreich. Fragen Sie sich: Bietet die API des Anbieters alle Funktionen, die Sie benötigen, über bekannte Ansätze wie REST und JSON? Und ist sie gründlich dokumentiert und gut unterstützt, so dass Ihre Entwickler sie optimal nutzen können? Wenn ja, kann diese API Ihnen dabei helfen, mehr Nutzen aus der Sicherheitsinfrastruktur zu ziehen, die Verweildauer zu verkürzen und mehr von dem zu schützen, was Ihnen wichtig ist.

Die Quintessenz

Die Verkürzung der Verweildauer ist für die Widerstandsfähigkeit im Internet von entscheidender Bedeutung. Dies erfordert eine bessere Integration all Ihrer Sicherheitstools, damit Ihre Bedrohungsjäger alle von Ihnen erfassten Informationen nutzen und Angriffe schneller erkennen können. Offene APIs bieten leistungsstarke Vorteile für die Integration verschiedener Sicherheitstools in ein kohärentes System, das eine flexible und schnelle Reaktion unterstützt.