Sicherheitstipps
Fünf Fragen zum IT-Security-Outsourcing
Auf dem Arbeitsmarkt stehen derzeit nur wenige Sicherheitsspezialisten zur Verfügung. Gleichzeitig werden sowohl Netzwerke als auch Bedrohungen komplexer, Vorschriften nehmen zu und die Geschwindigkeit, mit der Innovationen vorangetrieben werden, steigt. All diese Herausforderungen bringen Unternehmen dazu, sich extern Hilfe beim Thema Sicherheit zu holen.
Die Analysten von Gartner schätzen, dass der Markt für Security-Outsourcing bis 2017 auf 24,5 Milliarden US-Dollar anwächst - 2013 waren es noch 12 Milliarden US-Dollar.
Volker Marschner, Security Consultant bei Sourcefire, jetzt Teil von Cisco, nennt und gibt Antworten auf fünf Fragen, die Unternehmen einem potenziellen Managed Security Service Provider (MSSP) unbedingt stellen sollten, um den Richtigen für sich zu finden.
1. Welche Arten von Telemetrie-Daten bilden im Unternehmen die Basis, um Transparenz zu gewährleisten und Bedrohungen zu entdecken?
Reine Flow- oder Log-Daten reichen nicht aus. Vielmehr muss ein Unternehmen zusätzliche Daten, etwa Protokoll-Metadaten zur Verfügung stellen können, um einen Einblick in ausgefeilte Angriffsmethoden zu bekommen. Die Integration von HTTP-Metadaten in ein Telemetrie-Modell verhilft beispielsweise zu Informationen, die gebraucht werden, um Web-basierte Bedrohungen aufspüren zu können. Generell gilt: Je mehr Daten dem MSSP zur Verfügung gestellt werden können, desto effektiver erkennt dieser Anomalien – und kann die Nadel im Heuhaufen finden.
2. Wie werden diese Daten analysiert?
Je mehr Daten es gibt, desto weniger eignen sich einfache Analyse-Modelle. So reicht es heute nicht mehr aus, Log-Daten mit festgelegten Regeln abzugleichen. Vielmehr werden Analyse-Technologien benötigt, die in Echtzeit funktionieren und die großen Datenmengen nutzen – und zwar nicht nur die vom Unternehmen selbst, sondern auch die aus der weltweiten Community. So lassen sich vorhersagende und dynamische statistische Modelle entwickeln, um detaillierte Informationen über anomales Verhalten zu erhalten. Egal, wie viele Telemetrie-Quellen genutzt werden: Nur mit umfassenden Analyse-Methoden lassen sich Angriffe zuverlässig entdecken.
3. Wo werden diese Daten gespeichert und wie sind sie gesichert?
Unternehmen müssen wissen, ob die Daten sich im Rechenzentrum des Anbieters befinden oder aber in der Cloud liegen. Ob die Antwort auf diese Frage adäquat ist oder eine Alternativlösung gebraucht wird, muss jedes Unternehmen für sich selbst entscheiden und dabei sowohl Compliance-Herausforderungen als auch die Garantien des MSSPs in Betracht ziehen. Hier müssen demnach entsprechende technische, gesetzliche und geschäftliche Überlegungen angestellt werden. Wichtig ist: es gibt keine allgemeine „richtige“ Antwort.
4. Wie detailliert sind die Reportings?
Große Datenmengen sind toll – aber nur wenn sie auch interpretiert werden, so dass Unternehmen entsprechend reagieren können. Hier müssen Unternehmen sicherstellen, dass sie für ihr Unternehmen relevante Informationen auf Basis von korrelierten Kontextdaten bekommen – und zwar möglichst in Echtzeit. Deshalb sollte beim MSSP abgefragt werden, inwiefern der Anbieter geprüfte, relevante und zuverlässige Informationen zur Verfügung stellen kann. Endlose Listen, die ein Unternehmen dann selbst analysieren und untersuchen muss, nur um dann festzustellen, dass es einen falschen Alarm gegeben hat, helfen hier nicht weiter.
5. Wie können MSSPs ein Unternehmen gegen unbekannte Zero-Day-Attacken schützen?
Um Zero-Day-Angriffe zu entdecken und entsprechend zu handeln, reichen traditionelle Point-in-Time-Technologien nicht mehr aus. Vielmehr werden heute Ansätze gebraucht, mit denen sich das Netzwerk kontinuierlich überwachen und entsprechend schützen lässt. Hier kommen wieder die Bereiche Telemetrie, Analyse und statistische Modelle ins Spiel, um nahezu unentdeckbare Vorfälle und Anomalien doch zu finden und Angriffen entgegenzuwirken.
Unternehmen sehen sich heute zunehmend mit geschäftlichen, gesetzlichen und sicherheitstechnischen Herausforderungen konfrontiert, so dass sie zunehmend nach Hilfe von außen schauen, um ihre Assets vor Cyber-Attacken zu schützen. Diese Fragen können helfen, sich auf die Gefahren als solche zu konzentrieren und den Schutz zu bekommen, der gebraucht wird.
Lesen Sie mehr zum Thema
