München, den 18.08.2022 – In seinem aktuellen Report mit dem Titel „Hype Cycle for Security Operations 2022“ stellen die IT-Analysten von Gartner fest: Die NDR-Technologie (Network Detection and Response) sollte eine vorrangige Lösung für Sicherheitsteams in Unternehmen sein.
Wer Einfluss in der Technologie hat und zu den Entscheidungsträgern gehört, stürzt sich immer wieder auf die Hype Cycle Reports von Gartner. Diese maßgeblichen Berichte verkünden, welche Technologien und Tendenzen sich auf dem Weg nach oben befinden, welche ihren Höhepunkt erreicht haben und welche trotz ausreichendem Hype wahrscheinlich nicht aufsteigen werden, um eine massenhafte Akzeptanz zu erfahren, sondern eher dazu verdammt sind, entweder auf dem “Peak of Inflated Expectations” zu sterben oder im “Trough of Disillusionment” zu verkümmern.
Die NDR-Technologie, so lautet die Schlussfolgerung von Gartner, ist beiden Schicksalen entgangen – und erklimmt gerade den “Slope of Enlightenment“.
Und warum ist das so? Andreas Riepen, Head Central and Eastern Europe bei Vectra AI erklärt die Position von Gartner bezüglich NDR (Network Detection and Response) und erläutert den TDR-Ansatz (Threat Detection and Response):
„Gartner bringt es auf den Punkt: <> (*)
Im Klartext dies aus meiner Sicht: Die Netzwerkdomänen waren noch nie so verteilt und fragmentiert, und die Bedrohungslandschaft – vom Rechenzentrum bis zur Cloud – war noch nie so umfassend ausgestaltet oder so überflutet von unbekannten Faktoren. Mit der raschen Einführung von hybriden und Multi-Clouds gab es noch nie so viele Angriffsflächen in der IT-Landschaft. Heute kann man nicht mehr jede einzelne Anomalie untersuchen – es gibt einfach zu viele davon, und die meisten stellen sich sogar als harmlos heraus. Es zahlt sich also aus, sich auf die echten Bedrohungen zu konzentrieren, unabhängig davon, woher sie kommen oder wie sie sich entwickeln. Und hier kommt Threat Detection and Response (TDR) ins Spiel.
Eine Sicherheitsinvestition mit niedrigem Risiko und hohem Ertrag
Die Zeit ist reif für eine angepasste, moderne Plattform für Threat Detection und Response Security, die die Risiken reduziert – eine Plattform, die über die bloße Überwachung hinausgeht und abnormales Systemverhalten vorhersagt, unter anderem durch die Anwendung von Verhaltensanalysen auf Netzwerk-, Cloud- und Identitätsdaten.
In diesem Zusammenhang, so Gartner, ist NDR für Sicherheitsteams eine Investition mit niedrigem Risiko und hohem Ertrag. Sie ergänzt traditionelle, isolierte und präventiv ausgerichtete Security Tools, die in der heutigen Bedrohungslandschaft weniger effektiv sind.
Es wird immer schwieriger, den Datenverkehr und den Zustand des Netzwerks zwischen lokalen Einrichtungen und der Cloud zu überwachen. Die richtige NDR-Lösung adressiert diese Lücke: Eine solche NDR benützt Machine Learning (ML), um Bedrohungen zu erkennen, die von anderen Technologien übersehen werden. Eine solche NDR behindert nicht den legitimen Netzwerkverkehr, und eine solche NDR führt nicht zu einem Geschwindigkeitseinbruch für die Effizienz des gesamten Unternehmens.
Bei Vectra konzentriert sich TDR (Threat Detection and Response, zu der NDR, CDR und ITDR gehören) auf folgende Punkte:
• Anpassung der Lösungen an die Anforderungen des Kunden hinsichtlich der Abdeckung von Angriffsflächen, da sich diese Attack Surfaces ständig erweitern und nun auch Public Cloud, SaaS, Identitäts- und Netzwerkdomänen umfassen;
• Priorisierung und Klärung der besonders kritischen Bedrohungen aus dem riesigen Meer von Anomalien, die das Geschäft extrem tangieren;
• Verringerung der Komplexität der Arbeitsbelastung für SOC-Teams durch die Integration von Tools und die Automatisierung von Prozessen, damit Analysten ihr Bestes geben können (ohne zu einem Burnout zu führen);
• bessere Sichtbarkeit und Kontrolle, damit die Security Tams die Attacken mit weniger Aufwand, weniger Tools und in kürzerer Zeit erkennen und stoppen.
Die Einschätzungen von Gartner zu Sicherheitstechnologien decken sich gut mit der Strategie der Vectra-Plattform zu Threat Detection and Response (TDR).
Tatsächlich hebt der Report „Hype Cycle for Security Operations“ zusätzliche Technologien und Services hervor, die über NDR hinausgehen. Die TDR-Plattform von Vectra umfasst bereits MDR (Managed Detection and Response) und ITDR (Identity Threat Detection and Response) sowie OT Security, Breach and Attack Simulation, Digital Forensics and Incident Response, Vulnerability Prioritization Technology und Digital Risk Protection Services. Alle diese Lösungen haben Vorrang für Entscheider in der Sicherheitsbranche, und alle von ihnen umfassen Gesichtspunkte, die im gesamten Leistungsangebot von Vectra enthalten sind.
Es geht um Ergebnisse, und nicht bloß um Technologien
Obwohl es sicher erfreulich ist, dass Gartner die TDR-Kerntechnologien so positiv bewertet, möchte ich mit einer Empfehlung an Unternehmen schließen, die auf den ersten Blick widersprüchlich erscheinen mag: Konzentrieren Sie sich auf Ergebnisse, nicht auf Technologien!
Betrachten wir die von Gartner genannten Treiber für MDR, die sich alle auf ertragreiche Ergebnisse beziehen:
• Compliance: Sicherstellen, dass das Unternehmen über die erforderlichen Mittel für Threat Monitoring und Detection verfügt;
• Coverage: Bereitstellung einer zuverlässigen Erkennung von Bedrohungen und Abdeckung eines breiten Spektrums von Datenquellen, Technologien und SaaS-Plattformen;
• Containment: Einleitung von Maßnahmen zur aktiven Eindämmung oder Unterbrechung einer Bedrohung;
• Controls: Bereitstellung von Funktionen für Kontaktmanagement, Reaktion auf Vorfälle und Risikomanagement;
• Complexity Reduction: Einrichtung einer kompletten Lösung für diejenigen, die keine internen Kapazitäten aufbauen und aufrechterhalten können oder schnell verfügbare Kapazitäten benötigen.
Unvollkommene Implementierungen von Technologie sind seit langem eine Ursache für Sicherheitsprobleme im privaten Sektor. Abgesehen von der Behebung kurzfristiger Probleme führen der Kauf von Sicherheitslösungen à la carte und das Aufeinanderstapeln von Lösungen nur zu Reibungsverlusten und Inkompatibilität. Wenn ein Unternehmen stark in Technologien wie EDR (Endpoint Detection and Response) und SIEM (Security Information and Event Management) investiert, aber parallel dazu inkompatible NDR- oder MDR-Lösungen einsetzt, kann das Ergebnis zum Gegenteil von dem führen, was beabsichtigt war – sowohl auf der Kostenseite als auch bei den störenden Faktoren.
Der anspruchsvolle Nutzer sollte sich an einen Anbieter wenden, der Tools bereitstellt, die auf spezifische, gewünschte Ergebnisse abgestimmt sind – in Übereinstimmung mit der bestehenden IT-Landschaft. Ein solcher Anbieter bietet mehr als nur NDR: Es handelt sich um MDR-Services, bei denen Objektivität, Transparenz und offene Kommunikationskanäle mit Analysten und Lieferanten im Mittelpunkt stehen. Man sollte nach Hinweisen auf die Einstellung eines Anbieters zu der Gestaltung der Benutzeroberfläche suchen: je einfühlsamer und intuitiver, desto besser.
Eine solche offene, ergebnisorientierte Einstellung bringt wichtige Technologien wie NDR auf den “Slope of Enlightenment” und MDR in den “Early Mainstream”, während andere ihr Potenzial nicht ausschöpfen.
In seinem Report präsentiert Gartner zwingende Gründe für jeden Chief Information Security Officer (CISO) eines Unternehmens, die Einführung von NDR zu erwägen und mit MDR zu ergänzen. Vectra besitzt die Erfolgsbilanz, die Einstellung und die Kultur, um sein spezielles NDR + MDR-Angebot je nachdem zu differenzieren.
Laut Gartner befindet sich NDR heute auf dem Weg zum Mainstream-Status („Climbing the Slope“). Vectra hat schon lange vor der Verkündung des Hype-Cycle-Urteils von Gartner volles Vertrauen in NDR gesetzt – ein Ansatz, der durch erfolgreiche Ergebnisse in der Praxis begründet ist.
Nun, da Gartner seine Einschätzung bekanntgeben hat, werden sich wohl mehr Unternehmen in der Welt der NDR-Technologie zuwenden. Die Aufgabe besteht darin, die richtige NDR-Variante auszuwählen: eine mit den geeigneten MDR-Services, um sie zu unterstützen.“
# # # ENDE # # #
Anmerkung
(*) Andrew Davies et al, “Hype Cycle for Security Operations, 2022”, Gartner Group, 5. Juli 2022, Seite 5 (https://info.vectra.ai/gartner-hyper-cycle-for-security-operation-2022).
Über Vectra AI
Vectra ist führend bei der Erkennung von Cyber-Bedrohungen und angepassten Reaktionen für hybride und Multi-Cloud-Unternehmen. Die Vectra-Plattform benutzt AI zur schnellen Ermittlung von Bedrohungen in der Public Cloud, bei Identitäts- und SaaS-Anwendungen sowie in Rechenzentren. Nur Vectra optimiert die AI, um die Methoden der Angreifer – die Tactics, Techniques and Procedures (TTPs), die allen Angriffen zugrunde liegen – zu erkennen, anstatt einfach nur zu warnen. Das daraus resultierende realitätsnahe Bedrohungssignal und der klare Kontext ermöglichen es Teams für Cyber Security, schneller auf Bedrohungen zu reagieren und laufende Angriffe zu stoppen. Unternehmen auf der ganzen Welt verlassen sich auf Vectra, wenn es darum geht, gefährlichen Cyber-Bedrohungen zu widerstehen und zu verhindern, dass Ransomware, Behinderungen der Lieferkette, Übernahmen von Identitäten und andere Cyber-Attacken ihre Geschäfte beeinträchtigen.
tech2com UG
Philipp Haberland
Am Burgholz 18
D-73098 Rechberghausen
Festnetz: 07162/601400-1
Mobil: 0163/2722363
Mail: p.haberland(at)tech2com.de