Die Kombination mit neu entwickelten KI-basierten IOCs, die speziell auf die Dell Backuplösungen PowerProtect Data Domain und PowerProtect Data Manager zugeschnitten sind, geben vertiefte Einblicke in die Logik der Infrastruktur. Ziel ist es, potentielle Bedrohungen möglichst frühzeitig zu erkennen und zu beseitigen…
Zur Ankündigung
Dell Technologies erweitert die Fähigkeiten seiner MDR-Services (Managed Detection and Response) im Rahmen der Partnerschaft mit CrowdStrike. Ein Connector zur SIEM-Plattform (Security Incident and Event Management) und hochpräzise IOCs (Indicators of Compromise) sollen eine Überwachung bis tief in die Logik der Backup-Software Dell PowerProtect Data Manager und der Appliance Dell PowerProtect Data Domain ermöglichen. Dadurch lassen sich Anomalien und Bedrohungen schneller erkennen und beheben.
Der Hintergrund
Effektive Zugriffskontrollen begrenzen den Zugriff auf Backup-Daten und verringern das Risiko, dass sich Ransomware auf Backup-Systeme ausbreitet. Dazu gehört auch die Einrichtung von Benutzerberechtigungen und Authentifizierungs-Mechanismen. Unabhängig davon werden immer mehr gezielte Angriffe auf Backup-Umgebungen registriert. Die Motivation dahinter: verhindern, dass Unternehmen nach einem Sicherheitsvorfall schnell wieder zum normalen IT-Betrieb übergehen können und Erpressungsversuche starten.
Diese Angriffe möglichst frühzeitig zu erkennen, ist jedoch extrem schwierig. Hier setzt die Neuerung an: Die MDR-Services von Dell Technologies nutzen das Falcon Next-Gen SIEM von CrowdStrike als Teil der Lösung, um über einen Connector Daten aus den Backup-Lösungen von Dell Technologies in das SIEM zu exportieren. Dies ermöglicht Einblicke in die Infrastruktur, die herkömmliche Tools nicht erlauben.
In Kombination mit den neu entwickelten IOCs, die speziell auf Dell PowerProtect Data Domain und PowerProtect Data Manager zugeschnitten sind, lassen sich laut Entwickler potenzielle Angriffe frühzeitig erkenne und präzise abgewehren. Dazu werden laut Anbieter über 60 spezifische Indikatoren – ob deaktivierte Multi-Faktor-Authentifizierung, Anmeldung von einer öffentlichen IP-Adresse, massive Datenlöschungen oder mehrere fehlgeschlagene Anmeldeversuche – innerhalb der KI-basierten Erkennungsfunktionen von Falcon Next-Gen SIEM priorisiert, was Sicherheitsanalysten von Dell Technologies eine schnellere forensische Analyse und Reaktion ermöglicht.
Abb.: CrowdStrike Falcon® Next-Gen SIEM includes key data sources built in from the platform (Bildquelle: CrowdStrike)
Falcon Next-Gen SIEM
Angesichts steigender Datenvolumina sind die meisten SIEM-Strategien zunehmend überfordert. Unternehmen investieren immer mehr Zeit und Ressourcen, um ihr SIEM mit einer Vielzahl von Tools in ihre gesamte Umgebung zu integrieren. Dabei entstehen oft komplexe und fragmentierte Architekturen, um Daten weiterzuleiten, zu replizieren und zu speichern.
Datensilos und lange Bereitstellungszyklen hindern laut CrowdStrike zudem die Teams daran, Bedrohungen frühzeitig zu erkennen und darauf zu reagieren. Die Situation verschlimmert sich noch, wenn Datenpipelines mit defekten Parsern, sich ändernden Protokollformaten oder Regeln, die nicht funktionieren, ausfallen. Und wenn ältere SIEMs dann Stunden für die Ausführung von Suchvorgängen benötigen oder Warnmeldungen verzögert werden, können Angreifer eindringen.
Kommentarauszug Christian Scharrer, Enterprise Architect und CTO Ambassador bei Dell Technologies Deutschland: „Mit unserem Service erkennen wir Anomalien in den Systemen unserer Kunden bis in die innerste Logik deutlich früher und können so Bedrohungen schneller und effizienter abwehren. Gemeinsam mit CrowdStrike haben wir zudem fortschrittliche Funktionen zur Erkennung von Bedrohungen entwickelt, die unseren Sicherheitsexperten verwertbare und qualitativ hochwertige Daten liefern…“.
Unsere Anmerkung: Fortschrittliche Verschlüsselungstechnologien der Backup-Daten und die Sicherstellung, dass Backup-Software immer auf dem neuesten Stand und entsprechend up-to-date gepatcht ist, sind unabhängig von allen anderen Maßnehmen zum Schutz vor Angriffen zu tätigen. Dazu gehört auch die unveränderliche (immutable) Speicherung von Daten und sichere Snapshots. Ransomware-Angriffe können in hybriden Umgebungen auch den Zugriff auf Cloud-Speicherinhalte (z.B. über gestohlene Administrator-Anmeldeinformationen) beinhalten, weshalb ein effektives Privileged Access Management (PAM) notwendig ist.
Ransomware möglichst annähernd in Echtzeit zu erkennen, um sowohl die Auswirkungen auf Daten zu minimieren, als auch die Wiederherstellung zu beschleunigen, bleibt das oberste Ziel jeder Schutzmaßnahme.
Querverweis:
Unser Beitrag > Mehr Cybersicherheit mit Fast Identity Online FIDO innerhalb einer MFA-Strategie
Unser Beitrag > Wie sich Ransomware frühzeitig in Echtzeit erkennen läßt
Unser Beitrag > Funktionen zum Aufbau cyberresistenter Speicherinfrastrukturen für den Applikationsbetrieb