ExtraHop Reveal(x)

Die Herausforderung

In größeren Netzwerken erschweren zahlreiche Faktoren den Betrieb und verringern die Sichtbarkeit. Hybrid- und Multi-Cloud-Architekturen erhöhen zwar die Agilität, reduzieren aber die Kontrolle im Betrieb. Verschlüsselung ist wichtig, verschleiert jedoch sowohl gutartige als auch bösartige Aktivitäten. Die Analyse der Daten muss auch dann gewährleistet sein, wenn IT-Umgebungen komplexer werden und das Datenvolumen wächst. NetDescribe bietet mit ExtraHop eine Technologie, die über 50 Protokolle bis auf L7 automatisch klassifiziert und eine verhaltensbasierte Analyse des Netzwerkverkehrs mit Hilfe von Machine-Learning macht. Netzwerk- sowie Sicherheitsbedrohungen werden informationsreich angezeigt und Aktionen für sicherheitsrelevante Ereignisse empfohlen.

ExtraHop Reveal(x) – die Lösung von NetDescribe

Mit einem 3-in-1-Workflow, der für Erkennung, Korrelation und Untersuchung optimiert ist, konzentriert sich ExtraHop Reveal(x) auf die wichtigsten Risiken und reduziert die Reaktionszeit bei Limit-Exposition. Ungewöhnliche Vorgänge, die auf einen Ausfall oder eine Bedrohung hinweisen, können früh erkannt und Gegenmaßnahmen ergriffen werden, bevor Schaden entsteht. Anstelle von zeitaufwändigem manuellen Sammeln und Analysieren von Daten, ermöglicht ExtraHop Reveal (x) Echtzeit-Einblicke und eine schnelle Ursachenermittlung. Globale Suche und Indizierung bieten sofortigen Zugriff auf Sicherheitsinformationen.

 

Produktbeschreibung und Funktionen

ExtraHop Reveal(x) analysiert den Netzwerkverkehr über die gesamte Nutzlast der Anwendung und identifiziert in Echtzeit den verschlüsselten Datenverkehr, Rogue-Knoten, IoT-Geräte und BYOD-Systeme. ExtraHop Reveal(x) analysiert mehr als 40 Protokolle, entschlüsselt SSL und den PFS-Verkehr (Perfect Forward Secrecy), erkennt alle verbundenen Geräte und klassifiziert sie automatisch.

  • Auto Discovery Funktion für Systeme und Applikationen
  • Web User Interface mit globaler Suche und Ad-Hoc-Abfragemöglichkeiten
  • Echtzeit Analyse
  • Anomalie Detection Machine Learning Technologie
  • Unterstützung von Public Cloud Umgebungen
  • Schnittstellen:  Integration in Palo Alto, ServiceNow, Splunk, Cisco und in viele andere über API möglich
  • Web User Interface mit globaler Suche und Ad-Hoc-Abfragemöglichkeiten bis zur Paketanalyse

 

ExtraHop Network Detection & Response (NDR) in 90 Sekunden erklärt!

 

1 ExtraHop UseCase

USE Case ExtraHop (Übersetzung / Zusammenfassung)

Das SANS Security Operation Center machte 2019 eine Umfrage zu dem Thema “What Works in SOC/NOC Integration” - Schneller erkennen, antworten und eingrenzen mit ExtraHop Reveal(x).

"What Works" ist ein User-to-User Programm, in dem Manager, die eine effektive Internet Security Technologie eingeführt haben, erzählen, warum sie diese Technologie anwenden, wie sie funktioniert, wie sie die Sicherheit verbessert, welche Probleme es gab bzw. immer noch gibt und was sie bei der Implementierung lernen mussten.

Eine Zusammenfassung der Studie

Die SANS Security Operations Center Umfrage von 2019* zeigte, dass SOC Manager die mangelnde Integration zwischen Sicherheit-, IT- und Netzwerk-Operations als eine der größten Hindernisse für zwei Dinge sehen:

> die Effektivität im Umgang mit aufkommenden Bedrohungen und

> die Möglichkeit ihr Unternehmen im Rahmen des oft eingeschränkten Budgets effizient zu schützen

Weniger als 40% der SOC-Manager sagen, dass das SOC und das NOC effektiv integriert sind. Diejenigen, die von einem höheren Integrations-Niveau berichten, können Verbesserungen in Verkürzung der Zeit zur Erkennung, Reaktion und Eindämmung aufzeigen.

In diesem Use Case von ‘SANS - What Works’ wird Mitch Roberson, Direktor für Unternehmenssysteme bei Curo Financial, Einzelheiten über die Auswahl und den Einsatz von ExtraHop's Reveal(x) darlegen. Er erklärt:

  • wie man die Sichtbarkeit des Netzwerkverkehrs erhöht
  • detaillierte und zeitnahe Einblicke in Leistungs- und Sicherheitsprobleme erhält und
  • organisatorische Silos ausschaltet, indem man ein gemeinsames Tool und Dashboard für Application Owner, Netzwerkadministratoren und Sicherheitsanalysten verwendet.

Mitch Roberson ist verantwortlich für die meisten Anwendungen, Server, Speicher und Hardware des Unternehmens. Er ist Mitglied des Notfallreaktionsteams bei Curo und arbeitet eng mit den Sicherheits- und Netzwerk-Teams zusammen. Der Interviewer ist John Pescatore. Er kam im Januar 2013, nach mehr als 13 Jahren als leitender Sicherheitsanalyst bei Gartner, als Direktor für neue Sicherheitstrends zu SANS.

Das Interview (Kurzform)

Curo Financial ist ein Unternehmen mit Standorten in Kanada und USA. Es gibt etwa 400 Einzelhandelsstandorte und eine sehr große Webpräsenz sowohl in Kanada als auch in den Vereinigten Staaten. Curo bedient Kunden mit Krediten und Finanzdienstleistungen. Die IT Infrastruktur besteht aus drei Datenzentren, eins in Kanada und zwei in USA.

Frage: Warum haben Sie sich für ExtraHop Reveal(x) interessiert - aus Business oder Performance Gründen oder beidem? Was war der Anlass sich für diese Art von Produkten überhaupt zu interessieren?
Antwort: Curo ist ein Unternehmen, das schnell gewachsen ist. Als ich dort anfing, konnten viele Fragen nicht beantwortet werden. Deshalb habe ich früh angefangen Visibilität in allen Bereichen zu fordern. Wir haben drei Jahre mit den Produkten von Riverbed gearbeitet. Aber mir fehlten immer Detailinformationen aus dem Netzwerk und ich hatte das ungute Gefühl nicht alle Informationen zu bekommen. Als Riverbed erneuert werden musste, fing ich an mich für andere Anbieter zu interessieren. Unter anderem für ExtraHop. Ich hatte ein gute Aufstellung von Use Case Szenarios. ExtraHop war der einzige Hersteller der kein Problem mit den Anforderungen der Use Cases hatte. Wir luden Sie deshalb zu einem Machbarkeitsnachweis ein.

Frage: Haben Ihre Use Cases auch Security Aspekte beinhaltet oder hatten Sie bei der Suche Unterstützung vom Security Team? Oft sieht man in Unternehmen, dass Network Teams und Security Operation Teams nach Lösungen suchen. Leider oftmals ohne jegliche Abstimmung. Wie haben Sie das gemacht?
Antwort: Wir sind in dieser Hinsicht sicherlich ein bisschen einzigartig. Das zeichnet unser Team aus. Wir arbeiten hier alle eng zusammen und ich habe Erfahrung mit Security Themen. Ich war u. a. besorgt über Exfiltration und Ransomeware Angriffe. Wir hatten insgesamt 10 Themen, von denen 7 sich um Security drehten.
Von den 10 Use Cases war ExtraHop der einzige Hersteller, der alle lösen konnte. In der Machbarkeitsstudie haben sie neun von 10 Problemen innerhalb der ersten 48 Stunden gelöst. In zwei Tagen Problem Nr. 10 und ich habe 20 weitere Use Cases hinzugefügt. ExtraHop konnte alle lösen.

Frage: Wie sah die eigentliche Installation aus?
Antwort: Ich hatte bereits GigaVUE von Gigamon für East-West-Verkehr eingesetzt und hatte physische Taps für den Nord-Süd-Verkehr eingerichtet. All dies wurde an einen Gigamon-Packet Broker gesendet. So war es einfach einen Feed zu nehmen und ihn an die neue Reveal(x) Plattform zu senden. Der eigentliche Hardware und Software Einsatz von Reveal(x) war extrem einfach. Sobald wir anfingen Daten von den Taps zu senden, begann bereits die Aufnahme und Bereitstellung verwertbarer Daten innerhalb von weniger als fünf Minuten.

Frage: Welche Art von Metriken berichten Sie dem Management, um zu sagen: "Hier ist der geschäftliche Nutzen, den wir aus dieser Investition ziehen". 
Antwort: Aus unserer Sicht haben die Metriken zwei Aspekte. Eine ist die schnellere Zeit, in der die Schwere des Sicherheitsrisikos beurteilt werden kann. Wenn wir von einem Vorfall betroffen sind, können wir die Ursachenanalyse ca. 90% schneller als je zuvor machen. Aber das Coole ist, dass dieses Tool in so vielen verschiedene Umgebungen angewendet wird.
ExtraHop Reveal(x) hat alle Teams zusammengebracht. Unser Netzwerkteam, unser Sicherheitsteam und unser Applications Team arbeiten gerne zusammen, da alle die gleiche Sichtbarkeit haben und alle auf gleichem Niveau reden. Wir können sehen, wie viele Vorfälle wir in einer Woche hatten. Und wir können aufzeigen, wie wertvoll diese Erkenntnisse für uns sind.

Wir hatten zahlreiche Fälle, in denen wir von der PCI oder jemand anderem beauftragt wurden, eine Veränderung in unserer IT-Umgebung vorzunehmen, um sie besser zu schützen. In der Vergangenheit haben wir diese Änderungen vorgenommen und Prozesse abgeschaltet oder wir haben die empfohlenen Änderungen vorgenommen. Sechs Monate später hatten wir einen Sicherheitstest und fanden heraus, dass wir immer noch dasselbe Problem hatten. Der große Wert für uns liegt darin, dass wir die Änderungen kontinuierlich verfolgen können, um zu sehen was passiert.

Wenn man zum Beispiel versucht, TLS 1.0 loszuwerden, sagt jeder, man solle es tun. Aber ich kann Ihnen genau sagen, welche Server heute noch mit TLS 1.0 antworten.
Schwache Verschlüsselungs-Suites loswerden? Ich kann Ihnen genau sagen, auf welchen Servern noch schwache Verschlüsselungs-Suites vorhanden sind. Und so kann ich speziell auf diese eingehen.

SMB Version 1 - es wäre ein Traum, wenn jeder sie ganz abschalten könnte, richtig? Das ist es, was alle wollen. Aber ich sage Ihnen, dass wir nur etwa sechs Server in unserer IT-Umgebung haben, die auf SMB Version 1 antworten. Und wir werden in einigen Wochen in der Lage sein, die SMB-Version 1 global abzuschalten, weil wir die Server, die noch reagieren, operativ verfolgen und herauszufinden können, warum sie welche Informationen erhalten. Aus diesen Gründen glaubt unser Management wirklich an den Wert von Reveal(x). Denn wir nehmen Veränderungen vor, die unsere IT-Umgebung nicht beeinträchtigen und die keine Probleme verursachen.

Frage: Gibt es aus dem, was Sie jetzt wissen, irgendwelche Lehren, Dinge, die Sie anders gemacht hätten?
Antwort: Wir haben Reveal(x) zum Einsatz gebracht kurz nachdem es heraus gekommen war. Wir benutzen es jetzt seit ein oder zwei Jahren. Das wahrscheinlich Wichtigste ist, dass man sich vom Silo-Denken verabschieden muss. Sie müssen die Netzwerk Jungs dazu bringen mit den Security Jungs zu sprechen. Der Wert des Tools kommt, wenn Sie Ihre IT-Umgebung tatsächlich verstehen und die Gruppierungen richtig aufbauen.

Frage: Wie ist der Support von ExtraHop?
Antwort: ExtraHop hat auf dem ganzen Weg einen fantastischen Job gemacht. Die Unterstützung war großartig.

Frage: Irgendwelche letzten Gedanken, die Sie für wichtig halten?
Antwort: Reveal(X) ist ein interessantes Werkzeug, das eine Sichtbarkeit bietet, die ich zuvor nie erhalten habe. Es spielt keine Rolle, ob es sich um die Erkennung von Sicherheitslücken oder eine Art von Performance Überwachung handelt. Jedenfalls sind es Erkenntnisse, die ich bisher noch nie aus verfügbaren Daten herausholen konnte. Jetzt ist es ganz einfach. Sie sind einfach für mich da.

 

Den Original Use Case in englischer Sprache können Sie hier downloaden:

SANS-WhatWorks-Reveal(x)-case-study

*Quelle: SANS Security Operation Center Umfrage 2019 - “What Works in SOC/NOC Integration”: Schneller erkennen, antworten und eingrenzen mit ExtraHop Reveal(x)

2 ExtraHop Videolinks (deutsch)

Hier möchten wir Ihnen die ExtraHop Videos von Jürgen Morgenstern empfehlen

ExtraHop NDR; ein Überblick - Deutsch

ExtraHop - http Überwachung - Deutsch

Wenn Sie auf die o. g. Links klicken, werden Sie zum YouTube Kanal von ExtraHop weitergeleitet.

Downloads

Kontaktieren Sie uns!

Kundenservice

NetDescribe GmbH

Gerne höre ich Ihnen zu und verbinde Sie mit einem unserer Performance-Experten. Hauptsache, wir helfen Ihnen schnell und kompetent weiter!

Ihr Einstieg bei NetDescribe


Wir sind Partner von