Sekt or Selters[Gesponsert]

Die Geschichte von zwei IT Security Managern

Security-Teams von Unternehmen müssen langweilige Routineaufgaben automatisieren, sodass sie Zeit haben, sich neuen Cybersecurity-Herausforderung zu widmen!
Security-Teams von Unternehmen müssen langweilige Routineaufgaben automatisieren, sodass sie Zeit haben, sich neuen Cybersecurity-Herausforderung zu widmen! (Bild: Gorodenkoff - stock.adobe.com)

Verantwortliche in der IT-Sicherheit haben es nicht leicht. In diesem Beitrag stellen wir Ihnen die beiden IT-Security Manager Paul und Barbara vor. Wir zeigen, wie sie versuchen, den Spagat zwischen Kostendruck & Personalmangel und steigenden Anforderungen zu meistern.

Paul hat einen wirklich harten Job. Als Leiter des IT-Sicherheitsteams eines mittelständischen Unternehmens ist er für die digitale Sicherheit verschiedener Systeme verantwortlich. Und als ob es nicht genug wäre, dass die Angriffsfläche seiner Firma stetig zunimmt, da im Unternehmen immer mehr Geräte mit dem Netzwerk verbunden und neue Webservices entwickelt werden, ohne, dass ihn jemand fragt, hat einer seiner drei Sicherheitstechniker gerade gekündigt und wechselt zu einem Konkurrenten. Dies bringt Paul in eine schwierige Lage: Sein Team ist im vergangenen Jahr von sechs auf zwei Mitarbeiter zusammengeschrumpft und er braucht händeringend neue Mitarbeiter. Das gestaltet sich jedoch relativ schwierig. Selbst wenn er geeignete Kandidaten findet, scheitert die Einstellung meist an zu hohen Gehaltsvorstellungen. Und wenn Mitarbeiter innerhalb des Unternehmens in sein Team wechseln, verlassen sie oftmals nach kurzer Zeit das Unternehmen, um mit ihren neu erworbenen Fähigkeiten spannendere Aufgaben zu übernehmen.

Pauls Team hat die Aufgabe, Cyber-Angriffe abzuwehren, wie sie im gesamten Unternehmen auftreten. Falls Präventivlösungen, wie etwa ein Spam-Filter, eine böswillige E-Mail durchlassen, sollen die Mitarbeiter dies seinem Team melden. Das Team unterzieht die E-Mail dann einer Reihe von Untersuchungen, um das Ausmaß der Bedrohung zu ermitteln. Pauls Mitarbeiter prüfen die Phishing-E-Mail, extrahieren Anhänge, laden diese in eine Sandbox und warten das Ergebnis ab. Dann extrahiert sein Team alle relevanten Web- und IP-Adressen, um sie in Reputationsdatenbanken abzugleichen und zu überprüfen, ob sie als bösartig eingestuft wurden. Stellt sich heraus, dass die E-Mail und deren Inhalt bösartig ist und Schaden anrichtet, wechseln sie in ihr bevorzugtes SIEM-System und durchsuchen historische Protokollierungsdaten danach, wer die E-Mail noch erhalten hat, wer den Link eventuell geöffnet hat und bei wem sich Anzeichen eines Virus und Kompromittierungsindikatoren zeigen. Wenn der Schadensumfang ermittelt wurde, meldet Pauls Team den Vorfall an das IT-Betriebsteam, damit diese E-Mails gelöscht, der Spam-Filter nachjustiert, die Schäden auf den betroffenen Endgeräten behoben und die Benutzerpasswörter von Betroffenen zurückgesetzt werden. Der erste Teil der Untersuchung findet etwa 20 Mal am Tag statt und dauert etwa 40 Minuten pro Vorfall. Als Pauls Team noch aus drei Personen bestand, war das gerade so noch in Ordnung. Durch die weitere Reduzierung der Teamstärke wird jedoch ein enormer Rückstau entstehen, und Paul wird seine Pläne, die Sicherheitsprozesse weiterzuentwickeln und agiler zu machen, vorerst auf Eis legen müssen.

Die Konkurrenz

Was Paul nicht weiß, ist, dass es einem der Mitbewerber seines Unternehmens leicht fällt, sein Sicherheitsteam zu vergrößern. Barbara, die für ihren Weitblick in puncto strategischer Entwicklung und Umsetzung bekannt ist, hat in den drei Monaten, in denen sie jetzt als neue Leiterin der IT-Sicherheit bei ihrem Unternehmen tätig ist, sieben neue Mitarbeiter eingestellt. Zu den Neuzugängen gehören ein erfahrener Incident Responder, ein Projektmanager, ein Python-Programmierer, ein Daten- und Integrationsingenieur, ein IT- und Geschäftsprozessingenieur sowie ein Junior Operational Analyst (Pauls ehemaliger Mitarbeiter). Barbaras Budget ist auch für ein mittelständisches Unternehmen klein, doch sie zieht nicht nur ihr eigenes Budget für die Neueinstellungen heran. Barbara hat kürzlich ausgehandelt, dass einige der anstehenden Projekte ihres Teams mit Mitteln aus verschiedenen Unternehmensbereichen finanziert werden.

Der Unterschied

Barbara ist klar, dass es bei IT-Sicherheit nicht mehr nur um Phishing-E-Mails, Schadsoftware wie Ransomware oder DDOS-Angriffe geht. Sie weiß, dass sie das Unternehmen und seine wachsende Zahl digitaler Services schützen muss und dazu die richtige Mischung aus Fähigkeiten in ihrem Team braucht. Barbara gibt ihrem Team die nötige Technologie an die Hand, damit ihre Mitarbeiter Maschinendaten erfassen und auswerten können – unabhängig welche Anwendungen, Produktionssysteme oder Servern. Ihr Team muss extrem unstrukturierte, ungeordnete Daten analysieren und Schlüsse daraus ziehen können. Barbara weiß auch, dass Mitarbeiter im Bereich Cyber-Sicherheit neugierig und wissbegierig sind, mit Jagdeifer nach neuen Bedrohungen suchen und sich einen Arbeitsplatz wünschen, an dem sie einen wesentlichen Beitrag für ein Team und das Unternehmen als Ganzes leisten. Sie möchten an wichtigen Projekten arbeiten und für ihr Unternehmen von Bedeutung sein. Das ist allerdings nicht der Fall, wenn Sicherheitsexperten vor einem E-Mail-Posteingang sitzen und auf eine gemeldete Phishing Nachricht warten, aufgrund derer sie dann den ganzen Tag lang Kopier- und Einfügevorgänge ausführen.

Wie erspart Barbara ihrem Team langweilige Routineaufgaben, um sicherzustellen, dass die Teammitglieder neue mögliche Angriffsflächen ermitteln, sich über neue Hacks informieren und dennoch die grundlegenden Reaktionsmaßnahmen abdecken? Barbara stellte ihrem Team ein Tool zur Verfügung, mit sich die langweiligen, sich wiederholenden Arbeitsabläufe automatisieren lassen: Es handelt sich dabei um ein SOAR-Tool (Security Orchestration, Automation and Response). Ihr Team kann jetzt nicht nur Aufgaben wie die Reaktion auf nicht abgefangene Phishing-E-Mails automatisieren, sondern hat sogar die Möglichkeit, das Element Mensch in die Automatisierung einzubeziehen. Es ist beispielsweise möglich, der verantwortlichen Person Informationen zu einem Vorfall über den bevorzugten Messaging-Dienst des Unternehmens zu senden und anzufragen, ob diese E-Mails vom E-Mail-Server gelöscht werden sollen.

Diese Kombination aus Transparenz und Automatisierung ermöglicht Barbaras Team, Partnerschaften mit Branchenkollegen zu bilden (wie etwa dem Information Security Hub des Flughafen München), um sich über neue Bedrohungen und Angriffstaktiken zu informieren. Diese neuen Informationen können sie dann im eigenen Unternehmen einsetzen, um mögliche Angriffsszenarien für neue Services zu erarbeiten, Strategien für eine frühzeitige Erkennung solcher potenziellen Angriffe zu entwickeln und Abwehrmechanismen einzurichten. Das Schöne daran ist, dass sie das alles dann mit SOAR in einen automatisierten Workflow einbinden können, sodass sie Zeit haben, sich der nächsten Herausforderung zu widmen!

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45627539 / Monitoring und KI)