Suchen

SOAR implementieren Effizientere IT-Sicherheit mit KI, Automatisierung und SOAR

| Autor / Redakteur: Vishal Salvi / Peter Schmitz

Die Cybersecurity-Landschaft wird aktuell von zwei Themen dominiert: die Existenz großer Datenmengen und dem Mangel an Talenten. Mit SOAR (Security Orchestration Automation and Responses) können Unternehmen den Mangel an qualifizierten Cybersecurity-Experten zumindest teilweise ausgleichen. SOAR sammelt Daten und Sicherheits­warnungen aus verschiedenen Quellen und hilft bei der Definition, Priorisierung und Koordination der Reaktion auf Vorfälle.

Firmen zum Thema

SOAR hilft Security-Teams automatisiert bei der Definition, Priorisierung und Koordination von Reaktion auf Cybersecurity-Vorfälle.
SOAR hilft Security-Teams automatisiert bei der Definition, Priorisierung und Koordination von Reaktion auf Cybersecurity-Vorfälle.
(Bild: gemeinfrei / Pixabay )

Eine Datenschutzverletzung kann ein betroffenes Unternehmen – laut Ponemon Institute –bis zu 3,9 Millionen Dollar kosten. Und diese Kosten können sich noch länger als ein Jahr, nachdem die Datenschutzverletzung tatsächlich eingetreten ist, auf Organisationen auswirken. Für die Mehrheit der Unternehmen ist Cybersecurity zwar mittlerweile eine Top-Priorität, allerdings sehen sie sich im Kampf gegen die Cyberkriminelle regelmäßig mit Herausforderungen – und einer wachsenden Bedrohungslandschaft –konfrontiert. Der Report „Assuring Digital-Trust” gibt Aufschluss über die größten Hürden.

Die überwiegende Mehrheit (94 Prozent) der Führungskräfte in Unternehmen sieht Cybersecurity als wichtigsten Punkt in der Umsetzung der digitalen Transformation, sie sind sich allerdings auch der Problematik bewusst. So fühlen sich 84 Prozent der befragten Firmen von Cyber-Kriminellen und Hacktivisten bedroht, drei Viertel sehen Wirtschaftsspionage als größte Bedrohung. Etwa zwei Drittel (67 Prozent) der Führungskräfte stehen vor der Herausforderung, Sicherheit in ihre IT-Architektur zu integrieren. 65 Prozent davon geben an, ihre Mitarbeiter noch für IT-Sicherheit sensibilisieren zu müssen, während fast die Hälfte in diesem Bereich mit dem Fachkräftemangel zu kämpfen hat.

Mit anderen Worten: Die bestehenden Cybersicherheitsstrategien müssen erweitert werden. Darüber hinaus gehören Themen wie Fachkräftemangel und der rasante technologische Wandel mit dezidierten Experten wie Managed Service Providern oder Cybersecurity-Dienstleistern adressiert.

Cybersecurity stärken, aber smart

Cybersecurity-bewusste Führungskräfte verfolgen einen vielschichtigen Ansatz, um das Unternehmen vor Cyber-Angriffen und Verletzungen zu schützen – und sie investieren entsprechend. Laut Analystenhaus Gartner, gaben Organisationen weltweit in 2018 etwa 114 Milliarden US-Dollar für Cybersecurity-Maßnahmen aus. Zu den häufigsten Maßnahmen zählen unter anderem Verschlüsselung, Risk-und Compliance-Management, Security-Awareness-Training, Security Incident Management sowie Identity und Access Management. Wie die steigende Zahl der erfolgreichen Angriffe zeigt, reichen diese konventionellen Ansätze leider nicht aus. Was wird also noch benötigt?

Künstliche Intelligenz und Machine Learning in die Cybersecurity integrieren

Die Cybersecurity-Landschaft wird aktuell von zwei Themen dominiert: die Existenz großer Datenmengen und der Mangel an Talenten. Große Datenmengen, die aus unterschiedlichen Systemen stammen, müssen verarbeitet werden, um Anomalien zu erkennen, Schwachstellen zu lokalisieren oder Bedrohungen zu verhindern. Dies geht oftmals schon aufgrund des schieren Datenvolumens über die menschlichen Fähigkeiten hinaus. Die meisten Unternehmen verfügen nicht über einen speziellen Cybersecurity-Experten oder gar ein Team. In einem solchen Szenario ermöglichen Machine Learning (ML) und künstliche Intelligenz (KI) eine rechtzeitige Erkennung von Bedrohungen sowie eine angemessene, schnelle und automatisierte Reaktion, die nicht nur menschliche Fehler reduziert, sondern auch die Arbeitsbelastung der Sicherheitsteams verringert.

Oftmals nutzen Hacker KI und ML, um Firewalls zu durchbrechen. Daher kann die Integration in die Cybersicherheitsstrategie des Unternehmens Organisationen dabei helfen, Cyber-Kriminelle mit ihren eigenen Waffen zu schlagen. Beide Technologien sollten jedoch mit Vorsicht eingesetzt werden, denn Firmen müssen jederzeit berücksichtigen, dass diese Technologien lediglich als Unterstützung der „menschlichen Fähigkeiten“ und Entscheidungsfindung dienen.

So funktioniert es: KI-Algorithmen werden auf der Grundlage vergangener und aktueller Daten entwickelt. Ziel ist es, das den Normalzustand zu definieren und Kompetenzen zu entwickeln, um davon abweichende Anomalien und Bedrohungen zu identifizieren. Die KI entwickelt Muster, die das Machine Learning nutzen kann, um eine Bedrohung zu erkennen. Ein klassisches Beispiel ist die User- und Entity-Verhaltensanalyse (UEBA), die mit ML und Algorithmen Abweichungen von definierten Mustern identifiziert.

Machine Learning erkennt Ähnlichkeiten zwischen verschiedenen Cyber-Bedrohungen, insbesondere wenn Hacker automatisierte Programme zur Synchronisierung mehrerer Angriffe verwenden. Aus diesem Grund wird ML am häufigsten zur Bewertung und Klassifizierung von Malware, zur Durchführung von Risikoanalysen und zur Erkennung von Anomalien eingesetzt. Unternehmen können die KI- und ML-Algorithmen nach ihren Anforderungen anpassen, um leistungsfähige und zuverlässige Systeme und Prozesse für die Selbstauskunft von Sicherheitsvorfällen einschließlich KI-basierter Verhaltensanalyse zu etablieren.

Versucht beispielsweise ein in London ansässiger Mitarbeiter, sich von Tokio aus anzumelden, kann das System diese Aktion für weitere menschliche Untersuchungen identifizieren, bevor es der Person erlaubt, sich anzumelden. Möglicherweise befindet sich der Mitarbeiter auf einer legitimen Geschäftsreise und es gibt kein Problem; es könnte sich aber genauso gut um einen Hacker handeln, der die Identität des Mitarbeiters manipuliert, um Unternehmensdaten zu stehlen.

SOAR implementieren

SOAR, kurz für Security Orchestration Automation and Responses, sammelt Daten und Sicherheitswarnungen aus verschiedenen Quellen und hilft bei der Definition, Priorisierung und Koordination der Reaktion auf Vorfälle eines Unternehmens – Sicherheitsmitarbeiter können so produktiver arbeiten. Unternehmen adressieren auf diese Weise den branchenweiten Mangel an qualifizierten Cybersecurity-Experten zumindest teilweise und gleichen ihn aus. SOAR ist ein gutes Beispiel für die Anwendung von KI, ML und Automatisierung, um auf Sicherheitsvorfälle mit optimal zu reagieren. Als Automatisierungs- und Orchestrierungswerkzeug stärkt SOAR die bestehende Cybersecurity-Architektur etwa mit präventiven Sicherheitskontrollen, Firewalls und Systemen zur Anwendungssicherheit und Intrusion Prevention.

In folgenden Bereichen leistet SOAR einen Beitrag zur Stärkung der Cybersecurity eines Unternehmens:

  • Integration der Sicherheitsinfrastruktur: Die meisten Unternehmen setzen eine Vielzahl von Tools zur Verwaltung ihrer Sicherheitsinfrastruktur ein – dies führt zu einem nicht konsistenten Reaktionsmechanismus. Mit SOAR können Unternehmen die Sicherheitsinfrastruktur integrieren und damit die Sichtbarkeit und Kommunikation zwischen den verschiedenen Komponenten verbessern.
  • Sicherheitsteams müssen smarter arbeiten: Hunderte täglicher Alarme können dazu führen, dass das Sicherheitsteam sehr schnell ermüdet, da es ständig zwischen Systemen wechseln muss. Die Automatisierung alltäglicher und routinemäßiger Aufgaben führt zu einer höheren Effizienz und ermöglicht es Teams, sich auf strategischere Aspekte der Cybersecurity zu konzentrieren. Die Taktik eines Angreifers zu verstehen sowie die Fähigkeit, kompromittierende Indikatoren zu identifizieren, sind weitere SOAR-Funktionen, mit deren Hilfe Sicherheitsexperten Vorfälle erkennen und schneller darauf reagieren sowie bessere Entscheidungen treffen können.
  • Schnelle Reaktion auf zeitkritische Verstöße: SOAR reduziert die Erkennungs- und Reaktionszeit von Tagen auf Minuten und behebt so Schäden frühzeitig.
  • Wissen erfassen: Sicherheitstalente sind begehrt und daher schwer zu halten. Scheiden spezialisierte Mitarbeiter aus dem Unternehmen aus, gehen wertvolle Informationen und Wissen zu Prozessen und Strukturen verloren. Mithilfe von SOAR können Daten aus verschiedenen Quellen gesammelt und in Dashboards präsentiert werden. Auf diese Weise bleibt nicht nur das Wissen erhalten, vielmehr dient das Tool auch als Kommunikationsmittel für Führungskräfte.
  • Funktionen nutzen, die in Cloud-basierten und lokalen Rechenzentren funktionieren: Ein SOAR verwendet in der Regel eine Reihe von Technologien und Funktionen, die es zu einem robusten Automatisierungs- und Orchestrierungswerkzeug machen. Dies ermöglicht eine schnelle Reaktion unabhängig davon, wo sich die Sicherheitskomponente befindet, das heißt, ob in der Cloud oder on-premise. Einige dieser Technologien sind selbstreparierende Anwendungen, Patch-Management, Scanning-Technologien, Predictive Analytics und Identity Management.
  • Automatisierung nutzen: Um neuen und neu auftretenden Sicherheitsbedrohungen zu begegnen, setzen die meisten Unternehmen für den Schutz ihres Netzwerks Hunderte von Sicherheitsprodukten ein. Diese sind nicht immer dafür geeignet, verschiedene Sicherheitsprozesse miteinander zu verbinden oder zu orchestrieren. Darüber hinaus ist die Abwicklung von Sicherheitsmaßnahmen – einschließlich Überwachung und Reaktionsmanagement – recht komplex. Die meisten Sicherheitsprozesse sind zeitintensiv, und manuell – und daher anfällig für Fehler und Compliance-Probleme. Dies führt auch zu langsameren Wiederherstellungsprozessen. Eine Vielzahl von Warnungen und Zugriffsanforderungen belastet darüber hinaus die knappen IT-Ressourcen.

Die Automatisierung der IT-Security verbessert die allgemeine Infrastruktur. Daten werden automatisiert gesammelt und korreliert, bereits existierende Bedrohungen erkannt und Gegenmaßnehmen schneller umgesetzt als dies manuell möglich ist.

Eine typische Automatisierungsreise sollte es Firmen ermöglichen, jederzeit Kompetenzen hinzuzufügen, die dem Unternehmen einen Mehrwert bieten und es von einem deterministischen zu einem kognitiven Unternehmen machen. Organisationen können mit der Automatisierung beginnen, indem sie Benchmarks definieren und die verschiedenen Tracking- und Monitorings-Spuren in ein zentrales Dashboard integrieren. Im zweiten Schritt werden Prozessinformationen zur Identifizierung von Bereichen genutzt, in denen Automatisierung effektiv ist. Die Überwachung und Vereinheitlichung von Abläufen, die Einführung von Plug-and-Play-Anwendungen und die Orchestrierung von Skripten tragen dazu bei, menschliche Fehler zu reduzieren und die Kontrolle zu verbessern. Sobald die Kosten optimiert und die Effizienz gesteigert ist, müssen Unternehmen die Anwendung von Automatisierung prüfen, um die Benutzerfreundlichkeit zu verbessern oder schneller zu reagieren. Ziel der Firmen sollte es sein, ein kognitives Unternehmen zu werden, das Datenverletzungen selbst adressieren und beheben kann, beispielsweise durch die Einführung von Bots, die Tickets zu Vorfällen selbstständig lösen oder Ursachen- oder Folgenanalysen durchführen können.

Security Managed Service Providers einbeziehen

Empfehlungen zu KI, ML, Automatisierung und SOAR können von Unternehmen direkt übernommen werden. Es ist dennoch oft ratsam, mit einem Cybersecurity Managed Service Provider zusammenzuarbeiten. Diese bringt nicht nur Fachwissen ein, sondern oftmals auch kuratierte Plattformen mit Best-in-Class-Produkten und bereits definierten AI/ML-Anwendungsfällen. Darüber hinaus sollten diese auch die Kompetenzen der Mitarbeiter im Unternehmen mit Fachwissen erweitern und so dabei unterstützen, Expertise aufzubauen.

Mit anderen Branchen zusammenarbeiten

Eine weitere wertvolle Strategie ist der Informationsaustausch mit anderen Unternehmen, die ebenfalls Ziele von Cyber-Kriminellen sein könnten. In der modernen vernetzten Welt sind fast alle Unternehmen, - unabhängig davon, welcher Branche sie angehören – ähnlichen Cyber-Bedrohungen ausgesetzt. Um Hackern einen Schritt voraus zu sein, benötigen Organisationen Erkenntnisse über neue Angriffspläne oder Malware-Varianten. Um auf dem Laufenden zu bleiben, können sich Firmen mit Branchenverbänden, regionalen IT-Gruppen, Cybersecurity-Anbietern, Dienstleistern und relevanten Regierungsbehörden abstimmen.

Ein Unternehmen kann alle richtigen Schritte durchführen, um seine Cybersecurity zu erhöhen; aber es ist auch wichtig, sich der ständig wachsenden Zahl neuer Bedrohungen bewusst zu sein, die bestehende Sicherheitsprotokolle innerhalb eines Tages veralten lassen können. Auch das Hinzufügen technologischer Kompetenzen oder die Anwendung unterschiedlicher Ansätze zum Aufbau einer widerstandsfähigen Cybersecurity wird nur so lange funktionieren, wie die Sicherheitsteams aktiv an der effektiven Nutzung der Tools beteiligt sind und sie die Cyber-Strategie als eine laufende Aktivität betrachten, die gemäß den Anforderungen des Sicherheitsökosystems sowohl innerhalb als auch außerhalb des Unternehmens ständig überprüft und überarbeitet werden muss.

Über den Autor: Vishal Salvi ist Senior Vice President, CISO & Head of Cyber Security Practice bei Infosys und verantwortet die Informations- und Cybersecurity-Strategie sowie deren Umsetzung innerhalb der Infosys Group.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46384987)