:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SOC mit MDR für KMU? Der Beitrag der Security Operation Center für die Cybersicherheit
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/31600/31631/65.jpg "Bitdefender_web.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Keine Cybersicherheitstechnologie schützt zu hundert Prozent. Schwache Passwörter, ineffizientes Patching und Phishing-Kampagnen schaffen ständig Lücken in der IT-Abwehr, die irgendwann ausgenutzt werden. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Spezialisten gegenüberstehen. Den entscheidenden Beitrag gerade zur Abwehr fortgeschrittene Angriffe liefern die Experten in einem Security Operation Center (SOC). Und diese Hilfe ist auch für mittelständische Unternehmen in Reichweite.
Angriffe werden immer anspruchsvoller. Die Hacker entwickeln immer neue, komplexe und kreative Methoden. Mit Advanced Persistent Threats greifen sie nicht nur große Unternehmen, sondern auch den Mittelstand an: Entweder direkt, um auf sein Wissen zuzugreifen, oder indirekt als Sprungbrett zum Angriff auf weitere größere Betriebe, mit denen man digital verknüpft ist.
Dauerhafte Sicherheit hängt daher für viele Betriebe von Experten ab, die proaktiv nach Gefahren suchen, Lücken frühzeitig schließen und im Ernstfall rechtzeitig eingreifen. Viele IT-Teams können das nicht selbst leisten. Oft fehlt ihnen das notwendige Budget, um ein Team von IT-Sicherheitsexperten mit den entsprechenden Fähigkeiten aufzubauen. Große Organisationen, die das Geld haben, leiden unter dem dramatischen Mangel an IT-Security-Fachkräften auf dem Markt. Deshalb können selbst sie nur sehr schwer ein kompetentes Team aufstellen und langfristig halten. Externe Ressourcen sind für die allermeisten Betriebe unverzichtbar. Experten-Teams eines Security Operation Centers mit Managed-Detection-and-Response- (MDR) Dienste ergänzen dabei interne Sicherheitsteams und bieten den notwendigen Schutz gegen die Attacken der Zukunft.
Die Arbeit der Experten in einem SOC basiert zum einem auf den Daten, die eine Endpoint-Detection-and-Response- (EDR) Lösung im Unternehmen sammelt, zum zweiten auf den Informationen aus der Telemetrie von Millionen anderer Endpunkte, die mit Maschine-Learning-Methoden interpretiert werden, sowie zum dritten aus weiteren Quellen. Diese Daten unterstützen die Cyber-Abwehr taktisch und operativ: Indexwerte zeigen, wie stark Systeme kompromittiert sind und wo Angriffe unmittelbar bevorstehen.
Experten liefern auf Grundlage dieser Informationen einen entscheidenden menschlichen Mehrwert gegenüber der IT-Sicherheitssoftware. Sie haben permanent die IT-Sicherheit eines Kunden im Blick. Sie beseitigen bereits erfolgreich installierte Malware, erkennen auffälliges Verhalten einer Fileless-Attacke und verhindern Schäden. Zudem beraten sie ihre Kunden, um die Abwehr kontinuierlich zu verbessern.
Mannschaftssport Cyber-Sicherheit
Um Unternehmen langfristig in Echtzeit zu schützen und zu betreuen, stehen verschiedene Teams bereit. Erste Ansprechpartner sind die Security Account Manager. Sie sind die Brücke zwischen Kunden und Expertenteam. Ihre Aufgabe besteht aus weit mehr als nur Kontakt und Reporting. Sie bewerten alle Informationen basierend auf der Kenntnis der Unternehmensnetze und veranlassen spezielle Recherchen, das Erstellen von Risikoprofilen oder die Definition von Abwehrmaßnahmen durch andere Sicherheitsanalysten. Häufig gehen sie proaktiv zum Kunden und weisen auf Risiken hin. Auf Kundenwunsch veranlassen sie Analysen zu aktuellen Gefahren oder Angriffen. Ratschläge zu Konfigurationen und zum Härten von Systemen geben sie an die Kunden weiter.
Darüber hinaus greift der Security Account Manager auf verschiedene andere Teams technischer Spezialisten zurück: Eine Gruppe interpretiert aktuelle Sicherheitsalerts. Andere entwickeln individuell für jedes Unternehmen Risikoprofile. Sie haben branchenspezifische Technologien und deren spezifische Gefahren im Blick. Zudem berücksichtigen sie aktuelle Angriffe auf Mitbewerber. Sie entwerfen zudem kundenspezifische Kataloge mit Sofortmaßnahmen für den Ernstfall. Eine weiteres Team hält sämtliche Abwehr- und Infrastruktursysteme im SOC ständig verfügbar.
Langstreckenrennen
Je länger die Expertenteams den Kunden kennen, umso besser können sie dessen IT schützen. Kontinuierlich Sicherheit zu schaffen, ist ein langfristiger Prozess. Entscheidender Startpunkt ist dabei die Anamnese im Onboarding, in deren Rahmen die betreuenden Analysten die individuelle Sicherheitslage des Kunden und den Normalbetrieb des Kunden so detailliert wie möglich erfassen. Darauf aufbauend definieren die Spezialisten dann normale IT-Abläufe im jeweiligen Unternehmen.
Ein kontinuierlich wirkender IT-Sicherheitsdienst beruht auf folgenden vier Elementen:
Prevention: Grundlegende Abwehrtechnologien wie Next Generation Antivirus filtern bekannte Malware und verdächtige Aktivitäten im Vorfeld heraus. Die Sicherheitsanalysten können sich so auf unbekannte Gefahren und individuell entworfene Advanced Persistent Threats konzentrieren. Sie sollen die Dinge erkennen, die die Tools nicht sehen oder abwehren können. Zudem kontrollieren die Experten, ob sich die Mitarbeiter an die Sicherheitsrichtlinien halten.
Detection: Technologien zum Schutz von Endpunkten oder EDR helfen bei der Abwehr von Bedrohungen. Die Teams in den SOCs halten darüber hinaus Ausschau nach neuen Angriffen, die den Kunden, seine Technologie und die Branche besonders betreffen. Mit Cyber Threat Hunting suchen die Experten nach Bedrohungen, Risiken und einem erfolgreichen Eindringen. Um dieses frühzeitig zu erkennen, überprüfen sie vor allem Vorgänge, die von normalen Abläufen abweichen. Zum Beispiel durch einen Blick auf die Aktivitäten des Powershell-Tools zum Abfragen von Systemprozessen: Eine ungefilterte Suche nach allen Prozesse ist verdächtig. Denn der berechtigte Administrator, der sich mit dem System auskennt, filtert in der Regel gezielt nach bestimmten Prozessen.
Response: Ein wichtiger Mehrwert ist die schnelle Reaktionszeit im Ernstfall. Die Hilfe durch MDR und SOC kommt sofort – anders als bei Managed-Security-Service-Anbietern. Letztere kontaktieren lediglich die Unternehmen bei Problemen. Die Abwehr ist dann alleinige Sache des Kunden. SOC-Experten dagegen führen schon bevor sie eine Gefahr melden die Maßnahmen durch, welche Kunde und Dienstleister vorab gemeinsam abgestimmt und vereinbart haben: Sie blockieren zum Beispiel IP-Adressen, setzen Passwörter zurück oder isolieren beziehungsweise entfernen Systeme aus dem Netz bei beginnenden Ransomware-Attacken. Was der externe Dienstleister im Ernstfall ohne Rücksprache mit dem Kunden durchführen darf, berührt niemals die Grundlagen der zu schützenden Infrastruktur.
Reporting: Manche Kunden wollen von ihrer IT zwar nur hören, dass alles in Ordnung ist oder ein Angriff abgewehrt wurde. Aber ein SOC als Black Box reicht nicht aus, vor allem vor dem Hintergrund der Dokumentationspflichten durch die DSGVO. Viele Kunden verlangen eine Dokumentation von Angriff und Abwehr. Und sie können sich selbst einschalten: Wenn sie sich in die Systeme des externen Sicherheitszentrums einloggen, können sie den Experten virtuell über die Schultern blicken oder eigenhändig Analysen durchführen. Sie sehen dann dieselben Informationen, die der Experte hat. Zurückliegende Aktivitäten lassen sich nachvollziehen.
Das Denken dem Menschen überlassen
Solange es Angreifer aus Fleisch und Blut gibt, spielt der menschliche Experte eine entscheidende Rolle in der Abwehr, vor allem, wenn es sich um fortschrittliche und gefährliche Angriffe handelt. Künstliche Intelligenz und maschinelles Lernen helfen, laufende Angriffe zu erkennen. Das Urteilsvermögen des Menschen geht aber darüber hinaus. Menschen können nicht nur Verhaltensanomalien erkennen, sie denken wie Angreifer. Dank ihrer Erfahrung und Intuition wissen sie, wonach sie Ausschau halten müssen. Dann spielen sie in Echtzeit durch, was ein menschlicher Angreifer als Nächstes macht und wie man das verhindern kann. Trainierte und erfahrene Analysten nutzen die Informationen der Telemetrie und sind immer auf dem neuesten Stand. Sie denken und handeln eher wie ein Geheimagent, der sich in den Gegner hineinversetzt – und nicht wie ein Sicherheitstechniker. Und darauf kommt es an: Denn die wirklich gefährlichen Angriffe sind oft nicht Sache eines Bots oder einer Malware, sondern gezielte Attacken von Menschen gegen Menschen.
Über den Autor: Daniel Clayton ist VP of Global Services bei Bitdefender.
(ID:47464563)
:quality(80)/p7i.vogel.de/wcms/8c/f4/8cf48812665fc59a6d782fa84d4cb33d/0109529267.jpeg "Managed Detection & Response (MDR) Services füllen Lücken in der Cyber-Abwehr. (Bild: frei lizenziert: Buffik)")
:quality(80)/p7i.vogel.de/wcms/b7/da/b7dad41b13c667f9c3a849c4eb5c360f/0113112265.jpeg "MDR vereint die erforderlichen Spezialisten, Fachkenntnisse, Prozesse und Technologien, um Bedrohungen schnell zu erkennen und darauf angemessen zu reagieren. (Bild: Tobias - stock.adobe.com)")