Beschleunigung der SecOps und Reaktion auf neue Bedrohungen mit der Insight-Plattform

von Lee Weiner

Wenn wir mit Kunden über die Insight-Plattform sprechen und wie wir ihre stetig wachsenden Anforderungen am besten unterstützen können, fragen sie häufig nicht nach noch einem zusätzlichen Produkt, sondern nach Möglichkeiten, ihr aktuelles Erlebnis zu verbessern. Unsere Kunden sind mit den wichtigsten Bestandteilen eines robusten Sicherheitsprogramms ausgerüstet, aber je weiter sich ihre potenzielle Angriffsfläche ausdehnt, um so mehr suchen sie nach erhöhter Effizienz und Optimierung der Sicherheitsmaßnahmen, die sie bereits heute von der Plattform nutzen. Effizienz und rationalisierter Betrieb sind zwei Bereiche, auf die sich unser Team weiter konzentrieren wird, um für das wachsende Angebot von Rapid7 einen Wertzuwachs zu schaffen und gleichzeitig funktionsübergreifende Einsatzmöglichkeiten zu schaffen, die die Effektivität des Sicherheitsteams verbessern.

 

Reaktion auf neue Bedrohungen und Sicherheitslücken: Warnmeldungen reichen nicht aus.

 

Eine der größten Stärken von Rapid7 ist die Tatsache, dass wir marktführende Produkte in den Bereichen Threat Detection and Response, Cloud-Sicherheit und Vulnerability-Management anbieten. Durch die wachsende Nutzung unserer Produkte durch die Kunden werden werden wir von diesen mit vielen ähnliche Erwartungen konfrontiert. Eine davon, die hervorsticht, ist der Wunsch nach einer schnelleren Reaktion seitens Rapid7 auf neue Bedrohungen und neue Sicherheitslücken, und zwar auf eine Weise, die einen verwertbaren, praxisnaher Kontext schafft. Wir bezeichnen dieses Programm als Emergent Threat Response. Diesem Thema widmen wir heute einige Zeit, obwohl wir in dem Bereich noch mehr für unsere Kunden tun müssen, um sie bei der Bekämpfung neuer Bedrohungen zu unterstützen. Wir gehen häufig auf weitläufig bekannte Bedrohungen (z. B. SolarWinds SUNBURST,  Microsoft Exchange Zero-Day) ein und erläutern im Detail, was uns darüber bekannt ist und was wir dagegen unternehmen. Von den Kunden erreichen uns sehr viele positive Rückmeldungen zu diesen Informationen, aber eigentlich möchten sie noch mehr erfahren!

 

Für uns ist das eine perfekte Gelegenheit, um mit den Kunden ins Gespräch zu kommen. Unsere Kunden wollen das Signal-Rausch-Verhältnis verbessern, und unser Emergent Threat Response unterstützt sie dabei. Wir können jedoch noch viel mehr tun, und mit mehr Informationen über die Bandbreite interner und externer Bedrohungen sind wir mit Emergent Threat Response in der Lage, ihnen mehr Kontext zu bieten und neuen Bedrohungen zu begegnen. Wir sind ständig bemüht, das Signal-Rausch-Verhältnis zu verbessern, und achten daher sehr genau auf unsere Spots. Obwohl neu auftretende Bedrohungen möglicherweise nur einen verschwindend geringen Anteil der Geräte bei den Kunden betreffen, stufen die betroffenen Kunden diese Rechner möglicherweise als hochwertige Assets ein. Kunden haben möglicherweise auch ein großes Interesse an einer bestimmten Gruppe von Bedrohungen und möchten gerne mehr darüber und die uns verfügbaren Erkennungsmöglichkeiten für deren Techniken erfahren. In beiden Situationen, entweder wenn wir die Informationen an die Kunden senden oder diese die Informationen von uns abrufen, können wir unseren hohen Standard beim Signal-Rausch-Verhältnis aufrechterhalten, solange die Relevanz immer Priorität hat.

 

Die Insight-Plattform + IntSights: Alerts mit mehr Inhalten und mehr Kontext in den Informationen

 

Im Kampf gegen neue Bedrohungen spielen wichtige Warnmeldungen und Informationen über Sicherheitslücken eine große Rolle. Unsere Kunden wollen jedoch immer häufiger auch mehr über die böswilligen Gruppen, Taktiken und Vorgehensweisen erfahren, und wissen, warum gerade sie angegriffen werden. Aktuell verfügen wir über einen sehr umfassenden Überblick über die internen Netzwerke unserer Kunden. Für die Bereitstellung unserer Produkte ist das sehr hilfreich, aber die Wahl von stärker skalierbaren Verfahren, um dieses interne Profil mit einer externen globalen Sicht zu verknüpfen, gibt uns die Möglichkeiten, zeitnahe, relevante und verwertbare Informationen zu liefern. Mit der Integration von IntSights in die Rapid7 Produktfamilie wurde diese Wunschvorstellung realisiert. Über den hier angesprochenen Fall für Emergent Threat Response hinaus nutzt die Plattform IntSights kontextbezogene Informationen über externe Bedrohungen zur Stärkung und Unterstützung unserer Bibliothek der Bedrohungen, Risikobewertung und Priorisierung von Sicherheitslücken. Wir sind der Auffassung, dass wir die Kapazitäten des gesamten Portfolios erweitern und verbessern können, um die Kunden bei der Lösung der aktuellen Sicherheitsanliegen zu unterstützen und auch einen proaktiven Ansatz zum Schutz vor zukünftigen Sicherheitsbedrohungen zu wählen.

 

Erfahren Sie mehr über die Insight-Plattform und die Integration von IntSights in Rapid7.