Das 2020 von Check Point lancierte Produkt Infinity SOC verspricht “volle Echtzeit-Visibilität über alle Bedrohungen und Analyse-Effizienz Dank KI-Unterstützung“. Was bedeutet dies in der Praxis genau? Wie funktioniert das? Und für wen ist Infinity SOC geeignet und für wen eher nicht?
Die Nadel im Heuhaufen
Eine der Hauptaufgaben eines SOC ist die schnelle Erkennung von tatsächlichen Angriffen und die zeitnahe Response auf diese. SOC-Tools liefern in der Regel dazu sehr viele Alerts, und die Herausforderung für die Security Analysten besteht darin, in der Datenflut die relevanten und dringenden Alerts zu identifizieren und richtig zu priorisieren. Eine hohe Anzahl von Alerts bei gleichzeitig tiefer Signal-to-Noise Ratio (viele False Positives) kann dazu führen, dass gefährliche Vorgänge in der Infrastruktur gar nicht oder zu spät erkannt werden. Hier stellt das Infinity SOC einen besseren Ansatz in Aussicht.
Fähigkeiten des Infinity SOC
Check Point bietet mit der cloud-basierten XDR-Plattform namens Infinity SOC ein übersichtliches Dashboard zur schnellen Identifikation der dringendsten und gefährlichsten Incidents. Datenquellen für das Infinity SOC sind Check Point NGTP Gateways, d.h. Check Point Kunden können so relativ einfach bestehende Infrastruktur nutzen, um in Richtung Network Detection und Response (NDR) auszubauen.
Wie bei Vectra können konkrete Incidents oder angegriffene Assets auf verschiedene Arten top-down weiteruntersucht werden, um zum Beispiel den betroffenen Host, die gefundene Malware, IOCs, die Kommunikationshistorie eines Geräts oder die Timeline eines Angriffs genauer zu untersuchen. Die Analyse-Funktionen sind übersichtlich gestaltet und einfach nutzbar, gehen aber nicht gleich tief wie die Möglichkeiten der Cognito-Plattform von Vectra.
Über die Investigate-Funktion sind nicht nur sämtliche Erkenntnisse von Check Point Research zu einem IOC (Art, Herkunft, geographische Verbreitung, involvierte Prozesse/Dateien etc.), sondern auch OSINT-Info abrufbar und Deep-Link Suchen in sozialen Medien möglich.
Auf infizierten Hosts kann über einen Klick ein Agent installiert werden, der bösartige Prozesse stoppt, infizierte Dateien isoliert und einen forensischen Report zurück ins Infinity SOC liefert. Sprich die NDR-Lösung kann so ad-hoc und punktuell in eine EDR-Lösung ausgebaut werden (sofern nicht sowieso schon auf den Clients Sandblast Agents installiert sind).
Als weiteres Modul in der Plattform bietet Infinity SOC Web-/Mail-Domänen Scanning an, um Betrug und Missbrauch mit dem eigenen Firmenbrand, wie z.B. Phishing oder Fake-Webseiten, zu erkennen.
Voraussetzungen und Cloud-Deployment
Da Infinity SOC rein cloud-basiert angeboten wird, gestaltet sich ein Deployment für Kunden mit bestehenden Check Point NGTP-Gateways sehr einfach. Vorhandene Sandblast Agent Clients können ebenfalls angebunden werden. Die Lizenzierungskosten sind abhängig von der Anzahl Gateways, der Anzahl Benutzer sowie der Anzahl Abfragen im Investigate-Modul.
Für Unternehmen, die heute bei der Netzwerk-Sicherheit auf andere Hersteller setzen, ist der Deployment-Pfad weniger offensichtlich – Gateways von anderen Herstellern können nämlich nicht angebunden werden. Hier drängt sich meines Erachtens eher die Nutzung von NDR-Fähigkeiten des bestehenden Netzwerk-Security-Anbieters oder eine dedizierte NDR-Lösung wie Vectra Cognito auf.
Die Aktivierung der NGTP-Blades ist Pflicht, da das Infinity SOC auf die entsprechenden Queries der Gateways in die ThreatCloud angewiesen ist. Das bedeutet auch, dass keine eigentlichen Log-Daten von den Gateways ans Infinity SOC übertragen werden und die Plattform so Daten- und Privatsphären-Schutz gewährleisten kann.
Fazit
Für bestehende Check Point Kunden ist Infinity SOC eine sinnvolle Erweiterung um NDR-Fähigkeiten und ein möglicher erster wichtiger Schritt, um Security Monitoring, Detection und Response effizient anzugehen.
Die Lösung passt perfekt ins Check Point Ökosystem – dieser Vorteil ist jedoch gleichzeitig eine Schwäche, da dadurch eine entsprechende Hürde für Kunden mit Netzwerk-Security-Produkten anderer Hersteller entsteht.
Via Splunk App können Daten aus dem Infinity SOC zwar exportiert und in eine bestehende SOC-Infrastruktur importiert werden, gewisse Funktionen sind jedoch nur direkt über das Check Point GUI nutzbar. In der Hauptzielgruppe für Infinity SOC scheinen mir deshalb insbesondere Unternehmen zu sein, die heute noch gar kein SOC haben.
Der Beitrag Das unendliche SOC von Check Point erschien zuerst auf Tec-Bite.