Rapid7 bietet eine XDR-Lösung, die sich mit Ihrem Geschäft bewegt


Von: Rich Perkett

Seit der Einführung von InsightIDR vor fast sechs Jahren ist unsere Mission unverändert: Es soll allen Sicherheitsteams möglich sein, eine schnelle, ausgefeilte Bedrohungserkennung und -reaktion zu erzielen, die zu ihrem Geschäft passt. Bedrohungen zu erkennen und darauf zu reagieren, soll so agil und einfach wie möglich sein, damit Sicherheitsexperten ihre Zeit und Energie auf die geschäftskritischsten Vorfälle und die wichtigsten Dinge lenken können.

 

Es ging uns anfänglich nicht darum, ein weiteres Produkt für Security Incident and Event Management (SIEM) oder Endpoint Detection and Response (EDR) zu entwickeln. Die aktuellen Ansätze waren – und das gilt weitgehend bis heute – fehlerbehaftet. Es ging uns darum, einen wirksameren, effizienten Ansatz zu entwickeln, wie wir in unseren modernen, verteilten Hybrid-Cloud-Umgebungen Bedrohungen erkennen und auf diese reagieren. In der Anfangszeit, d. h. nach der Einführung der Kategorie der User and Entity Behavior Analytics (UEBA) über die Einführung des Rapid7 Agent, um EDR und die Attacker Behavior Analytics (ABA) zu entschlüsseln, und die fortwährende Wertschöpfung durch Erkennungstechnologie, File Integrity Monitoring (FIM), Automation, Network Traffic Analysis (NTA), Cloud-Erkennung und Sicherheitsorchestrierung und automatisierte Reaktion (SOAR) haben wir aus den Rückmeldungen der Kunden ständig dazugelernt. Zudem lernten wir aus unseren eigenen Serviceverträgen und Threat-Intelligence-Projekten mit Community-Beteiligung wie Metasploit, Velociraptor, Project Sonar, Project Heisenberg.

 

Wir freuen uns, dass Analysten und andere am Markt unseren von Beginn an verfolgten Ansatz jetzt validieren. Seit einiger Zeit wissen wir, dass es einen „X-Faktor“ gibt, mit dem sich InsightIDR von anderen absetzt, der es jedoch auch erschwerte, das Projekt in ein bestimmtes, bereits vorhandenes Marktsegment einzuordnen. Es passt wunderbar, dass der Markt nun beginnt, unseren Ansatz mit Extended Detection and Response oder XDR gleichzusetzen.

 

Wir führen das Feld gerne weiter an und bleiben, von der Abkürzung mal ganz abgesehen, unbeirrt bei unserem Versprechen, Sicherheitsexperten eine frühere Bedrohungserkennung und eine intelligentere, schnellere Reaktion zu ermöglichen, um ihre Umgebung zu sichern, und zwar unabhängig von deren Größe. Im Rahmen unseres Engagements, die Grenzen der Bedrohungserkennung und -reaktion neu zu definieren, sind wir begeistert, jetzt auch Technologie und Talente von IntSights nutzen zu können. Es befeuert die Threat Engine, die wiederum das XDR Attack Mapping und die Out-of-the-Box-Erkennungsmuster zur Verfügung stellt, womit das Signal-Rausch-Verhältnis verbessert und Bedrohungen schneller eliminiert werden.

 

XDR schafft Zeit für das Wesentliche


XDR vereint und transformiert relevante Sicherheitsdaten aus Ihrer modernen Umgebung, um echte Angriffe zu erkennen und Sicherheitsteams stark kontextbezogene, praktikable Informationen zu vermitteln. XDR ist in der Lage, Threat Detection and Response durch Bündelung unterschiedlicher Systeme effizienter und damit wirksamer zu machen.

 

Nach zahllosen Kundengesprächen, Tausenden von professionellen Serviceverträgen und praxisnahen Erlebnissen bei den Kunden mit unserem Managed Detection and Response (MDR) SOC-Angebot wurde eine Mitteilung überdeutlich: Was Sicherheitsteams bedrückt, sind weniger die Angreifer als vielmehr die fehlende Zeit. Es fehlt den Teams einfach an der Zeit und den Ressourcen, um alles zu bewältigen. Die erzwungenermaßen notwendigen Kompromisse schaffen Lücken, durch die die Angreifer schlüpfen. Genau deshalb haben wir InsightIDR entwickelt. Es ging darum, Teams Zeit zurückzugeben, die es ihnen erlaubt, sich auf erfolgreiche, proaktive und vollständige Programme für Threat Detection and Response zu konzentrieren.

 

Machen Sie jeden Analysten zum Experten. Der heutige Sicherheitsanalyst muss ein Allround-Talent sein, um sich gegen Angreifer behaupten zu können. Allerdings ist es aufgrund längerer Onboarding-Zyklen, veralteter Regelsätze ehemaliger Kollegen sowie steilen Lernkurven schwierig geworden, die Produktivität eines jeden Analysten zu gewährleisten. InsightIDR ist Cloud-nativ und wird als SaaS bereitgestellt, um die Bereitstellung und Konfiguration, die sonst Monate oder gar Jahre beanspruchen, deutlich zu beschleunigen. InsightIDR hilft Teams, die Ressourcen sinnvoll zu nutzen und vom ersten Tag an eine Wertsteigerung zu erkennen. Dies wird erzielt durch Flexibilität, eine intuitive Benutzeroberfläche und einen stark kontextbezogenen Überblick über die Umgebung direkt nach Inbetriebnahme. 

 

Gleichzeitige Transformation von Sicherheit und Geschäft. Alle Unternehmen beschäftigen sich mit der digitalen Transformation, und Cloud Computing wird zum neuen Standard. Gleichzeitig sind Sicherheitsteams damit beschäftigt, die vorhandenen Tools in diese Entwicklung einzubeziehen und eine große Vielfalt von unterschiedlichen Einzellösungen zu verwalten, um einen kompletten Überblick zu haben. InsightIDR hat die Angriffsfläche schon immer als Ganzes gesehen - die Lösung präsentiert ohne Verzögerung eine harmonische, korrelierte Ansicht der Benutzer, Endgeräte, des Netzwerks, der Cloud und der Anwendungen. Jederzeit alles im Blick.

 

Vertrauenswürdige Erkennung von Anfang an. Einer der schwerwiegendsten und frustrierenden Nachteile herkömmlicher Detection-and-Response-Lösungen ist die hohe Anzahl der Falsch-Positiven. Angesichts des ohnehin bestehenden Zeitdrucks für die Teams kann der kleinste Moment zur Verfolgung eines Fehlalarms ärgerlich sein, aber wenn das dann auch noch mitten beim Abendessen oder am Wochenende geschieht, kommt Wut auf. InsightIDR wählt einen Erkennungsansatz mit mehreren Ebenen, und setzt dabei auf unsere Kenntnisse der Kundenumgebungen gekoppelt mit unseren Informationen über interne und aus der Community gesammelte Bedrohungsinformationen, die in unsere Threat Engine fließen. Diese Engine umfasst unser proprietäres Machine Learning und Algorithmen, die es uns ermöglichen, sowohl bekannte als auch unbekannte Bedrohungen zu isolieren, die dann von unseren menschlichen Detection Engineers weiter geprüft werden. Diese hochgradig kuratierte Bibliothek wird dann von unserem hochqualifizierten MDR SOC im Feld getestet. Das Ergebnis ist eine Bibliothek von relevanten Erkennungsmustern mit einer hohen Trefferquote, auf die die Teams mit höchstem Vertrauen reagieren können.

 

Beschleunigte Reaktion bedeutet, den Angreifern eine Nasenlänge voraus zu sein. Wenn Ihr Team einen Angriff bewältigen muss, zählt jede Sekunde. Dann darf kein einziger Mausklick verschwendet werden. Dank unserer detaillierten korrelierten Untersuchungen finden die Teams an einem zentralen Ort den vollen Ablauf des Angriffs und alle relevanten Informationen. Mit Anleitungen von Experten und aus der Community sowie mit integrierter Eingrenzung und Automation können Analysten die Bedrohungen schneller beseitigen, und zwar noch bevor die Angreifer Erfolg haben.

 

Stärkung unseres Signal-Rausch-Verhältnisses mit IntSights


Bei unseren Überlegungen, was als Nächstes zu tun ist, trat ein Thema in den Vordergrund: Das Signal-Rausch-Verhältnis. Die Ausbreitung von Daten und Rauschen schreitet ungehindert voran. Dabei zählt allein, die essenziellen Dinge zu finden.

 

Mit der Übernahme von IntSights kommen wir unserem Ziel näher, die beste Erkennungsrate zu erreichen, um Angreifer abzuwehren. Als führender Anbieter von kontextbezogener externer Threat Intelligence und proaktiver Behebung stärkt IntSights wiederum unser XDR-Angebot und liefert ein verbessertes Signal-Rausch-Verhältnis und verlässlichere Warnmeldungen, um eine frühere Erkennung von und eine beschleunigte Reaktion auf Bedrohungen zu fördern. Aus der Kombination von IntSights' Sicht auf externe Bedrohungen mit unserem Fachwissen über den digitalen Fußabdruck unserer Kunden und der Bedrohungsinformationen aus der Community entsteht die derzeit umfassendste und dennoch maßgeschneiderte Sicht auf die Angriffsfläche des Kunden.

 

IntSights gibt uns allen Grund zur Freude. Einer der aufregendsten Aspekte ist unsere gemeinsame Sichtweise, dass wir ausgefeilte Informationen, Erkennung und Reaktionen demokratisieren können. Wir sind begeistert darüber, mit dem IntSights-Team ein neues Kapitel aufschlagen zu können, und freuen uns, schon bald mehr Informationen an unsere Kunden weitergeben zu können.