ThreatQuotient kündigt den ThreatQ TDR Orchestrator an, eine neue datengesteuerte Automatisierungsfunktion für eine effizientere und effektivere Erkennung und Bekämpfung von Bedrohungen.
Mit dieser Funktion können Anwender anhand von Daten steuern, welche Aktionen wann und warum durchgeführt werden sollen.
„Der bisherige Automatisierungsansatz der Sicherheitsbranche hat die völlig unterschiedlichen Anforderungen von Erkennungs- und Reaktionsanwendungen übersehen“, sagt Leon Ward, VP of Product Management bei ThreatQuotient. „Der Fokus von ThreatQ TDR Orchestrator liegt auf Daten, nicht auf Prozessen. Bei der Erkennung und Reaktion ist das, was bei der Durchführung einer Aktion gelernt wird, viel wichtiger als die Aktion selbst. ThreatQuotient hat die Chance ergriffen, Automatisierung so zu definieren und anzubieten, dass die Komplexität für Sicherheitsteams reduziert wird.“
Stufen der Automatisierung
Angesichts des Mangels an Sicherheitspersonal ist die Automatisierung zu einer wichtigen Strategie geworden, um die Bewältigung sich ständig wiederholender Abläufe zu erleichtern und es Experten zu ermöglichen, anspruchsvolle Sicherheitsaufgaben effizienter durchzuführen. Bislang wurde Automatisierung als Definition eines Prozesses und der zur Ausführung dieses Prozesses erforderlichen Schritte betrachtet. Dieser Ansatz ignoriert jedoch die Tatsache, dass Automatisierung viel mehr ist als nur die Ausführung eines Prozesses. In Wirklichkeit gibt es drei wichtige Stufen der Automatisierung, die definiert und angegangen werden müssen:
- Initiate – Festlegen, welche Aktionen ausgeführt werden sollen und wann diese Aktionen stattfinden sollen
- Run – Ausführen des Handlungsablaufs oder des definierten Prozesses bis zum Abschluss
- Learn – Aufzeichnen der gewonnenen Erkenntnisse für Analysen und zur Verbesserung künftiger Reaktionen
ThreatQ TDR Orchestrator bringt Intelligenz in die Plattform und nicht in die einzelnen Playbooks, indem Smart Collections und datengesteuerte Playbooks verwendet werden. Die Anwendung von Smart Collections und datengesteuerten Playbooks sorgt für eine einfachere Konfiguration und Wartung und bietet ein effizienteres Automatisierungsergebnis. Dieser Ansatz adressiert darüber hinaus alle drei Phasen der Automatisierung – Initiate, Run und Learn – einfach und effizient, indem er es Benutzern ermöglicht, Daten im Vorfeld zu kuratieren, zu priorisieren und nur dann zu automatisieren, wenn sie relevant sind, um so die durchgeführten Aktionen zu vereinfachen. Es kann als Ergänzung zu anderen Playbook-Funktionen durch die Ökosystempartner von ThreatQuotient verwendet werden, oder Benutzer können datengesteuerte Playbooks innerhalb der ThreatQ-Plattform definieren.
Anwendungsfälle für den ThreatQ TDR Orchestrator
Um die Plattform intelligenter zu machen, wird sie auch das Gelernte erfassen, um die Datenanalyse zu verbessern, was wiederum die Initiierungsphase der Automatisierung verbessert.
Zu den Anwendungsfällen für den ThreatQ TDR Orchestrator gehören unter anderem die Automatisierung der folgenden Aufgaben:
- Jagd auf wichtige Bedrohungen (Threat Hunting), wenn neue Erkenntnisse gewonnen werden, und Aufzeichnung der Ergebnisse
- Bereitstellen von Blockier- und Erkennungsinhalten für EDR– und Netzwerkgeräte
- Anreichern von Threat Intelligence mit Daten, die komplexe Kriterien erfüllen und Zusammenhänge erkennbar machen
- Meldung an den Benutzer, eine Sicherheitslücke mit hoher Priorität zu patchen, die in relevanten Kampagnen genutzt wird
„Ein hohes Vertrauen in die Daten zu haben, die zur Auslösung von Alarmen verwendet werden, ist entscheidend. Der Ansatz von ThreatQuotient für den Sicherheitsbetrieb stellt sicher, dass sich die Teams durch Automatisierung und Optimierung weiterhin auf Bedrohungen mit hoher Priorität konzentrieren und so beispielsweise mehrere Analysten für wichtigere Aufgaben freisetzen können“, erklärt Ed Amoroso, CEO und Gründer von TAG Cyber. „ThreatQuotients datengesteuerter Ansatz zur Automatisierung durch ThreatQ TDR Orchestrator ermöglicht es Sicherheitsteams, die Anzahl der Playbook-Läufe zu reduzieren und darauf zu vertrauen, dass der Output relevant ist und hohe Priorität hat.“
ThreatQ TDR Orchestrator wird im Sommer 2021 verfügbar sein.
www.threatquotient.com