Aktive Bedrohungsbekämpfung

Mensch und Maschine jagen zusammen Bedrohungen

| Autor / Redakteur: Hans-Peter Bauer / Peter Schmitz

Das Zusammenwirken der Kernkompetenzen von Menschen und Maschinen vervielfacht die Sicherheit im Unternehmen drastisch.
Das Zusammenwirken der Kernkompetenzen von Menschen und Maschinen vervielfacht die Sicherheit im Unternehmen drastisch. (Bild: Pixabay / CC0)

Die Zahl neuer und immer raffinierterer Bedrohungen bringt Sicherheitsteams zunehmend an ihre Grenzen. Es scheint, als könnten Menschen alleine nicht mit den sich entwickelnden Cyber-Bedrohungen Schritt halten. Die Einbeziehung von Maschinen wird daher immer wichtiger, um umfassende Sicherheit im Unternehmen zu gewährleisten.

Virtualisierte Rechenzentren, cloud-native Unternehmensanwendungen, Laptops, Tablets und Smartphones im Netzwerk. Die IT-Landschaften von Unternehmen sind im beständigen Wachstum und beschränken sich schon längst nicht nur auf Computer, die an das hauseigene Rechenzentrum angeschlossen sind. Im gleichen Maße wächst auch die Bedrohungslandschaft. Jedes zusätzliche Endgerät und jede weitere Cloud-Anwendung bietet Cyber-Kriminellen eine Möglichkeit, das Netzwerk zu infiltrieren. Und diese werden zunehmend findiger, Schwachstellen auszunutzen.

Ein Sicherheitsbeauftragter im Unternehmen benötigt im Durchschnitt etwa 15 Minuten, um einen Sicherheitsvorfall zu untersuchen. Das erlaubt ihm, etwa 30 Vorfällen pro Tag auf den Grund zu gehen. Pro Minute werden allerdings alleine 244 neue Cyber-Bedrohungen registriert. Sicherheitsteams sind so zu einem reaktiven Vorgehen verdammt, das dazu noch wenig nachhaltig gestaltet ist. Andererseits verlangt der Ansturm von neuer Malware und neu erscheinender Permutationen nach mehr Kapazitäten, um nicht nur auf Angriffe zu reagieren, sondern proaktiv neue Bedrohungsmuster zu suchen und die eigene Verteidigung darauf vorzubereiten. Im Kampf gegen Cyber-Bedrohungen sind Menschen daher darauf angewiesen, Arbeiten abzugeben und Maschinen mit einzubeziehen.

Gerade repetitive Aufgaben wie die Analyse von Sicherheitsdaten und die Abwehr weniger kritischer Angriffe lässt sich viel effektiver von Maschinen ausführen. Diese sind schneller in der Lage, große Datenmengen zu analysieren, abweichende Verhaltensmuster zu entdecken und festgelegte Gegenmaßnahmen zu orchestrieren. Dies eignet sich besonders für Routine-Angriffe mit bekanntem Muster, die für Menschen zwar wenig aufwändig, aber zeitraubend zu bewältigen sind. Indem Sicherheitsteams diese leicht zu automatisierenden Aufgaben abtreten, können sie sich selbst Kapazitäten schaffen, um sich strategischeren Aufgaben zu widmen.

Mit Threat Hunting Angreifern zuvorkommen

Aufgrund der Komplexität, die Cyber-Angriffe heute erreicht haben, ist die Beschränkung auf ein rein reaktives Vorgehen in der IT-Sicherheit fast schon fahrlässig. Um das Unternehmensnetzwerk ganzheitlich schützen zu können, sollten Unternehmen aktiv nach Schwachstellen und neuen Angriffsmustern suchen, um Cyber-Kriminellen zuvorzukommen und mögliche Infiltrationspunkte zu schließen, ehe sie ausgenutzt werden können.

Dieser aktive Ansatz gewinnt in der Bedrohungsbekämpfung immer mehr an Bedeutung. So genannte Threat Hunter untersuchen Schwachstellen im Unternehmen anhand von Hinweisen und Hypothesen. Die Erkenntnisse ihrer Untersuchungen können sie anschließend in die Sicherheitsinfrastruktur einspeisen und in automatisierte Skripte und Regeln umwandeln. So können sich Unternehmen aktiv gegen zukünftige Bedrohungen wappnen anstatt nur auf bereits erfolgte Angriffe zu reagieren.

Eine erfolgreiche Abwehrstrategie ergibt sich also aus der Kombination der Fähigkeiten, die Mensch und Maschine in Zusammenarbeit am besten erfüllen können. Maschinen können große Datenmengen schnell und effizient analysieren und so schneller auf Malware oder Angriffe reagieren. Andererseits sind sie nur so gut wie der Algorithmus auf den sie trainiert wurden und sind abhängig von den Informationen, die Menschen ihnen zukommen lassen. Threat Hunter müssen ihre Sicherheits-Tools also stets weiterentwickeln und mit den neuesten Erkenntnissen füttern, um die automatisierten Sicherheitsmaßnahmen laufend zu optimieren. Der erfolgreiche Bedrohungsjäger weiß dabei auch verschiedene Tools zu kombinieren und die Möglichkeiten von Sandboxing, Security Information und Event Management (SIEM) und Threat Intelligence-Plattformen auszubalancieren. So kann er Schritt für Schritt seine zuvor manuell ausgeführten Aufgaben in automatisierte Schritte umwandeln und an die Maschinen auslagern.

Den Erfolg dieser Partnerschaft belegt eine Studie von McAfee. Demnach verbringen erfolgreiche Threat Hunter in fortgeschrittenen Security Operations Centern (SOC) 50 Prozent mehr Zeit mit der eigentlichen Bedrohungsverfolgung als weniger reife und arbeiten so vermehrt an ihrem aktiven Schutz.

Fazit: Die Kombination macht den Unterschied

Die Diskussionen um das Zusammenwirken von Menschen und Maschinen im Zuge der Digitalen Transformation beschränken sich noch zu sehr auf den Aspekt, inwiefern Menschen verdrängt werden. Dabei sollte viel stärker darauf eingegangen werden, wie sich beide Parteien am besten ergänzen. In der IT-Sicherheit kristallisiert sich eine optimale Balance bereits heraus. Das Zusammenwirken der Kernkompetenzen von Menschen und Maschinen vervielfacht die Sicherheit im Unternehmen drastisch. Indem Maschinen die quantitativen Arbeiten automatisiert abarbeiten kann der Mensch sich auf die strategischen Aufgaben und das große Ganze konzentrieren. Nur gemeinsam kann so eine Infrastruktur geschaffen werden, die stets auf dem neuesten Stand der Technik ist.

Über den Autor:Hans-Peter Bauer ist Vice President Central Europe bei McAfee. Er wechselte 2008 von Juniper Networks, wo er zuletzt als Vice President für das Enterprise-Geschäft in EMEA verantwortlich war. Er bringt eine mehr als 20-jährige Erfahrung in der Computer- und Informationstechnologie-Branche in seine Position ein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45095655 / Monitoring und KI)