Gastkommentar
Den Wald vor lauter Bäumen nicht sehen
Oliver Keizers, Regional Director DACH bei Fidelis Cybersecurity, erklärt, warum die Integration von Security-Tools unverzichtbar geworden ist, um Angriffe zu erkennen und auf sie zu reagieren.
Heute ist es nicht mehr die primäre Herausforderung, mit Firewalls und Virenscannern Angriffe auf eine digitale Infrastruktur zu verhindern. Dieses kleine Einmaleins beherrscht das Gros der Sicherheitsverantwortlichen in Unternehmen mittlerweile aus dem Effeff. Zur Hauptaufgabe ist es vielmehr geworden, aus einer großen Zahl durchaus funktionaler, wirkungsvoller und nützlicher Tools eine homogene, integrierte Einheit zu schaffen und dabei noch Angriffe, die erfolgreich die traditionellen Sicherungssysteme umgangen haben, zu erkennen.
Die Situation in vielen Security-Abteilungen lässt sich gut mit ›Den Wald vor lauter Bäumen nicht sehen‹ beschreiben. Denn die Menge an Warnmeldungen sowie die fehlende Bestätigung des erfolgreichen Angriffs plus fehlende Hintergrundinformationen verhindern recht konsequent eine zeitnahe und zielgerichtete Reaktion bei Zwischenfällen.
Automation bedeutet heute für die meisten Sicherheitsverantwortlichen die regelmäßige Aktualisierung ihrer Virensignaturen, ein jeweils aktuelles und sauber ablaufendes Patchmanagement und die Verwaltung ihrer Firewall-Regeln über eine zentrale Plattform. Das sind alles wichtige und richtige Dinge, aber sie lösen das eingangs beschriebene Problem nicht. Automation muss insbesondere auch die Arbeit derjenigen Kollegen vereinfachen, die mit den Warnmeldungen umgehen müssen. Hier ist es notwendig, Warnungen aus dem Netzverkehr automatisiert am Endpunkt zu bestätigen und danach entsprechende Aktionen ablaufen zu lassen. Eine Warnung ohne Reaktion ist rausgeworfenes Geld! Aber nicht jede Warnung muss ein valider Alarm sein. Hier liegt das Problem, die Unterschiede zu erkennen.
Der Versuch, das Problem durch die Einführung eines SIEM-Systems zu lösen, wird schnell an seine Grenzen stoßen, da diese Systeme schlicht nicht zur Angriffserkennung gebaut wurden und strukturell dazu auch nicht dazu in der Lage sind. Hier hilft nur eine enge Integration zwischen Erkennungsmethodik im Datenstrom und auf den Endpunkten, zusätzlich dazu die Möglichkeit, auf die Erkennung auch umgehend automatisiert reagieren zu können. Dann entstehen auch die eingangs erwähnten Belastungen nicht mehr.
