Ansätze für die Reaktion auf Sicherheitsvorfälle Mehr Effizienz im SOC

Autor / Redakteur: Jan Tietze / Peter Schmitz

Wie kann man einen Angriff verhindern, bevor er sein Ziel erreicht? Das ist das Problem, vor dem heutige Incident-Response-Teams stehen. Da das Volumen und die Geschwindigkeit von Cyberangriffen zunehmen, ist das Security Operations Center (SOC), das für die Reaktion auf Vorfälle zuständig ist, der Dreh- und Angelpunkt für diese Herausforderung.

Firmen zum Thema

Da Angreifer immer schneller und bösartiger werden, haben SOCs Schwierigkeiten, schnell zu reagieren.
Da Angreifer immer schneller und bösartiger werden, haben SOCs Schwierigkeiten, schnell zu reagieren.
(© Gorodenkoff - stock.adobe.com)

Das SOC muss neue effiziente Wege finden, um die steigende Flut von Cybersecurity-Bedrohungen aufzuhalten. Es kann damit beginnen, seine kulturelle Zusammensetzung und seinen technischen Ansatz zu überdenken, um Möglichkeiten zur Steigerung seiner Effektivität aufzuzeigen.

Die wachsende Bedeutung von Incident Response

Es steht schwarz auf weiß da: Eine gut durchdachte Incident-Response-Operation kann einen beeindruckenden Return on Investment liefern. Der 2020 Ponemon Cost of a Data Breach Report zeigt, dass Datenschutzverletzungen für Unternehmen mit einem IR-Team, das seinen IR-Plan regelmäßig testet, 3,29 Millionen US-Dollar kosten. Das sind zwei Millionen US-Dollar weniger als bei Unternehmen ohne IR-Team.

In vielen Fällen von Datenschutzverletzungen sind die Kosten mehr als nur finanziell. Keine Organisation existiert in einem Vakuum. Alle sind Teil einer breiteren Wertschöpfungskette, so dass ein Vorfall an einem Ort weit entfernte negative Auswirkungen haben kann. Einige dieser Auswirkungen können schmerzhaft sein.

Ein Beispiel dafür ist der Cyber-Diebstahl bei Vastaamo, Finnlands größtem privaten Therapiezentrum, bei dem die Angreifer nicht nur die sensiblen Daten von Tausenden von Patienten stahlen, sondern diese auch direkt erpressten und mit der Veröffentlichung ihrer Daten drohten. Dieser Vorfall, bei dem schutzbedürftige Personen direkt gefährdet wurden, ist ein klares Beispiel für die tatsächlichen menschlichen Kosten einer Datenverletzung.

Zeit ist ein kritischer Faktor. Wie können wir sie sparen?

Da so viel auf dem Spiel steht, ist die richtige Erkennung und Handhabung von Cyber-Bedrohungen entscheidend. Wie können SOCs ihren Erfolg messen und ihn verbessern?

Der Incident-Response-Prozess umfasst mehrere Phasen: Risikominimierung, Identifizierung des Vorfalls, Eindämmung, Reaktion, Bereinigung und Wiederherstellung. In den meisten dieser Phasen ist Zeit ein kritischer Faktor. Eine agile, effiziente Reaktion ist entscheidend, egal ob Sie einen Angriff erkennen oder neutralisieren.

Da Angreifer immer schneller und bösartiger werden, haben SOCs Schwierigkeiten, schnell zu reagieren. Ein Faktor, der sie daran hindert, ist die Tatsache, dass sie die Tools oft nicht kohärent einsetzen.

Wenn sie mit wechselnden Bedrohungen durch Angreifer konfrontiert werden, die eine Vielzahl von Techniken einsetzen, suchen viele SOCs nach Technologien, die ihnen bei der Bewältigung helfen. Eine gängige Reaktion ist die Installation einer ganzen Reihe von Tools. SOCs gehen dabei nicht immer strategisch vor. Wenn man es mit Unbekannten zu tun hat, neigt man dazu, sich mit Tools zu sehr vorzubereiten, anstatt sicherzustellen, dass man sich anpassen kann.

Wenn Teams Sicherheitstools nach dem Gießkannenprinzip installieren, können sie am Ende einen unzusammenhängenden „Frankenstack“ von Sicherheitstools haben, die nicht gut zusammenarbeiten. Unter einem „Frankenstack“ ist die Zusammenstellung von selbst zusammengestellter Hardware und -Software in der Systemarchitektur eines Unternehmens gemeint. Selbst wenn die beste Middleware, Datenbank, Betriebssysteme, virtuelle Maschinen, Server und Speicher ausgewählt wurden, beeinträchtigt dieser Mischmasch von Komponenten die Datenbankleistung, gefährdet die Leistungsfähigkeit von Sicherheitslösungen. Dies kann dazu führen, dass dem SOC ein einheitlicher Arbeitsablauf fehlt. Es fehlt an automatisierten Abhilfemaßnahmen, so dass sich SOCs zu sehr auf die menschliche Interaktion verlassen. Menschen müssen die Lücken füllen, die die Technologie hinterlässt, aber sie können dies nicht schnell genug tun. Engpässe bei den verfügbaren Fachleuten machen die Organisation verwundbar.

Mangelnde Interoperabilität lässt kritische Sicherheitsinformationen in verschiedenen Silos verweilen. Analysten arbeiten im Blindflug. Die Daten, die ihnen zur Verfügung stehen, wurden nicht ordnungsgemäß durch eine koordinierte Toolkette gefiltert, was das Signal-Rausch-Verhältnis erhöht macht, Angriffe zu erkennen. SOCs erhalten zu viele Fehlalarme, was es schwierig macht, die Daten zu sichten, um die wichtigen Alarme zu finden. Außerdem fehlen ihnen die kontextbezogenen Daten, die ihnen ein vollständigeres Bild einer aufkommenden Bedrohung geben könnten, um deren Form, Bedeutung und Umfang zu verstehen.

Diese Schwächen führen dazu, dass SOCs einen unzusammenhängenden Incident-Response-Prozess haben, der schwer zu kontrollieren und zu verstehen ist. Die Mitarbeiter haben bei jedem Schritt des Prozesses zu viele Optionen und es fehlt ihnen die Kooperationsplattform, die sie für eine schnelle Reaktion benötigen.

Kein Wunder also, dass der Ponemon-Report die Komplexität von Sicherheitssystemen als den teuersten Einzelfaktor bei der Bewertung der Kosten einer Datenschutzverletzung feststellt. Sie erhöhte die Kosten einer Datenschutzverletzung um durchschnittlich 292.000 US-Dollar.

Der Weg in die Zukunft

Ein SOC hat die Möglichkeit, diese Herausforderungen zu meistern. Ganz oben auf ihrer Liste sollte eine Bewertung ihres aktuellen Incident-Response-Prozesses stehen. Die Bewertung sollte mit einem Fokus auf die Ergebnisse begonnen werden. Alles sollte darauf ausgerichtet sein, vorgegebene Ziele zu erreichen.

Diese Ziele sollten messbar sein, indem sie mit spezifischen Metriken verknüpft werden. Unternehmen müssen die Metriken bewerten, die sie zur Messung ihres Erfolgs verwenden. Sie sollten nach Bereichen suchen, die sie nicht gut messen und die sie anfällig für schlechte Leistungen machen könnten. Können sie diese in Faktoren zerlegen und herausfinden, was sie positiv beeinflussen würde?

In frühen Stadien der Vorfallskette sollten diese Messgrößen auf die Prävention ausgerichtet sein. Wie schätzen die Verantwortlichen den Grad des Risikos für verschiedene Vermögenswerte und dessen potenzielle Auswirkungen auf das Unternehmen ein? Verfolgen sie einen mathematischen Ansatz, um das Risiko auf der Grundlage der verfügbaren Ressourcen einzuteilen?

In späteren Phasen des Prozesses sollten die Metriken die Zeit für die Identifizierung, Eindämmung und Neutralisierung von Vorfällen sowie die Zeit für die Wiederherstellung berücksichtigen. Mit geeigneten Messverfahren können sie einen nahtlosen End-to-End-Prozess für die Reaktion auf Vorfälle mit klaren Verfahren und Rollen aufbauen, damit keine Bedrohung durch die Maschen fällt.

Die Verantwortlichen sollten das Tool-Set integrieren, um diesen Prozess zu unterstützen. Eine durchdachte Toolkette unterstützt harmonisierte Datenflüsse, die die Anzahl der Hand-Offs und Tool- oder Plattformwechsel reduzieren oder eliminieren. Die Mitarbeiter sind in der Lage, Aufgaben wie das Ändern von Firewall-Regeln übergreifend zu erledigen, ohne jeden Plattformbesitzer einzeln um Hilfe bitten zu müssen. Sie werden vollen Einblick in die Historie und den Umfang einer Bedrohung haben. Sie ermöglichen es den Analysten, alles in einer vertrauten Umgebung zu sehen, was ihnen Zeit und Gehirnschmalz spart, da sie nicht mehr den Kontext wechseln müssen. Das Ergebnis? Prozesse, die Tage dauerten, können in Minuten ausgeführt werden.

Eine integrierte Toolkette bietet eine solide Plattform für die Automatisierung. Die Definition von automatisierten Workflows zur Unterstützung des Incident-Response-Prozesses reduziert die menschliche Interaktion und die Latenzzeit bei jedem Schritt. Dies wird sich positiv auf die zeitbasierten Metriken auswirken, während sich die menschlichen Analysten auf nuancierte Entscheidungen konzentrieren können.

Dieser Optimierungsprozess hat tiefgreifende Auswirkungen auf das SOC. Wenn er gut durchgeführt wird, können die Verantwortlichen einen reaktiven Ansatz für die Reaktion auf Vorfälle in einen vorausschauenden umwandeln, der von klaren Zielen wie frühzeitiger Erkennung und schneller Eindämmung und nicht von der Angst vor dem Unbekannten angetrieben wird. Wir haben uns zu lange nur auf unser Vorwissen verlassen, was uns daran hindert, neue Angriffe zu erkennen und abzuwehren. Mit einem neuen Ansatz sind sie besser auf neu auftretende Bedrohungen eingestellt und in der Lage, auf sie zu reagieren, wenn sie auftauchen.

Durch die Verbesserung ihrer Angriffsprävention und die Beschleunigung ihrer Reaktion auflaufende Angriffe können die Fachleute ihre Erkennungszeit und die Verweildauer der Angreifer verkürzen sowie die Automatisierung erhöhen. Dadurch wird der Aktionsradius eines Sicherheitsvorfalls eingeschränkt. Besser noch ist es, dass sie diese explosiven Ereignisse ganz verhindern können.

Über den Autor: Bevor er 2020 als Director of Security für EMEA zu SentinelOne kam, war Jan Tietze in leitenden technischen und Managementpositionen von der Technik bis hin zu CIO- und CTO-Rollen für globale IT- und Beratungsorganisationen tätig. Mit einem starken Hintergrund in der Unternehmens-IT und einer frühen Karriere in leitenden Positionen im Bereich Engineering bei Microsoft und anderen Sicherheits- und Beratungsorganisationen versteht Jan Tietze die Risiken, Herausforderungen und Lösungen der realen Welt und ist seit vielen Jahren ein vertrauenswürdiger Berater für seine Kunden.

(ID:47267580)