Security-Plattformen
Security erlaubt keine halben Sachen
Fortsetzung des Artikels von Teil 1
Wer schnell reagieren will, muss automatisieren
Moderne Security-Plattformen haben das Wissen erfahrener Security-Analysten und Incident-Response-Mitarbeiter in Form von KI integriert. Damit werden rund um die Uhr arbeitende SOCs von Routineaufgaben weitestgehend entlastet, so dass sich die Mitarbeiter auf kritische Supportaufgaben konzentrieren können. KI fungiert quasi als intelligenter Assistent, der in der Lage ist, viele Inputs von verschiedenen Quellen zu verarbeiten und deshalb Analysen und Entscheidungen in größeren Volumen und auf höherer Komplexitätsebene erlaubt. Die Erkenntnisse daraus werden automatisiert für jeweils angemessene Aktionen zur Beseitung und Eindämmung von Gefahren in Sekundenschnelle zur Verfügung gestellt.
So kann man zum Beispiel automatisiert ein Endgerät in Quarantäne stecken oder Speicher- und Festplatten-Images ziehen. Je besser die Parameter eines Sicherheitsvorfalls definiert sind, desto präziser können die automatisierten Remediation-Maßnahmen gestaltet werden. Das entlastet SOC-Teams und führt zu blitzschnellen Reaktionszeiten bei den Abwehrmaßnahmen. Derart gestaltete Securityprozesse sind derzeit wohl das wirksamste Mittel gegen Datendiebstahl.
Ein weiterer Bestandteil des Incident Reponse-Prozesses ist die forensische Analyse von Daten. Dazu werden die relevanten Daten vom Security-System erfasst, gespeichert und auf Knopfdruck bereitgestellt. Manche Lösungen speichern Paketdaten, andere die Metadaten der einzelnen Sessions. Beide Varianten dienen als Quelle zur Ursachenforschung: Wer ist wie und wann mit welcher Methode in das Unternehmen eingedrungen und was waren die Auswirkungen des Angriffs.
Diese Informationen werden benötigt, um der Meldepflicht von Securityvorfällen in vollem Umfang nachkommen zu können. Oftmals werden die forensischen Daten auch für gerichtsverwertbare Beweise genutzt. Darüber hinaus sind auch immer dann notwendig, wenn es um den Nachweis von unerwünschter Netzwerkaktivität geht. Last, but not least, dienen sie zum Schärfen der Security-Werkzeuge. Kennt man das Einfallstor, ist man imstande, es ein für allemal zu schließen – auch automatisiert!
In vielen Unternehmen ist Incident Response noch weitgehend auf manuelle Prozesse angewiesen. Dies muss sich ändern, wenn die Sicherheit auch in Zukunft gewährleistet sein soll. Eine Verbesserung der Verteidigungsfähigkeit und schnellere Reaktion auf Sicherheitsvorfälle ist nur über Automatisierung zu erreichen. Sie erhöht die Produktivität der SOC-Teammitglieder und stellt sicher, dass Bedrohungen nicht über das Schlupfloch unzureichend miteinander verzahnter Vorgehensweisen eindringen können.
Wer Security ernst nimmt, muss kooperieren
Da die Automatisierung von Maßnahmen zur Eindämmung von Angriffen oft Prozesse aus weiteren Bereichen der IT-Infrastruktur tangiert, sind dafür auch Mitarbeiter aus den verschiedensten Bereichen der IT-Organisation einzubeziehen. Hier muss im Hinblick auf die Unternehmenssicherheit das „Silodenken“ verlassen, die Bereitschaft zur Kooperation mit der Security-Abteilung geweckt und die praktische Zusammenarbeit organisiert werden. Sobald das SOC-Team damit beginnt, automatisierte Änderungen am System vorzunehmen, übernimmt es auch die Verantwortung dafür, dass diese Maßnahmen sicher und gemäß den Unternehmensrichtlinien ablaufen. Für den Erfolg des ganzheitlichen Security-Aspekts muss deshalb die gesamte IT-Organisation den automatisierten Abläufen Vertrauen entgegenbringen und sie nicht als Risiko betrachten.
Wer Sicherheit verantwortet, wird auch daran gemessen
Der ganzheitliche Security-Ansatz umfasst aufgrund der Automatisierung sowohl einen technischen wie auch organisatorischen Aspekt. Wer bei der Integration auf die Unterstützung professioneller Security-Berater baut, spart in der Regel allein schon durch eine verkürzte Projektphase und die reibungslosere Integration. Aufgrund des unmittelbar erkennbaren Nutzens durch Effektivitätssteigerung des SOC ist der RoI Return on Invest für die innovative Second Line of Defense auch vor dem Management eines Unternehmens sehr gut darstellbar. Die verkürzte Zeit bis zur Erkennung einer Attacke (MTTD Mean Time to Detect) und bis zur Durchführung von Abwehr- bzw. Wiederherstellungsmaßnahmen (MTTR Mean Time to Response) lässt die TCO Total Cost of Ownership weiter schrumpfen.
Herkömmliche Sicherheitsansätze werden der komplexen Bedrohungslandschaft und der heutigen IT-Welt nicht mehr gerecht. Wer mithalten will, muss der Herausforderung mit innovativer Technologien und ganzheitlicher Strategie begegnen.
Lydia Krowka ist Geschäftsführerin von Datakom
- Security erlaubt keine halben Sachen
- Wer schnell reagieren will, muss automatisieren
Lesen Sie mehr zum Thema
