Email Security 2023

    Wie Sie Ihre Sicherheitsintegrationen gestalten

    Ein Produktmanager von Mimecast gibt Tipps für die Integration von Best-of-Breed-Tools über APIs, um Bedrohungen schneller zu erkennen, zu analysieren und darauf zu reagieren.

    by Jason Miller

    Wichtige Punkte

    • Der Schlüssel zu einer erfolgreichen Integration liegt in der Planung, die mit der Festlegung Ihrer Ziele beginnt.
    • Wenn Sie zu Beginn keine genauen Ziele haben, sollten Sie eine breite Palette von Daten sammeln, die Sie durchsuchen können, um Muster und Probleme zu erkennen.
    • Verschaffen Sie sich ein klares Bild von den Möglichkeiten und Grenzen der einzelnen Sicherheitstools.
    • Gezielte Dashboards und eine sorgfältige Datenintegration können dazu beitragen, den Analyseaufwand und die Time-to-Value zu reduzieren.

    In einem sich schnell entwickelnden Bedrohungsumfeld erfordert eine wirksame Cyberabwehr eine Reihe von fokussierten, erstklassigen Sicherheitstools. Die Integration dieser Tools ist der Schlüssel zu einer schnelleren Identifizierung von Bedrohungen und einer schnelleren Reaktion darauf, so dass Sicherheitsteams mit weniger Aufwand mehr erreichen und das Unternehmen den größten Nutzen aus seinen Sicherheitsinvestitionen ziehen kann.

    Mimecast hat sich diesem Ansatz verschrieben. Deshalb bieten wir vorgefertigte API-basierte Integrationen mit anderen führenden Produkten sowie einen umfassenden Satz offener APIs, die Kunden nutzen können, um Produkte selbst zu integrieren. Zu meinen Aufgaben gehört es, diese Integrationen zu entwickeln. In diesem Blogbeitrag werde ich Best Practices und Erkenntnisse, die ich aus dieser Arbeit gewonnen habe, mit dem Ziel teilen, anderen Unternehmen dabei zu helfen, ihre Sicherheitstools so schnell und effektiv wie möglich zu integrieren.

    5 Best Practices für die Integration von Sicherheitstools

    Planung ist der Schlüssel zum Erfolg. Das ist die übergreifende Praxis, die Sie bei der Lektüre der folgenden fünf Tipps im Auge behalten sollten - das A und O, wenn Sie so wollen. Auch wenn Sie sich unter Druck gesetzt fühlen, Ergebnisse zu liefern, lohnt es sich, zunächst Ihre Ziele zu definieren, sich ein klares Bild von den Integrationsmöglichkeiten und -beschränkungen der einzelnen Tools zu machen und sich Gedanken darüber zu machen, wie Sie die Daten der einzelnen Tools kombinieren und analysieren wollen. Diese fünf Best Practices decken jeden Schritt auf diesem Weg ab.

    1. Definieren Sie Ihre Ziele

    Denken Sie darüber nach, warum Sie sich auf diese Reise begeben und was Sie erreichen wollen. Wollen Sie Bedrohungen früher erkennen? Wollen Sie sich einen Überblick über Ihre gesamte Umgebung verschaffen? Wenn Sie Ihre Ziele definieren, können Sie genau bestimmen, welche Daten Sie sammeln und wie Sie sie analysieren müssen. Manchmal wird der unmittelbare Bedarf durch ein bestimmtes, kürzlich eingetretenes Ereignis ausgelöst, z. B. die Kompromittierung einer Führungskraft durch eine bösartige E-Mail. Um das Problem einzugrenzen, kann es erforderlich sein, Protokolle der vergangenen Tage oder sogar Wochen zu sammeln und zu analysieren, um die Quelle und das Ausmaß der Bedrohung zu ermitteln.

    2. Wenn Sie keine genauen Ziele haben, sammeln Sie ein breites Spektrum an Daten

    Realistischerweise ist es nicht immer möglich, von Anfang an genaue Ziele zu definieren, selbst wenn Sie eine grobe Vorstellung davon haben, was Sie tun wollen. Manchmal werden spezifische Probleme, Muster und potenzielle Lösungen erst deutlich, wenn Sie mit der Analyse der Daten beginnen. Wenn das der Fall ist, sollten Sie einen weiten Bogen spannen: Sammeln Sie Protokolle oder andere Datensätze aus verschiedenen Quellen, so dass Sie eine breite Palette von Daten für die Analyse haben. Hier sind einige der nützlichsten Datenquellen:

    • Systeme zur Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM)
    • SOAR-Systeme (Security Orchestration, Automation, and Response)
    • E-Mail-Prüfprotokolle
    • Endpunkt-Sicherheitsprotokolle
    • Tools, die sich auf spezifische Probleme wie Imitationsversuche, bösartige Anhänge und bösartige URLs konzentrieren, wie z. B. die Targeted Threat Protection-Produkte von Mimecast.
    • Protokolle zum Schutz vor Datenverlust

    Sobald Sie diese Informationen erfasst haben, können Sie damit beginnen, sie auf Muster und Anomalien zu analysieren. Die Analyse kann dann wiederum nützliche Visualisierungen und Maßnahmen vorschlagen. Mehrere fehlgeschlagene Anmeldeversuche können zum Beispiel bedeuten, dass Angreifer versuchen, sich in das Konto einer Person einzuhacken. Sobald Sie dieses Muster durch die Analyse aufgedeckt haben, können Sie Erkennungsregeln und Visualisierungen erstellen, um ähnliche Versuche zu erfassen und hervorzuheben.

    3. Stellen Sie sicher, dass Sie über eine angemessene Dokumentation verfügen - und lesen Sie sie!

    Es ist wichtig, dass Sie die Möglichkeiten und Grenzen der einzelnen Tools genau kennen. Vergewissern Sie sich also, dass Sie für jedes Produkt, das Sie zu integrieren versuchen, eine angemessene Dokumentation haben, und lesen Sie diese gründlich. Das mag selbstverständlich klingen, aber ich habe schon einige Fälle erlebt, in denen Integrationsbemühungen durch Probleme behindert wurden, die durch eine genauere Lektüre der Referenzhandbücher hätten erkannt werden können. Einige häufige Probleme und Tipps:

    • Die Übertragung von Daten zwischen Produkten ist nicht immer einfach. Verschiedene Tools stellen Daten auf unterschiedliche Weise dar, und oft ist es notwendig, die Daten einem neuen Schema zuzuordnen.
    • Seien Sie sich der Produktbeschränkungen bewusst. Einige Tools begrenzen die Anzahl der Zeilen in Tabellenansichten; einigen fehlen Warnfunktionen.
    • Vergewissern Sie sich, dass Sie die Produktfunktionen kennen, die sich auf die Nutzung von APIs auswirken. Beispielsweise wendet Mimecast, wie einige andere Unternehmen, eine Ratenbegrenzung an, um übermäßige API-Aufrufe zu verhindern und eine gute Leistung zu gewährleisten.
    • Machen Sie keine Annahmen über die Bedeutung von nummerierten Fehlercodes und -meldungen, auch wenn Sie sie für standardisiert halten. Eine Fehlercodenummer kann für ein (oder mehrere) Systeme die gleiche Bedeutung haben, in einem anderen System jedoch anders verwendet werden.

    4. Fokussierte Dashboards helfen, Probleme zu lokalisieren

    Bei der Visualisierung von Daten ist es oft besser, mehrere Dashboards zu erstellen, von denen jedes eine Reihe von Visualisierungen für einen bestimmten Bereich enthält, als ein einziges, allumfassendes Dashboard. Die Vermischung nicht zusammengehöriger Daten in einem einzigen Dashboard kann verwirrend sein und die Informationen, die das Dashboard vermitteln soll, verschleiern. Wenn Sie beispielsweise ein Dashboard erstellen, um Probleme mit Benutzern zu verfolgen, die auf bösartige URLs klicken, ist es normalerweise nicht sinnvoll, Authentifizierungsprotokolle einzubeziehen, da der Authentifizierungsverlauf Ihnen nicht dabei hilft, zu verstehen, welche URLs am problematischsten sind oder welche Benutzer das riskanteste Verhalten zeigen. Verwenden Sie stattdessen die Visualisierungen im URL-Dashboard, um bösartige URLs hervorzuheben, mit denen Sie sich befassen müssen, und verfolgen Sie die Häufigkeit, mit der Benutzer versuchen, auf diese URLs zuzugreifen. Jemand, der wiederholt auf einen bösartigen Link klickt, stellt ein größeres Risiko dar als jemand, der nur einmal klickt.

    5. Seien Sie vorsichtig bei der Integration von Daten - und identifizieren Sie die Quelle

    Es ist oft besser, Daten aus vielen Tools nicht in einer einzigen Datenbank für die Analyse zusammenzufassen, da dies die Suche in den Daten viel komplexer machen kann. Wenn Sie Daten kombinieren, fügen Sie ein benutzerdefiniertes Feld hinzu, das die Quelle angibt. Andernfalls kann die erhöhte Komplexität dazu führen, dass es länger dauert, den Wert der Daten zu ermitteln - was auch bedeutet, dass die Analyse mehr der knappen Sicherheitsressourcen des Unternehmens beansprucht.

    Die Quintessenz

    Die Integration der besten Sicherheitsprodukte über offene APIs ist entscheidend für eine schnellere Erkennung, Analyse und Reaktion auf Bedrohungen. Diese Best Practices sollen Ihnen helfen, Sicherheitstools schnell und effektiv zu integrieren, um der sich ständig weiterentwickelnden Bedrohungslandschaft gerecht zu werden.

     

     

     

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang