:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SOC mit MDR für KMU? Der Beitrag der Security Operation Center für die Cybersicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Keine Cybersicherheitstechnologie schützt zu hundert Prozent. Schwache Passwörter, ineffizientes Patching und Phishing-Kampagnen schaffen ständig Lücken in der IT-Abwehr, die irgendwann ausgenutzt werden. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Spezialisten gegenüberstehen. Den entscheidenden Beitrag gerade zur Abwehr fortgeschrittene Angriffe liefern die Experten in einem Security Operation Center (SOC). Und diese Hilfe ist auch für mittelständische Unternehmen in Reichweite.
Angriffe werden immer anspruchsvoller. Die Hacker entwickeln immer neue, komplexe und kreative Methoden. Mit Advanced Persistent Threats greifen sie nicht nur große Unternehmen, sondern auch den Mittelstand an: Entweder direkt, um auf sein Wissen zuzugreifen, oder indirekt als Sprungbrett zum Angriff auf weitere größere Betriebe, mit denen man digital verknüpft ist.
Dauerhafte Sicherheit hängt daher für viele Betriebe von Experten ab, die proaktiv nach Gefahren suchen, Lücken frühzeitig schließen und im Ernstfall rechtzeitig eingreifen. Viele IT-Teams können das nicht selbst leisten. Oft fehlt ihnen das notwendige Budget, um ein Team von IT-Sicherheitsexperten mit den entsprechenden Fähigkeiten aufzubauen. Große Organisationen, die das Geld haben, leiden unter dem dramatischen Mangel an IT-Security-Fachkräften auf dem Markt. Deshalb können selbst sie nur sehr schwer ein kompetentes Team aufstellen und langfristig halten. Externe Ressourcen sind für die allermeisten Betriebe unverzichtbar. Experten-Teams eines Security Operation Centers mit Managed-Detection-and-Response- (MDR) Dienste ergänzen dabei interne Sicherheitsteams und bieten den notwendigen Schutz gegen die Attacken der Zukunft.
Die Arbeit der Experten in einem SOC basiert zum einem auf den Daten, die eine Endpoint-Detection-and-Response- (EDR) Lösung im Unternehmen sammelt, zum zweiten auf den Informationen aus der Telemetrie von Millionen anderer Endpunkte, die mit Maschine-Learning-Methoden interpretiert werden, sowie zum dritten aus weiteren Quellen. Diese Daten unterstützen die Cyber-Abwehr taktisch und operativ: Indexwerte zeigen, wie stark Systeme kompromittiert sind und wo Angriffe unmittelbar bevorstehen.
Experten liefern auf Grundlage dieser Informationen einen entscheidenden menschlichen Mehrwert gegenüber der IT-Sicherheitssoftware. Sie haben permanent die IT-Sicherheit eines Kunden im Blick. Sie beseitigen bereits erfolgreich installierte Malware, erkennen auffälliges Verhalten einer Fileless-Attacke und verhindern Schäden. Zudem beraten sie ihre Kunden, um die Abwehr kontinuierlich zu verbessern.
Mannschaftssport Cyber-Sicherheit
Um Unternehmen langfristig in Echtzeit zu schützen und zu betreuen, stehen verschiedene Teams bereit. Erste Ansprechpartner sind die Security Account Manager. Sie sind die Brücke zwischen Kunden und Expertenteam. Ihre Aufgabe besteht aus weit mehr als nur Kontakt und Reporting. Sie bewerten alle Informationen basierend auf der Kenntnis der Unternehmensnetze und veranlassen spezielle Recherchen, das Erstellen von Risikoprofilen oder die Definition von Abwehrmaßnahmen durch andere Sicherheitsanalysten. Häufig gehen sie proaktiv zum Kunden und weisen auf Risiken hin. Auf Kundenwunsch veranlassen sie Analysen zu aktuellen Gefahren oder Angriffen. Ratschläge zu Konfigurationen und zum Härten von Systemen geben sie an die Kunden weiter.
Darüber hinaus greift der Security Account Manager auf verschiedene andere Teams technischer Spezialisten zurück: Eine Gruppe interpretiert aktuelle Sicherheitsalerts. Andere entwickeln individuell für jedes Unternehmen Risikoprofile. Sie haben branchenspezifische Technologien und deren spezifische Gefahren im Blick. Zudem berücksichtigen sie aktuelle Angriffe auf Mitbewerber. Sie entwerfen zudem kundenspezifische Kataloge mit Sofortmaßnahmen für den Ernstfall. Eine weiteres Team hält sämtliche Abwehr- und Infrastruktursysteme im SOC ständig verfügbar.
Langstreckenrennen
Je länger die Expertenteams den Kunden kennen, umso besser können sie dessen IT schützen. Kontinuierlich Sicherheit zu schaffen, ist ein langfristiger Prozess. Entscheidender Startpunkt ist dabei die Anamnese im Onboarding, in deren Rahmen die betreuenden Analysten die individuelle Sicherheitslage des Kunden und den Normalbetrieb des Kunden so detailliert wie möglich erfassen. Darauf aufbauend definieren die Spezialisten dann normale IT-Abläufe im jeweiligen Unternehmen.
Ein kontinuierlich wirkender IT-Sicherheitsdienst beruht auf folgenden vier Elementen:
Prevention: Grundlegende Abwehrtechnologien wie Next Generation Antivirus filtern bekannte Malware und verdächtige Aktivitäten im Vorfeld heraus. Die Sicherheitsanalysten können sich so auf unbekannte Gefahren und individuell entworfene Advanced Persistent Threats konzentrieren. Sie sollen die Dinge erkennen, die die Tools nicht sehen oder abwehren können. Zudem kontrollieren die Experten, ob sich die Mitarbeiter an die Sicherheitsrichtlinien halten.
Detection: Technologien zum Schutz von Endpunkten oder EDR helfen bei der Abwehr von Bedrohungen. Die Teams in den SOCs halten darüber hinaus Ausschau nach neuen Angriffen, die den Kunden, seine Technologie und die Branche besonders betreffen. Mit Cyber Threat Hunting suchen die Experten nach Bedrohungen, Risiken und einem erfolgreichen Eindringen. Um dieses frühzeitig zu erkennen, überprüfen sie vor allem Vorgänge, die von normalen Abläufen abweichen. Zum Beispiel durch einen Blick auf die Aktivitäten des Powershell-Tools zum Abfragen von Systemprozessen: Eine ungefilterte Suche nach allen Prozesse ist verdächtig. Denn der berechtigte Administrator, der sich mit dem System auskennt, filtert in der Regel gezielt nach bestimmten Prozessen.
Response: Ein wichtiger Mehrwert ist die schnelle Reaktionszeit im Ernstfall. Die Hilfe durch MDR und SOC kommt sofort – anders als bei Managed-Security-Service-Anbietern. Letztere kontaktieren lediglich die Unternehmen bei Problemen. Die Abwehr ist dann alleinige Sache des Kunden. SOC-Experten dagegen führen schon bevor sie eine Gefahr melden die Maßnahmen durch, welche Kunde und Dienstleister vorab gemeinsam abgestimmt und vereinbart haben: Sie blockieren zum Beispiel IP-Adressen, setzen Passwörter zurück oder isolieren beziehungsweise entfernen Systeme aus dem Netz bei beginnenden Ransomware-Attacken. Was der externe Dienstleister im Ernstfall ohne Rücksprache mit dem Kunden durchführen darf, berührt niemals die Grundlagen der zu schützenden Infrastruktur.
Reporting: Manche Kunden wollen von ihrer IT zwar nur hören, dass alles in Ordnung ist oder ein Angriff abgewehrt wurde. Aber ein SOC als Black Box reicht nicht aus, vor allem vor dem Hintergrund der Dokumentationspflichten durch die DSGVO. Viele Kunden verlangen eine Dokumentation von Angriff und Abwehr. Und sie können sich selbst einschalten: Wenn sie sich in die Systeme des externen Sicherheitszentrums einloggen, können sie den Experten virtuell über die Schultern blicken oder eigenhändig Analysen durchführen. Sie sehen dann dieselben Informationen, die der Experte hat. Zurückliegende Aktivitäten lassen sich nachvollziehen.
Das Denken dem Menschen überlassen
Solange es Angreifer aus Fleisch und Blut gibt, spielt der menschliche Experte eine entscheidende Rolle in der Abwehr, vor allem, wenn es sich um fortschrittliche und gefährliche Angriffe handelt. Künstliche Intelligenz und maschinelles Lernen helfen, laufende Angriffe zu erkennen. Das Urteilsvermögen des Menschen geht aber darüber hinaus. Menschen können nicht nur Verhaltensanomalien erkennen, sie denken wie Angreifer. Dank ihrer Erfahrung und Intuition wissen sie, wonach sie Ausschau halten müssen. Dann spielen sie in Echtzeit durch, was ein menschlicher Angreifer als Nächstes macht und wie man das verhindern kann. Trainierte und erfahrene Analysten nutzen die Informationen der Telemetrie und sind immer auf dem neuesten Stand. Sie denken und handeln eher wie ein Geheimagent, der sich in den Gegner hineinversetzt – und nicht wie ein Sicherheitstechniker. Und darauf kommt es an: Denn die wirklich gefährlichen Angriffe sind oft nicht Sache eines Bots oder einer Malware, sondern gezielte Attacken von Menschen gegen Menschen.
Über den Autor: Daniel Clayton ist VP of Global Services bei Bitdefender.
(ID:47464563)
:quality(80)/images.vogel.de/vogelonline/bdb/1961800/1961882/original.jpg "Das neue eBook enthält alles, was Unternehmen zum Thema XDR wissen müssen. (© Production Perig (stock.adobe.com) / VIT)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")