Prozesse rationalisieren, Mitarbeiter entlasten

Wie Kontextinformationen SOC-Teams entlasten

| Autor / Redakteur: Robert Blank / Peter Schmitz

Es gibt drei Schlüsseltechniken, mit denen SOCs ihre Prozesse rationalisieren, Ermüdungserscheinungen verringern und ihre Maßnahmen auf echte Sicherheitsprioritäten konzentrieren können.
Es gibt drei Schlüsseltechniken, mit denen SOCs ihre Prozesse rationalisieren, Ermüdungserscheinungen verringern und ihre Maßnahmen auf echte Sicherheitsprioritäten konzentrieren können. (Bild: gemeinfrei)

Wissen Sie, wie viele Sicherheitswarnungen ein Security Operation Center (SOC) an einem durchschnittlichen Tag bewältigen muss? Es ist eine unüberschaubare Flut von Meldungen, die die Security-Experten überwältigt, vielfach zu Frustration und im schlimmsten Fall sogar zur Vernachlässigung der Warnungen führt.

Untersuchungen von Imperva zufolge gaben 27 Prozent der IT-Experten an, mehr als 1 Millionen Warnungen pro Tag erhalten zu haben. 55 Prozent erhielten immer noch mehr als 10.000 pro Tag. Das sind fast sieben Alarme pro Minute. Um diese Flut zu bewältigen, gaben 10 Prozent der Befragten an, dass sie zusätzliche Ingenieure für ihren SOC einstellen, um bei der Verarbeitung dieser Warnungen zu helfen. 57 Prozent gaben an, dass sie ihre Richtlinien anpassen, um das Alarmvolumen zu reduzieren.

Der Bericht stellt allerdings fest, dass selbst wenn SOC-Teams diese Maßnahmen ergreifen, um das Volumen der Warnungen zu bewältigen oder zu reduzieren, sie bei der Verwaltung dieser Warnungen immer noch vor Herausforderungen stehen. 53 Prozent stellten fest, dass ihre Organisation bei der Bewertung, welche Sicherheitsvorfälle kritisch sind und sofortige Aufmerksamkeit erfordern, im Vergleich zu solchen, die irrelevant oder False Positives sind, überfordert ist. So ist es nicht verwunderlich, dass 30 Prozent der Befragten zugaben, bestimmte Kategorien von Warnungen einfach zu ignorieren. Es gaben sogar 4 Prozent der Teilnehmer an, dass sie Warnmeldungen vollständig abgeschaltet haben, und mehr als die Hälfte der Befragten (54 Prozent) spürt ein signifikantes Stresslevel, das sich in einer ernst zu nehmenden Frustration äußert.

Der Überlastung folgt Vernachlässigung

Bei dieser unüberschaubaren Flut an Warnungen ist es leicht nachvollziehbar, warum das Abschalten der Alerts verlockend sein kann. Aber das Ignorieren von Meldungen kann und wird dazu führen, dass echte Sicherheitsprobleme übersehen werden und das Unternehmen alle daraus resultierenden geschäftlichen, finanziellen und rechtlichen Folgen sowie ein hoher Reputationsverlust treffen können. Was können Führungskräfte also tun, um die Überlastung durch Warnungen zu reduzieren; das Risiko zu minimieren, dass ein kritischer Vorfall übersehen wird; und die Arbeit des SOC-Teams zu erleichtern?

Wie man die Spreu vom Weizen trennt

Einer der Gründe für die Überlastung ist, dass das SOC-Team in vielen Fällen keine automatisierten Prozesse hat, die es ihm ermöglichen, die Auswirkungen eines Sicherheitsvorfalls auf die Firma schnell zu erfassen. Es gibt jedoch drei Schlüsseltechniken, mit denen SOCs ihre Prozesse rationalisieren, Ermüdungserscheinungen verringern und ihre Maßnahmen auf echte Sicherheitsprioritäten konzentrieren können:

Technik 1: Transparenz

Durch die vollständige Transparenz der Netzwerk- und Anwendungskonnektivität können die Sicherheitsteams effizienter und effektiver auf Vorfälle reagieren. Blinde Flecken im Netzwerk ergeben sich oft durch Technologien der nächsten Generation wie Cloud und software-defined Networking (SDN), die eine Untersuchung nach dem ersten Alarm erheblich verzögern. Eine verbesserte Transparenz in allen Netzwerkumgebungen kann dieser Verzögerung entgegenwirken und sie auf ein Minimum reduzieren, was sich unmittelbar positiv auf die Reaktionszeit und -Fähigkeit des Unternehmens auswirkt.

Technik 2: Geschäftsorientierte Kontextinformationen

Im Kontext des Geschäfts geht es darum, die technischen Netzwerkparameter, die sich auf einen Sicherheitsvorfall beziehen, mit den realen Geschäftsprozessen und Anwendungen zu verbinden, die der Vorfall beeinflussen kann. Durch diese Verknüpfung können Sicherheitsexperten Vorfälle schnell priorisieren und beheben und dabei Sicherheit und operative Risiken potenzieller Geschäftsausfälle fundiert abwägen.

Technik 3: Konnektivitätsanalyse

Die Analyse der Konnektivität gibt den SOC-Teams ein tieferes Verständnis der potenziellen Auswirkungen eines Vorfalls und zeigt das Ausmaß eines Sicherheitsrisikos auf. Dazu gibt sie beispielsweise an, wie weit sich der Angriff potenziell ausbreiten könnte. Wenn ein Server mit Malware infiziert wurde, kann dieser versuchen, andere Systeme im Netzwerk zu infizieren, Daten zu exfiltrieren oder zu versuchen, weiteren bösartigen Code von externen Adressen herunterzuladen. Die Struktur des Netzwerks und der Standort des gefährdeten Geräts bestimmen die mögliche Schwere des Angriffs. Wenn also ein Server eine Verbindung zum Internet herstellen kann, sollte die Lösung des Problems eine hohe Priorität haben, um Datenschutzverletzungen zu vermeiden. Wenn der Server jedoch nicht auf das Internet zugreifen kann, kann das Risiko und damit die Priorität des Ereignisses geringer sein.

Fazit

Es ist weder vorstellbar noch machbar, dass die SOC-Teams täglich eine Million oder auch nur 10.000 Warnungen manuell sortieren. Aber durch die Ausstattung des SOC mit der Fähigkeit, die Analyse basierend auf den Auswirkungen auf die Geschäftsprozesse eines Unternehmens zu automatisieren, wird dabei helfen, den Alarm unter einer Million zu finden, der wirklich wichtig ist.

Über den Autor: Robert Blank ist Regional Sales Manager DACH bei AlgoSec.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45750885 / Monitoring und KI)