:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ansätze für die Reaktion auf Sicherheitsvorfälle Mehr Effizienz im SOC
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Wie kann man einen Angriff verhindern, bevor er sein Ziel erreicht? Das ist das Problem, vor dem heutige Incident-Response-Teams stehen. Da das Volumen und die Geschwindigkeit von Cyberangriffen zunehmen, ist das Security Operations Center (SOC), das für die Reaktion auf Vorfälle zuständig ist, der Dreh- und Angelpunkt für diese Herausforderung.
Das SOC muss neue effiziente Wege finden, um die steigende Flut von Cybersecurity-Bedrohungen aufzuhalten. Es kann damit beginnen, seine kulturelle Zusammensetzung und seinen technischen Ansatz zu überdenken, um Möglichkeiten zur Steigerung seiner Effektivität aufzuzeigen.
Die wachsende Bedeutung von Incident Response
Es steht schwarz auf weiß da: Eine gut durchdachte Incident-Response-Operation kann einen beeindruckenden Return on Investment liefern. Der 2020 Ponemon Cost of a Data Breach Report zeigt, dass Datenschutzverletzungen für Unternehmen mit einem IR-Team, das seinen IR-Plan regelmäßig testet, 3,29 Millionen US-Dollar kosten. Das sind zwei Millionen US-Dollar weniger als bei Unternehmen ohne IR-Team.
In vielen Fällen von Datenschutzverletzungen sind die Kosten mehr als nur finanziell. Keine Organisation existiert in einem Vakuum. Alle sind Teil einer breiteren Wertschöpfungskette, so dass ein Vorfall an einem Ort weit entfernte negative Auswirkungen haben kann. Einige dieser Auswirkungen können schmerzhaft sein.
Ein Beispiel dafür ist der Cyber-Diebstahl bei Vastaamo, Finnlands größtem privaten Therapiezentrum, bei dem die Angreifer nicht nur die sensiblen Daten von Tausenden von Patienten stahlen, sondern diese auch direkt erpressten und mit der Veröffentlichung ihrer Daten drohten. Dieser Vorfall, bei dem schutzbedürftige Personen direkt gefährdet wurden, ist ein klares Beispiel für die tatsächlichen menschlichen Kosten einer Datenverletzung.
Zeit ist ein kritischer Faktor. Wie können wir sie sparen?
Da so viel auf dem Spiel steht, ist die richtige Erkennung und Handhabung von Cyber-Bedrohungen entscheidend. Wie können SOCs ihren Erfolg messen und ihn verbessern?
Der Incident-Response-Prozess umfasst mehrere Phasen: Risikominimierung, Identifizierung des Vorfalls, Eindämmung, Reaktion, Bereinigung und Wiederherstellung. In den meisten dieser Phasen ist Zeit ein kritischer Faktor. Eine agile, effiziente Reaktion ist entscheidend, egal ob Sie einen Angriff erkennen oder neutralisieren.
Da Angreifer immer schneller und bösartiger werden, haben SOCs Schwierigkeiten, schnell zu reagieren. Ein Faktor, der sie daran hindert, ist die Tatsache, dass sie die Tools oft nicht kohärent einsetzen.
Wenn sie mit wechselnden Bedrohungen durch Angreifer konfrontiert werden, die eine Vielzahl von Techniken einsetzen, suchen viele SOCs nach Technologien, die ihnen bei der Bewältigung helfen. Eine gängige Reaktion ist die Installation einer ganzen Reihe von Tools. SOCs gehen dabei nicht immer strategisch vor. Wenn man es mit Unbekannten zu tun hat, neigt man dazu, sich mit Tools zu sehr vorzubereiten, anstatt sicherzustellen, dass man sich anpassen kann.
Wenn Teams Sicherheitstools nach dem Gießkannenprinzip installieren, können sie am Ende einen unzusammenhängenden „Frankenstack“ von Sicherheitstools haben, die nicht gut zusammenarbeiten. Unter einem „Frankenstack“ ist die Zusammenstellung von selbst zusammengestellter Hardware und -Software in der Systemarchitektur eines Unternehmens gemeint. Selbst wenn die beste Middleware, Datenbank, Betriebssysteme, virtuelle Maschinen, Server und Speicher ausgewählt wurden, beeinträchtigt dieser Mischmasch von Komponenten die Datenbankleistung, gefährdet die Leistungsfähigkeit von Sicherheitslösungen. Dies kann dazu führen, dass dem SOC ein einheitlicher Arbeitsablauf fehlt. Es fehlt an automatisierten Abhilfemaßnahmen, so dass sich SOCs zu sehr auf die menschliche Interaktion verlassen. Menschen müssen die Lücken füllen, die die Technologie hinterlässt, aber sie können dies nicht schnell genug tun. Engpässe bei den verfügbaren Fachleuten machen die Organisation verwundbar.
Mangelnde Interoperabilität lässt kritische Sicherheitsinformationen in verschiedenen Silos verweilen. Analysten arbeiten im Blindflug. Die Daten, die ihnen zur Verfügung stehen, wurden nicht ordnungsgemäß durch eine koordinierte Toolkette gefiltert, was das Signal-Rausch-Verhältnis erhöht macht, Angriffe zu erkennen. SOCs erhalten zu viele Fehlalarme, was es schwierig macht, die Daten zu sichten, um die wichtigen Alarme zu finden. Außerdem fehlen ihnen die kontextbezogenen Daten, die ihnen ein vollständigeres Bild einer aufkommenden Bedrohung geben könnten, um deren Form, Bedeutung und Umfang zu verstehen.
Diese Schwächen führen dazu, dass SOCs einen unzusammenhängenden Incident-Response-Prozess haben, der schwer zu kontrollieren und zu verstehen ist. Die Mitarbeiter haben bei jedem Schritt des Prozesses zu viele Optionen und es fehlt ihnen die Kooperationsplattform, die sie für eine schnelle Reaktion benötigen.
Kein Wunder also, dass der Ponemon-Report die Komplexität von Sicherheitssystemen als den teuersten Einzelfaktor bei der Bewertung der Kosten einer Datenschutzverletzung feststellt. Sie erhöhte die Kosten einer Datenschutzverletzung um durchschnittlich 292.000 US-Dollar.
Der Weg in die Zukunft
Ein SOC hat die Möglichkeit, diese Herausforderungen zu meistern. Ganz oben auf ihrer Liste sollte eine Bewertung ihres aktuellen Incident-Response-Prozesses stehen. Die Bewertung sollte mit einem Fokus auf die Ergebnisse begonnen werden. Alles sollte darauf ausgerichtet sein, vorgegebene Ziele zu erreichen.
Diese Ziele sollten messbar sein, indem sie mit spezifischen Metriken verknüpft werden. Unternehmen müssen die Metriken bewerten, die sie zur Messung ihres Erfolgs verwenden. Sie sollten nach Bereichen suchen, die sie nicht gut messen und die sie anfällig für schlechte Leistungen machen könnten. Können sie diese in Faktoren zerlegen und herausfinden, was sie positiv beeinflussen würde?
In frühen Stadien der Vorfallskette sollten diese Messgrößen auf die Prävention ausgerichtet sein. Wie schätzen die Verantwortlichen den Grad des Risikos für verschiedene Vermögenswerte und dessen potenzielle Auswirkungen auf das Unternehmen ein? Verfolgen sie einen mathematischen Ansatz, um das Risiko auf der Grundlage der verfügbaren Ressourcen einzuteilen?
In späteren Phasen des Prozesses sollten die Metriken die Zeit für die Identifizierung, Eindämmung und Neutralisierung von Vorfällen sowie die Zeit für die Wiederherstellung berücksichtigen. Mit geeigneten Messverfahren können sie einen nahtlosen End-to-End-Prozess für die Reaktion auf Vorfälle mit klaren Verfahren und Rollen aufbauen, damit keine Bedrohung durch die Maschen fällt.
Die Verantwortlichen sollten das Tool-Set integrieren, um diesen Prozess zu unterstützen. Eine durchdachte Toolkette unterstützt harmonisierte Datenflüsse, die die Anzahl der Hand-Offs und Tool- oder Plattformwechsel reduzieren oder eliminieren. Die Mitarbeiter sind in der Lage, Aufgaben wie das Ändern von Firewall-Regeln übergreifend zu erledigen, ohne jeden Plattformbesitzer einzeln um Hilfe bitten zu müssen. Sie werden vollen Einblick in die Historie und den Umfang einer Bedrohung haben. Sie ermöglichen es den Analysten, alles in einer vertrauten Umgebung zu sehen, was ihnen Zeit und Gehirnschmalz spart, da sie nicht mehr den Kontext wechseln müssen. Das Ergebnis? Prozesse, die Tage dauerten, können in Minuten ausgeführt werden.
Eine integrierte Toolkette bietet eine solide Plattform für die Automatisierung. Die Definition von automatisierten Workflows zur Unterstützung des Incident-Response-Prozesses reduziert die menschliche Interaktion und die Latenzzeit bei jedem Schritt. Dies wird sich positiv auf die zeitbasierten Metriken auswirken, während sich die menschlichen Analysten auf nuancierte Entscheidungen konzentrieren können.
Dieser Optimierungsprozess hat tiefgreifende Auswirkungen auf das SOC. Wenn er gut durchgeführt wird, können die Verantwortlichen einen reaktiven Ansatz für die Reaktion auf Vorfälle in einen vorausschauenden umwandeln, der von klaren Zielen wie frühzeitiger Erkennung und schneller Eindämmung und nicht von der Angst vor dem Unbekannten angetrieben wird. Wir haben uns zu lange nur auf unser Vorwissen verlassen, was uns daran hindert, neue Angriffe zu erkennen und abzuwehren. Mit einem neuen Ansatz sind sie besser auf neu auftretende Bedrohungen eingestellt und in der Lage, auf sie zu reagieren, wenn sie auftauchen.
Durch die Verbesserung ihrer Angriffsprävention und die Beschleunigung ihrer Reaktion auflaufende Angriffe können die Fachleute ihre Erkennungszeit und die Verweildauer der Angreifer verkürzen sowie die Automatisierung erhöhen. Dadurch wird der Aktionsradius eines Sicherheitsvorfalls eingeschränkt. Besser noch ist es, dass sie diese explosiven Ereignisse ganz verhindern können.
Über den Autor: Bevor er 2020 als Director of Security für EMEA zu SentinelOne kam, war Jan Tietze in leitenden technischen und Managementpositionen von der Technik bis hin zu CIO- und CTO-Rollen für globale IT- und Beratungsorganisationen tätig. Mit einem starken Hintergrund in der Unternehmens-IT und einer frühen Karriere in leitenden Positionen im Bereich Engineering bei Microsoft und anderen Sicherheits- und Beratungsorganisationen versteht Jan Tietze die Risiken, Herausforderungen und Lösungen der realen Welt und ist seit vielen Jahren ein vertrauenswürdiger Berater für seine Kunden.
(ID:47267580)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939300/1939337/original.jpg "Die Software-Supply-Chain muss sicherer werden, denn unsichere Geräte erweitern die Angriffsfläche und gefährden die Sicherheit des ganzen Unternehmens. (Eisenhans - stock.adobe.com)")