:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SOAR und Managed Detection & Response auf dem Vormarsch? SIEM und SOC werden von SOAR und MDR abgelöst
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Ein SIEM allein reicht nicht aus, um Unternehmen vor Cyberangriffen zu schützen. Denn ohne Automatisierung ist es kaum noch möglich, die Masse an Sicherheitsmeldungen auszuwerten, die das System generiert. Der Trend geht daher vor allem im Mittestland zu SOAR-Systemen, die in einen Managed Service integriert sind.
Lange Zeit galt ein Security Information and Event Managemet (SIEM) als Mittel der Wahl, um bösartige Cyberangriffe schnell zu erkennen. Viele Unternehmen haben daher in den vergangenen Jahren in eine solche Lösung investiert – häufig aus Compliance-Gründen. Denn zahlreiche Regularien schreiben dies vor. Doch sich ein SIEM ins Rechenzentrum zu stellen und es einmal zu konfigurieren, reicht nicht aus. Man muss es auch kontinuierlich pflegen, Quellen anbinden und immer wieder nachjustieren. Vor allem aber braucht man Security-Analysten, um die Informationen, die das System ausgibt, nachzuverfolgen und zu bewerten. Kaum ein mittelständisches Unternehmen hat dafür genug Fachkräfte und Expertise im eigenen Haus. Häufig dient das SIEM daher schon nach kurzer Zeit nur noch als Logspeicher. Das ist hilfreich bei einer forensischen Untersuchung, bringt aber wenig, um einen Cyberangriff zu erkennen und zu stoppen.
Warum ein SIEM kein verlässliches Schutzlevel bietet
Ein SIEM sammelt die Logdaten angeschlossener Security-Systeme, setzt sie zueinander in Bezug und sucht nach Anomalien. Entdeckt es ungewöhnliches Verhalten, gibt es eine Meldung aus. Es kann Auffälligkeiten identifizieren, erkennt jedoch nicht, inwieweit sie sicherheitsrelevant sind. Wenn sich also ein Mitarbeiter aus dem Ausland über den VPN in der deutschen Zentrale einloggt, sieht es für das SIEM so aus, als würde sich dieselbe Person zweimal von unterschiedlichen Standorten aus anmelden. Es vermutet also einen Hacker-Angriff und schlägt Alarm. Solche False Positives stellen in der Summe eine hohe Belastung für die Security-Teams dar und führen dazu, dass Alerts häufig nur kurz überflogen werden und kritische Hinweise aufgrund der Flut an Warnmeldungen oft unbemerkt bleiben.
In den Security Operation Centern (SOCs) größerer Unternehmen arbeiten deshalb oft spezialisierte Security-Mitarbeiter, die die Warnmeldungen aus dem SIEM auswerten. Im zweistufigen Verfahren untersuchen Level-1-Analysten zunächst, ob es Hinweise darauf gibt, dass ein Log-Event gefährlich ist. Dafür werden Daten mit Informationen aus der Vergangenheit korreliert. Stand ein ähnlicher Alert schon einmal im Zusammenhang mit einem Sicherheitsvorfall? Ist ein Code-Schnipsel oder eine URL als bösartig bekannt? Um dies herauszufinden, durchforsten die Analysten die Threat-Intelligence-Datenbanken der Security Anbieter. Bei jeder Recherche müssen sie Bedrohungsinformationen aktuell abrufen. Denn Anzeichen wie bösartige DNS-Einträge können sich laufend ändern. Bestätigt sich der Verdacht eines Sicherheitsrisikos, übernehmen die Level-2-Analysten. Sie verfolgen gemeinsam mit dem IT-Personal vor Ort die Spuren und stellen fest, ob es sich tatsächlich um einen Angriff handelt.
SOAR entlastet SOC-Mitarbeiter
Die Arbeit in einem SOC ist aufwendig und erfordert Expertenwissen. Insbesondere Level-1-Analysen bringen viel manuelle Fleißarbeit mit sich. Kaum ein Security-Mitarbeiter macht diesen Job daher gerne. Das erschwert es für Unternehmen, geeignete Fachkräfte auf dem ohnehin leergefegten Arbeitsmarkt zu finden. Dazu kommt, dass manuelle Untersuchungen langwierig sind. Allein eine Level-1-Analyse kann schon einmal mehrere Stunden dauern, in denen im Fall eines Cyberangriffs wertvolle Zeit verstreicht.
Eine Lösung für Security Orchestration, Automation and Response (SOAR) kann hier Abhilfe schaffen und kommt in modernen SOCs oft zum Einsatz. Mit ihr können Level-1-Analysen automatisiert durchgeführt werden, was Mitarbeiter erheblich entlasten und Prozesse beschleunigt. Die Automatisierung im SOAR erfolgt mithilfe von Playbooks, die Workflows und Logiken beinhalten, die das System abarbeitet. Laut Angaben des Security-Herstellers Palo Alto Networks kann ein SOAR die Alarme, die die Mitarbeiter noch überprüfen müssen, um bis zu 95 Prozent reduzieren.
Kleine und mittelständische Unternehmen nutzen MDR
Auch wenn ein SOAR viele Vorteile bietet, lohnt es sich für ein mittelständisches Unternehmen in der Regel nicht, selbst eines zu betreiben. Ein gangbarer Weg für sie: Virtual SOC (vSOC) und Managed Detection & Response (MDR). Bei MDR betreibt ein Managed Security Services Provider (MSSP) das SOAR für das Unternehmen. Er kümmert sich um den Betrieb der Lösung, bindet die Log-Quellen an, modelliert sie und kümmert sich um die Adaption und Erweiterung der Playbooks. Der MSSP kann den Service wahlweise aus seiner Private Cloud, aus der Public Cloud oder auch beim Kunden vor Ort erbringen. Entdecken die Analysten des Providers Anzeichen für einen Sicherheitsvorfall, verständigen sie den Kunden. Sie führen in enger Zusammenarbeit mit ihm weitere Untersuchungen durch und geben ihm Schritt-für Schritt-Handlungsempfehlungen, um den Angriff zu stoppen.
Fazit: MDR kann Schaden vermeiden und die Sicherheit erhöhen
Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. Um automatisierten Angriffen zu begegnen, ist eine automatisierte Detection & Response nötig, die die Datenflut auf verwertbare Warnungen reduziert und den Security Analysten möglichst viel Arbeit abnimmt. Mit MDR wird dies auch für kleinere und mittelständische Unternehmen machbar. In der Zusammenarbeit mit einem MSSP profitieren sie von einem leistungsstarken SOAR und spezialisiertem Analysten-Know-how, ohne dass sie selbst ein SIEM oder SOC betreiben müssen.
Über den Autor: Wolfgang Kurz ist CEO bei Indevis.
(ID:48112432)
:quality(80)/p7i.vogel.de/wcms/8c/f4/8cf48812665fc59a6d782fa84d4cb33d/0109529267.jpeg "Managed Detection & Response (MDR) Services füllen Lücken in der Cyber-Abwehr. (Bild: frei lizenziert: Buffik)")
:quality(80)/p7i.vogel.de/wcms/b7/da/b7dad41b13c667f9c3a849c4eb5c360f/0113112265.jpeg "MDR vereint die erforderlichen Spezialisten, Fachkenntnisse, Prozesse und Technologien, um Bedrohungen schnell zu erkennen und darauf angemessen zu reagieren. (Bild: Tobias - stock.adobe.com)")