Security Operations Center unter Druck
Sicherheitsrisiko SOC-Personalmangel
Fortsetzung des Artikels von Teil 1
Deep Learning
Der Einsatz von künstlicher Intelligenz (KI) und insbesondere Deep Learning (DL) kann einen großen Beitrag dazu leisten, um die Security-Fachkräfte zu entlasten. So verwenden laut der Umfrage IT-Fachleute in Deutschland ein Viertel ihrer wöchentlichen Arbeitszeit darauf, False Positives zu überprüfen. Deep-Learning-Technik kann die False-Positive-Rate auf weniger als 0,1 Prozent senken. Indem sich die SOC-Teams auf die echten Warnungen konzentrieren können, sinkt das Risiko, einen Ransomware-Angriff zu übersehen. Im Ernstfall zählt zudem jeder Augenblick – Malware kann innerhalb von 1,5 Sekunden einen Server verschlüsseln. Daher ist es ein ernstes Problem, wenn ein legitimer Alarm tagelang im Posteingang liegt, weil er in der Alarmflut untergeht.
Deep Learning beruht auf sogenannten künstlichen neuronalen Netzen, die aus Hunderttausenden artifiziellen, nicht-linearen Neuronen-Synapsen-Kombinationen bestehen. Dank dieser ist das System lernfähig. Es benötigt einen Datensatz, auf dessen Basis es lernt, welche Dateien gut- und welche bösartig sind. Dank dieses automatischen Prozesses kann das System frühzeitig selbst noch unbekannte Bedrohungen identifizieren und so größeren Schaden im Netzwerk verhindern. Mit der richtigen Lösung geschieht dies in wenigen Millisekunden.
Der Faktor Mensch
Während intelligente Technik ein großer Schritt hin zur Entlastung ist, müssen auch auf Unternehmensseite Maßnahmen greifen, um die Situation für Beschäftigten zu verbessern und der Burnout-Gefahr entgegenzuwirken. Das Stichwort lauet Vorbereitung: Unternehmen sollten für den Fall eines Ransomware-Angriffs gewappnet sein, regelmäßige Trainingsläufe durchführen und einen Notfallplan ausgearbeitet haben, den jede IT-Fachkraft sofort umsetzen kann. Dies vermeidet den Stress, in einer angespannten Angriffssituation erst einen Aktionsplan ausarbeiten zu müssen. Idealerweise beinhaltet diese Vorbereitung die Analyse des Ablaufs eines Sicherheitsvorfalls, einen Kommunikationsplan, eine Analyse der Auswirkungen auf den Betrieb und einen Wiederherstellungsplan.
Neben diesen übergeordneten Plänen gibt es außerdem Aktionen, die den täglichen Stress der SOC-Teams – ebenso wie der IT-Management-Ebene – verringern können. So sollten die Sicherheitsteams regelmäßig das Rauschen verschiedener Lösungen überprüfen, die Warnmeldungen an SIEM-System (Security-Information- und Event-Management) liefern. Sind sie zuverlässig? Wie viele wiederholen einfach Signale, die bereits ein anderes Tool im Portfolio erzeugt hat? Kommen die meisten Warnmeldungen von einem Teil des Technologieparks?
Ebenfalls wichtig sind Priorisierung und Aufgabenteilung: Man sollte unwichtige Anfragen zurückstellen, an denen die IT-Teams nicht gemessen werden, die aber Zeit kosten. Zudem sollten SOC-Teams und Führungsebene zusammenarbeiten, um kontinuierliche Mitarbeiterschulungen zu Phishing und anderen wichtigen Themen abzuhalten, die das Risiko verringern.
Für CISOs und CXOs kann es außerdem hilfreich sein, einmal im Monat eine kurze Besprechung einzuplanen, um zu sehen, wie es jedem Teammitglied geht. Dabei sollte es weniger um die laufende Arbeit gehen als vielmehr um die Frage, wie sich das Team fühlt. Gleiches gilt für Teammitglieder untereinander.
Und schließlich sollten CISOs und stark beanspruchte IT-Fachleute nach Möglichkeit eine feste Zeit festlegen, zu der sie ihr Smartphone jeden Abend ausgeschaltet haben. Sich Zeit für Abwesenheit zu nehmen ist in diesen Jobs besonders wichtig.
Kein SOC-Team ist keine Option
Es ist nicht zu leugnen: SOC-Teams kommen aktuell ans Limit. Dies führt entweder dazu, dass Fachkräfte Fehler machen, was der Unternehmenssicherheit schaden kann, oder dazu, dass sie kündigen. Eine Balance aus moderner Technik und Rücksicht auf die Beschäftigten kann für Unternehmen also ein hilfreiches Mittel sein, um für Entlastung zu sorgen und dem Fachkräftemangel langfristig entgegenzuwirken. Denn wenn es Unternehmen jetzt schon schwer haben, sich gegen Cyberangriffe zu verteidigen, so wird es ohne IT-Sicherheitsteams ein Ding der Unmöglichkeit.
Ralph Kreter ist AVP Central and Eastern Europe bei Deep Instinct.
- Sicherheitsrisiko SOC-Personalmangel
- Deep Learning
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
