:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ansätze für die Reaktion auf Sicherheitsvorfälle Mehr Effizienz im SOC
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Wie kann man einen Angriff verhindern, bevor er sein Ziel erreicht? Das ist das Problem, vor dem heutige Incident-Response-Teams stehen. Da das Volumen und die Geschwindigkeit von Cyberangriffen zunehmen, ist das Security Operations Center (SOC), das für die Reaktion auf Vorfälle zuständig ist, der Dreh- und Angelpunkt für diese Herausforderung.
Das SOC muss neue effiziente Wege finden, um die steigende Flut von Cybersecurity-Bedrohungen aufzuhalten. Es kann damit beginnen, seine kulturelle Zusammensetzung und seinen technischen Ansatz zu überdenken, um Möglichkeiten zur Steigerung seiner Effektivität aufzuzeigen.
Die wachsende Bedeutung von Incident Response
Es steht schwarz auf weiß da: Eine gut durchdachte Incident-Response-Operation kann einen beeindruckenden Return on Investment liefern. Der 2020 Ponemon Cost of a Data Breach Report zeigt, dass Datenschutzverletzungen für Unternehmen mit einem IR-Team, das seinen IR-Plan regelmäßig testet, 3,29 Millionen US-Dollar kosten. Das sind zwei Millionen US-Dollar weniger als bei Unternehmen ohne IR-Team.
In vielen Fällen von Datenschutzverletzungen sind die Kosten mehr als nur finanziell. Keine Organisation existiert in einem Vakuum. Alle sind Teil einer breiteren Wertschöpfungskette, so dass ein Vorfall an einem Ort weit entfernte negative Auswirkungen haben kann. Einige dieser Auswirkungen können schmerzhaft sein.
Ein Beispiel dafür ist der Cyber-Diebstahl bei Vastaamo, Finnlands größtem privaten Therapiezentrum, bei dem die Angreifer nicht nur die sensiblen Daten von Tausenden von Patienten stahlen, sondern diese auch direkt erpressten und mit der Veröffentlichung ihrer Daten drohten. Dieser Vorfall, bei dem schutzbedürftige Personen direkt gefährdet wurden, ist ein klares Beispiel für die tatsächlichen menschlichen Kosten einer Datenverletzung.
Zeit ist ein kritischer Faktor. Wie können wir sie sparen?
Da so viel auf dem Spiel steht, ist die richtige Erkennung und Handhabung von Cyber-Bedrohungen entscheidend. Wie können SOCs ihren Erfolg messen und ihn verbessern?
Der Incident-Response-Prozess umfasst mehrere Phasen: Risikominimierung, Identifizierung des Vorfalls, Eindämmung, Reaktion, Bereinigung und Wiederherstellung. In den meisten dieser Phasen ist Zeit ein kritischer Faktor. Eine agile, effiziente Reaktion ist entscheidend, egal ob Sie einen Angriff erkennen oder neutralisieren.
Da Angreifer immer schneller und bösartiger werden, haben SOCs Schwierigkeiten, schnell zu reagieren. Ein Faktor, der sie daran hindert, ist die Tatsache, dass sie die Tools oft nicht kohärent einsetzen.
Wenn sie mit wechselnden Bedrohungen durch Angreifer konfrontiert werden, die eine Vielzahl von Techniken einsetzen, suchen viele SOCs nach Technologien, die ihnen bei der Bewältigung helfen. Eine gängige Reaktion ist die Installation einer ganzen Reihe von Tools. SOCs gehen dabei nicht immer strategisch vor. Wenn man es mit Unbekannten zu tun hat, neigt man dazu, sich mit Tools zu sehr vorzubereiten, anstatt sicherzustellen, dass man sich anpassen kann.
Wenn Teams Sicherheitstools nach dem Gießkannenprinzip installieren, können sie am Ende einen unzusammenhängenden „Frankenstack“ von Sicherheitstools haben, die nicht gut zusammenarbeiten. Unter einem „Frankenstack“ ist die Zusammenstellung von selbst zusammengestellter Hardware und -Software in der Systemarchitektur eines Unternehmens gemeint. Selbst wenn die beste Middleware, Datenbank, Betriebssysteme, virtuelle Maschinen, Server und Speicher ausgewählt wurden, beeinträchtigt dieser Mischmasch von Komponenten die Datenbankleistung, gefährdet die Leistungsfähigkeit von Sicherheitslösungen. Dies kann dazu führen, dass dem SOC ein einheitlicher Arbeitsablauf fehlt. Es fehlt an automatisierten Abhilfemaßnahmen, so dass sich SOCs zu sehr auf die menschliche Interaktion verlassen. Menschen müssen die Lücken füllen, die die Technologie hinterlässt, aber sie können dies nicht schnell genug tun. Engpässe bei den verfügbaren Fachleuten machen die Organisation verwundbar.
Mangelnde Interoperabilität lässt kritische Sicherheitsinformationen in verschiedenen Silos verweilen. Analysten arbeiten im Blindflug. Die Daten, die ihnen zur Verfügung stehen, wurden nicht ordnungsgemäß durch eine koordinierte Toolkette gefiltert, was das Signal-Rausch-Verhältnis erhöht macht, Angriffe zu erkennen. SOCs erhalten zu viele Fehlalarme, was es schwierig macht, die Daten zu sichten, um die wichtigen Alarme zu finden. Außerdem fehlen ihnen die kontextbezogenen Daten, die ihnen ein vollständigeres Bild einer aufkommenden Bedrohung geben könnten, um deren Form, Bedeutung und Umfang zu verstehen.
Diese Schwächen führen dazu, dass SOCs einen unzusammenhängenden Incident-Response-Prozess haben, der schwer zu kontrollieren und zu verstehen ist. Die Mitarbeiter haben bei jedem Schritt des Prozesses zu viele Optionen und es fehlt ihnen die Kooperationsplattform, die sie für eine schnelle Reaktion benötigen.
Kein Wunder also, dass der Ponemon-Report die Komplexität von Sicherheitssystemen als den teuersten Einzelfaktor bei der Bewertung der Kosten einer Datenschutzverletzung feststellt. Sie erhöhte die Kosten einer Datenschutzverletzung um durchschnittlich 292.000 US-Dollar.
Der Weg in die Zukunft
Ein SOC hat die Möglichkeit, diese Herausforderungen zu meistern. Ganz oben auf ihrer Liste sollte eine Bewertung ihres aktuellen Incident-Response-Prozesses stehen. Die Bewertung sollte mit einem Fokus auf die Ergebnisse begonnen werden. Alles sollte darauf ausgerichtet sein, vorgegebene Ziele zu erreichen.
Diese Ziele sollten messbar sein, indem sie mit spezifischen Metriken verknüpft werden. Unternehmen müssen die Metriken bewerten, die sie zur Messung ihres Erfolgs verwenden. Sie sollten nach Bereichen suchen, die sie nicht gut messen und die sie anfällig für schlechte Leistungen machen könnten. Können sie diese in Faktoren zerlegen und herausfinden, was sie positiv beeinflussen würde?
In frühen Stadien der Vorfallskette sollten diese Messgrößen auf die Prävention ausgerichtet sein. Wie schätzen die Verantwortlichen den Grad des Risikos für verschiedene Vermögenswerte und dessen potenzielle Auswirkungen auf das Unternehmen ein? Verfolgen sie einen mathematischen Ansatz, um das Risiko auf der Grundlage der verfügbaren Ressourcen einzuteilen?
In späteren Phasen des Prozesses sollten die Metriken die Zeit für die Identifizierung, Eindämmung und Neutralisierung von Vorfällen sowie die Zeit für die Wiederherstellung berücksichtigen. Mit geeigneten Messverfahren können sie einen nahtlosen End-to-End-Prozess für die Reaktion auf Vorfälle mit klaren Verfahren und Rollen aufbauen, damit keine Bedrohung durch die Maschen fällt.
Die Verantwortlichen sollten das Tool-Set integrieren, um diesen Prozess zu unterstützen. Eine durchdachte Toolkette unterstützt harmonisierte Datenflüsse, die die Anzahl der Hand-Offs und Tool- oder Plattformwechsel reduzieren oder eliminieren. Die Mitarbeiter sind in der Lage, Aufgaben wie das Ändern von Firewall-Regeln übergreifend zu erledigen, ohne jeden Plattformbesitzer einzeln um Hilfe bitten zu müssen. Sie werden vollen Einblick in die Historie und den Umfang einer Bedrohung haben. Sie ermöglichen es den Analysten, alles in einer vertrauten Umgebung zu sehen, was ihnen Zeit und Gehirnschmalz spart, da sie nicht mehr den Kontext wechseln müssen. Das Ergebnis? Prozesse, die Tage dauerten, können in Minuten ausgeführt werden.
Eine integrierte Toolkette bietet eine solide Plattform für die Automatisierung. Die Definition von automatisierten Workflows zur Unterstützung des Incident-Response-Prozesses reduziert die menschliche Interaktion und die Latenzzeit bei jedem Schritt. Dies wird sich positiv auf die zeitbasierten Metriken auswirken, während sich die menschlichen Analysten auf nuancierte Entscheidungen konzentrieren können.
Dieser Optimierungsprozess hat tiefgreifende Auswirkungen auf das SOC. Wenn er gut durchgeführt wird, können die Verantwortlichen einen reaktiven Ansatz für die Reaktion auf Vorfälle in einen vorausschauenden umwandeln, der von klaren Zielen wie frühzeitiger Erkennung und schneller Eindämmung und nicht von der Angst vor dem Unbekannten angetrieben wird. Wir haben uns zu lange nur auf unser Vorwissen verlassen, was uns daran hindert, neue Angriffe zu erkennen und abzuwehren. Mit einem neuen Ansatz sind sie besser auf neu auftretende Bedrohungen eingestellt und in der Lage, auf sie zu reagieren, wenn sie auftauchen.
Durch die Verbesserung ihrer Angriffsprävention und die Beschleunigung ihrer Reaktion auflaufende Angriffe können die Fachleute ihre Erkennungszeit und die Verweildauer der Angreifer verkürzen sowie die Automatisierung erhöhen. Dadurch wird der Aktionsradius eines Sicherheitsvorfalls eingeschränkt. Besser noch ist es, dass sie diese explosiven Ereignisse ganz verhindern können.
Über den Autor: Bevor er 2020 als Director of Security für EMEA zu SentinelOne kam, war Jan Tietze in leitenden technischen und Managementpositionen von der Technik bis hin zu CIO- und CTO-Rollen für globale IT- und Beratungsorganisationen tätig. Mit einem starken Hintergrund in der Unternehmens-IT und einer frühen Karriere in leitenden Positionen im Bereich Engineering bei Microsoft und anderen Sicherheits- und Beratungsorganisationen versteht Jan Tietze die Risiken, Herausforderungen und Lösungen der realen Welt und ist seit vielen Jahren ein vertrauenswürdiger Berater für seine Kunden.
(ID:47267580)
:quality(80)/p7i.vogel.de/wcms/3e/8e/3e8ea2b592b108f7a9e4a18d57deb857/0105841438.jpeg "Angreifern kommt es nicht auf die Firmengröße an! Auch KMU sollten sich intensiv mit Themen wie XDR und MDR auseinandersetzen. (Bild: photon_photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/46/1c46c3ba0be3dbbfa6ca61706ec8be96/0108254974.jpeg "Automatisierte Prozesse helfen Unternehmen beim Security Incident Management optimal auf Sicherheitsvorfälle zu reagieren. (Bild: gopixa - stock.adobe.com)")