Thought Leadership
Umfangreiche Security-Sensorik-Systeme sind die erste Wahl vieler Unternehmen im Kampf gegen Cyberkriminalität. Doch die Sicherheitsdaten verschiedener Quellen zu strukturieren und zu korrelieren, bleibt oft eine Herausforderung. Um sie zu meistern, müssen Unternehmen geeignete Ressourcen – sowohl technische Lösungen als auch Fachpersonal – bereitstellen.
Wie SOAR und Managed Detection & Response (MDR) im Alert-Dschungel für Übersicht sorgen, IT-Abteilungen entlasten und somit langfristigen Schutz für Unternehmen garantieren, weiß Wolfgang Kurz, Geschäftsführer und Founder von indevis.
Ein Großteil der deutschsprachigen Unternehmen verwendet im eigenen Netzwerk verschiedene Security-Sensorik-Systeme, wie Zwei-Faktor-Authentifizierung oder Firewalls. Die IT-Abteilung analysiert die Log-Dateien aus den unterschiedlichen Quellen. Je mehr Systeme und Alerts es gibt, umso mühseliger ist es, diese manuell auf False Positives zu untersuchen. Für die konkrete Einschätzung der Bedrohungslage fehlt es zudem häufig an Zeit und Personal. Um diese Herausforderung zu lösen, braucht es ein grundlegendes Verständnis der eingesetzten Sensorik-Systeme und die Zusammenführung der gesammelten Daten auf der Meta-Ebene.
Aktive und passive Sensorik mit SIEM kombinieren
Sensorik-Systeme können in passive und aktive Methoden eingeteilt werden. Die passive Sensorik spürt potenziell bedrohliche Vorfälle auf und meldet diese. Einem aktiven Sensorik-System ist es zudem möglich, auffällige Elemente, wie etwa dubiose E-Mail-Anhänge, über eine Sandbox umzuleiten und dort auszuführen. Um die Bedrohungslage richtig einzuschätzen, hilft ein System, mit dem sich die Findings aller Sensorik-Einheiten auf einer Plattform zentral sammeln lassen.
Zu diesem Zweck implementieren viele Unternehmen mittlerweile sogenannte SIEM-Lösungen (Security Incident & Event Management). Dort werden alle Sensorik-Systeme angedockt und deren Logs auf einer Meta-Ebene zusammengeführt. SIEM kann Sicherheitsverstöße automatisiert erkennen, jedoch müssen die örtlichen IT-Mitarbeiter den Grad der Bedrohung weiterhin manuell feststellen.
In der alltäglichen Flut von Meldungen können dabei echte Sicherheitsrisiken sehr schnell übersehen werden. So viele Security-Sensorik-Lösungen wie möglich zu installieren, nutzt also nichts, wenn die Mitarbeiter mit der Analyse der Alerts nicht mehr hinterherkommen. Um die Cybersecurity tatsächlich zu verbessern gilt es, die Logs aus allen Quellen nicht nur konsequent zu sammeln, sondern sie zu korrelieren. Nur so ist eine sofortige, automatisierte und vor allem wirkungsvolle Sicherheitsantwort möglich. Die Lösung: SOAR oder Security Orchestration, Automation and Response.
SOAR – Sicherheitsdaten für eine rapide, automatisierte Antwort korrelieren
SOAR kann gigantische Datenmengen schnell verarbeiten und die Logs aller Security-Sensorik-Systeme auf einer Meta-Ebene auswerten. False Positives werden größtenteils herausgefiltert. Zudem kann die Software den Sicherheitsverantwortlichen im Gefahrenfall ein umfangreiches Gesamtbild des erfolgten Angriffes zusammenstellen. Hierfür greift die Lösung auf verschiedene interne und externe Threat-Intelligence-Quellen zurück.
Hat das System eine Schaddatei oder einen bösartigen Code entdeckt, ist es möglich, die Sicherheitsdaten zu speichern und automatisierte Reaktionen vorzudefinieren. So können gleichartige Angriffe zukünftig im Keim erstickt werden. Zu diesem Zweck werden sogenannte Playbooks verwendet, die entweder vom Hersteller geliefert oder auch vom Unternehmen individuell angelegt werden können. So sinkt die Anzahl an Alerts. Das ist eine große Entlastung für die IT-Abteilung, die weniger Zeit und Ressourcen auf die Identifikation von False Positives verschwenden muss. Zudem sind Sicherheitsantworten auf tatsächlich relevante Vorfälle massiv beschleunigt.
Managed Detection & Response – Mit externen Partnern sich gegen Cyberkriminalität wehren
Es ist lobenswert, dass in deutschen Unternehmen heutzutage ein Bewusstsein für die Notwendigkeit von Cybersecurity herrscht. Der Einsatz von unterschiedlichen Sensorik-Systemen allein ist jedoch nicht unmittelbar zielführend. Denn zusätzlich zur reinen Gefahrenerkennung braucht es auch Lösungen, die Informationen aus den verschiedenen Sensorik-Lösungen im Unternehmensnetzwerk effizient und automatisiert orchestrieren können. Nur so kann eine wirkungsvolle Abwehrreaktion stattfinden. Für Unternehmen ist es in Anbetracht des Fachkräftemangels empfehlenswert, mit externen Anbieter von Managed Detection & Response (MDR) zusammenzuarbeiten. Qualifizierte MDR-Anbieter sind Experten auf dem Gebiet und halten Sicherheitslösungen – egal ob Soft- und Hardware – stets up to date. Neben der ständigen Bedrohungsanalyse leisten sie Aufklärungsarbeit für den Kunden und unterstützen diesen in konkreten Angriffssituationen, damit die IT-Infrastruktur der Unternehmen gut geschützt ist.
