:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Prozesse rationalisieren, Mitarbeiter entlasten Wie Kontextinformationen SOC-Teams entlasten
Wissen Sie, wie viele Sicherheitswarnungen ein Security Operation Center (SOC) an einem durchschnittlichen Tag bewältigen muss? Es ist eine unüberschaubare Flut von Meldungen, die die Security-Experten überwältigt, vielfach zu Frustration und im schlimmsten Fall sogar zur Vernachlässigung der Warnungen führt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Untersuchungen von Imperva zufolge gaben 27 Prozent der IT-Experten an, mehr als 1 Millionen Warnungen pro Tag erhalten zu haben. 55 Prozent erhielten immer noch mehr als 10.000 pro Tag. Das sind fast sieben Alarme pro Minute. Um diese Flut zu bewältigen, gaben 10 Prozent der Befragten an, dass sie zusätzliche Ingenieure für ihren SOC einstellen, um bei der Verarbeitung dieser Warnungen zu helfen. 57 Prozent gaben an, dass sie ihre Richtlinien anpassen, um das Alarmvolumen zu reduzieren.
Der Bericht stellt allerdings fest, dass selbst wenn SOC-Teams diese Maßnahmen ergreifen, um das Volumen der Warnungen zu bewältigen oder zu reduzieren, sie bei der Verwaltung dieser Warnungen immer noch vor Herausforderungen stehen. 53 Prozent stellten fest, dass ihre Organisation bei der Bewertung, welche Sicherheitsvorfälle kritisch sind und sofortige Aufmerksamkeit erfordern, im Vergleich zu solchen, die irrelevant oder False Positives sind, überfordert ist. So ist es nicht verwunderlich, dass 30 Prozent der Befragten zugaben, bestimmte Kategorien von Warnungen einfach zu ignorieren. Es gaben sogar 4 Prozent der Teilnehmer an, dass sie Warnmeldungen vollständig abgeschaltet haben, und mehr als die Hälfte der Befragten (54 Prozent) spürt ein signifikantes Stresslevel, das sich in einer ernst zu nehmenden Frustration äußert.
Der Überlastung folgt Vernachlässigung
Bei dieser unüberschaubaren Flut an Warnungen ist es leicht nachvollziehbar, warum das Abschalten der Alerts verlockend sein kann. Aber das Ignorieren von Meldungen kann und wird dazu führen, dass echte Sicherheitsprobleme übersehen werden und das Unternehmen alle daraus resultierenden geschäftlichen, finanziellen und rechtlichen Folgen sowie ein hoher Reputationsverlust treffen können. Was können Führungskräfte also tun, um die Überlastung durch Warnungen zu reduzieren; das Risiko zu minimieren, dass ein kritischer Vorfall übersehen wird; und die Arbeit des SOC-Teams zu erleichtern?
Wie man die Spreu vom Weizen trennt
Einer der Gründe für die Überlastung ist, dass das SOC-Team in vielen Fällen keine automatisierten Prozesse hat, die es ihm ermöglichen, die Auswirkungen eines Sicherheitsvorfalls auf die Firma schnell zu erfassen. Es gibt jedoch drei Schlüsseltechniken, mit denen SOCs ihre Prozesse rationalisieren, Ermüdungserscheinungen verringern und ihre Maßnahmen auf echte Sicherheitsprioritäten konzentrieren können:
Technik 1: Transparenz
Durch die vollständige Transparenz der Netzwerk- und Anwendungskonnektivität können die Sicherheitsteams effizienter und effektiver auf Vorfälle reagieren. Blinde Flecken im Netzwerk ergeben sich oft durch Technologien der nächsten Generation wie Cloud und software-defined Networking (SDN), die eine Untersuchung nach dem ersten Alarm erheblich verzögern. Eine verbesserte Transparenz in allen Netzwerkumgebungen kann dieser Verzögerung entgegenwirken und sie auf ein Minimum reduzieren, was sich unmittelbar positiv auf die Reaktionszeit und -Fähigkeit des Unternehmens auswirkt.
Technik 2: Geschäftsorientierte Kontextinformationen
Im Kontext des Geschäfts geht es darum, die technischen Netzwerkparameter, die sich auf einen Sicherheitsvorfall beziehen, mit den realen Geschäftsprozessen und Anwendungen zu verbinden, die der Vorfall beeinflussen kann. Durch diese Verknüpfung können Sicherheitsexperten Vorfälle schnell priorisieren und beheben und dabei Sicherheit und operative Risiken potenzieller Geschäftsausfälle fundiert abwägen.
Technik 3: Konnektivitätsanalyse
Die Analyse der Konnektivität gibt den SOC-Teams ein tieferes Verständnis der potenziellen Auswirkungen eines Vorfalls und zeigt das Ausmaß eines Sicherheitsrisikos auf. Dazu gibt sie beispielsweise an, wie weit sich der Angriff potenziell ausbreiten könnte. Wenn ein Server mit Malware infiziert wurde, kann dieser versuchen, andere Systeme im Netzwerk zu infizieren, Daten zu exfiltrieren oder zu versuchen, weiteren bösartigen Code von externen Adressen herunterzuladen. Die Struktur des Netzwerks und der Standort des gefährdeten Geräts bestimmen die mögliche Schwere des Angriffs. Wenn also ein Server eine Verbindung zum Internet herstellen kann, sollte die Lösung des Problems eine hohe Priorität haben, um Datenschutzverletzungen zu vermeiden. Wenn der Server jedoch nicht auf das Internet zugreifen kann, kann das Risiko und damit die Priorität des Ereignisses geringer sein.
Fazit
Es ist weder vorstellbar noch machbar, dass die SOC-Teams täglich eine Million oder auch nur 10.000 Warnungen manuell sortieren. Aber durch die Ausstattung des SOC mit der Fähigkeit, die Analyse basierend auf den Auswirkungen auf die Geschäftsprozesse eines Unternehmens zu automatisieren, wird dabei helfen, den Alarm unter einer Million zu finden, der wirklich wichtig ist.
Über den Autor: Robert Blank ist Regional Sales Manager DACH bei AlgoSec.
(ID:45750885)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1965900/1965920/original.jpg "CISOs schaffen Mehrwerte, indem sie die unter anderem sicherheitsrelevante Prozesse und die Einhaltung von Reglements rationalisieren. (gearstd - stock.adobe.com)")