Internationale Studie: Welche Prioritäten Sicherheitsverantwortliche bei Cloud-Integrität, Fachkräftemangel und den dringendsten Angriffsvektoren setzen.
Reaktion auf besonders schwerwiegende Vorfälle
Wer im Bereich Incident Response arbeitet, darf sich keine Fehltritte erlauben. Das und nicht weniger erwarten Unternehmen von ihren Cybersecurity-Profis. Umso mehr gilt dies für das Advanced-Threat-Response-Team von Splunk, das für die Abwehr der größten und schwerwiegendsten Angriffe auf das Unternehmen zuständig ist. Um Splunk vor Ungemach zu bewahren, arbeitet das zehnköpfige Team eng mit dem SOC und anderen internen Beteiligten zusammen. Wenn etwas schiefläuft, muss das Team die Auswirkungen auf Betrieb, Finanzen und Ansehen des Unternehmens minimieren und dafür sorgen, dass die gesamte Splunk-Belegschaft weiterarbeiten kann.
Um profundere Incident-Untersuchungen und mehr Analysen durchführen zu können, führte das Team kürzlich Splunk Attack Analyzer ein. Es ist mittlerweile zum Tool der Wahl für die Analyse verdächtiger Dateien und Domains avanciert. Mit Splunk Attack Analyzer kann das Team Vorfälle schneller erkennen und Risiken für das Unternehmen reduzieren. „Es hat uns bei den allerschwierigsten Vorfällen weitergeholfen“, sagt Tony Iacobelli, Senior Manager im Advanced-Response-Team von Splunk.
Seitdem das Advanced-Threat-Response-Team mit Splunk Attack Analyzer über ein starkes, automatisiertes Tool zur Bedrohungsanalyse verfügt, hat sich sein Erkennungsradius deutlich erweitert. Zuvor musste es sich ganz auf seine EDR-Lösung verlassen, um verdächtige Aktivitäten automatisch an der weiteren Ausführung zu hindern. Mit Attack Analyzer haben Analysten nun auch die Möglichkeit, Muster zu analysieren und nähere Informationen über die Angriffsquelle (z. B. Gefährdungsindikatoren und hostbasierte Artefakte) zu erhalten. Auf diese Weise lassen sich weitere verdächtige Aktivitäten aufspüren, die das EDR-System womöglich übersehen hätte. Mithilfe der interaktiven Detonationsmodi des Tools kann das Team zudem Malware untersuchen, ohne Gefahr zu laufen, die eigenen Geräte zu infizieren.
Diese neuen Funktionalitäten kamen für Splunk genau zur richtigen Zeit. „Wir waren gerade dabei, neue Anwendungsfälle einzuführen und zusätzliche Bereiche zu durchleuchten“, so Tony Iacobelli. „Leider können wir nicht ohne Weiteres unser Personal aufstocken, nur weil wir mehr Einblicke haben. Wir mussten also effizienter werden, um die Produktivität des Teams zu steigern. Und mithilfe von Attack Analyzer haben wir genau das erreicht.“ Attack Analyzer sorgte für effizientere Abläufe, sodass die Incident-Response-Teams von Splunk ihr ursprüngliches Ziel erreichen konnten: eine MTTD von unter 7 Minuten in kritischen Use Cases.
