Hauptziel aller Cyber-Defence-Aktivitäten ist der Schutz der Geschäftskontinuität. Das Fundament dafür sind klar definierte Soll-Sicherheitslevel. Dazu sind die IT-Welt, die Business-Welt und die reale Welt der Anwender in Einklang zu bringen. Während technische Mitarbeiter im Security Operations Center (SOC) die IT-Welt meist perfekt verstehen, berücksichtigen sie die Geschäftsprozesse oft nicht.
Lesetipp: Security-Lösungen für kleine Unternehmen
Um das begrenzte Budget zielgerichtet einzusetzen, sollten betriebliche Prozesse bekannt sein und auch, welche davon unternehmenskritisch, also besonders schützenswert sind. Das gleiche gilt für die reale Welt: Soll das Unternehmen aus dem SOC heraus geschützt werden, müssen dessen Mitarbeiter wissen, wie die Organisation aufgestellt ist, wer zu welchen Bereichen Zugang hat und welche Dienstleister eingebunden sind. Denn Cyber Defence ist eine unternehmensweite Aufgabe und eine enge Zusammenarbeit der Schlüssel zum Erfolg. Daher sind funktionierende Schnittstellen zwischen einem übergreifenden SOC und sämtlichen Betriebsabteilungen zu schaffen.
Das SOC kann nur dann Angriffe erkennen und Maßnahmen einleiten, wenn die verschiedenen Abteilungen - von Netzwerk- bis hin zur Client-IT - die notwendigen Daten und Informationen an das SOC liefern und umgehend dabei unterstützen, einen Sicherheitsvorfall zu beheben.
SOC allein ist machtlos
Die Praxis sieht oft anders aus: Viele Unternehmen wissen nicht, was sie mit ihren Sicherheits-Tools erreichen wollen, gegen wen sie sich schützen möchten und wie hoch ihr präventives und detektivisches Schutzlevel sein soll. Es fehlen die Mission und das klare Ziel vor Augen. Zudem wird Cyber Defence selten als unternehmensweite Aufgabe angesehen. Je größer ein Unternehmen ist, desto mehr IT-Bereiche gibt es, die nicht miteinander arbeiten und unabhängig voneinander IT-Anschaffungen tätigen.
Viele Organisationen setzen zwar SIEM-Lösungen (Security Information and Event Management) ein, um im SOC Log-Daten auszuwerten, diese sind jedoch nicht vollständig, weil nicht aus allen Bereichen die notwendigen Log-Daten zur Verfügung gestellt werden. Zudem arbeiten Unternehmen oft ohne Use Cases, also ohne klare Vorgaben, wie mit bestimmten Events umzugehen ist. In solchen Fällen kann auch die beste SIEM-Technologie keine erfolgreichen Ergebnisse liefern.
Strategisch investieren
Noch immer kaufen viele Unternehmen die falschen Tools, weil ihnen das notwendige Know-how fehlt und in "Silos" gearbeitet und gedacht wird. Um diese Fehlinvestitionen zu vermeiden und eine gute Abwehr aufzubauen, muss Cyber Defence strategisch betrachtet werden, statt in punktuelle Lösungen zu investieren. Dazu sollten Firmen zunächst den Status Quo ermitteln, um sich einen Gesamtüberblick zu verschaffen, Problemzonen zu kennen und auf dieser Basis gezielt Lösungen anzuschaffen. Nur so ist die Cyber Defence wirksam und die Investitionen lohnenswert.
Aktuell in der Diskussion: SIEM versus EDR
Steht die Strategie, folgt die Auswahl der passenden Security-Lösungen, um das angestrebte Sicherheitsniveau zu erreichen. Durch Real-time Monitoring und Triage lässt sich anomales Verhalten durch die Überwachung von Endpunkten, Nutzern, Services und Netzwerken erkennen. Klassischerweise setzen Unternehmen hierfür auf SIEM-Lösungen: Das SOC benachrichtigt bei einem Vorfall die jeweilige Betriebsabteilung, die dann aktiv werden und das Problem beheben muss. Durch die oft fehlende Zusammenarbeit sind lange Wartezeiten an der Tagesordnung - Zeit, die Cyber-Kriminelle ausnutzen können, um das Unternehmen zu schädigen.
Eine Alternative bilden EDR (Endpoint Detection and Response)-Tools. Sie ermöglichen dem Analysten im SOC, sich direkt mit dem Endpoint zu verbinden und die Analyse- und Response-Maßnahmen selbst einzuleiten. Zwar entfällt die Zusammenarbeit mit der Betriebsabteilung, diese muss allerdings bereits im Vorfeld zustimmen, dass auf allen Endpoints "Agenten" installiert werden. Das ist in vielen Firmen ein großes Politikum.
Lesetipp: Was bedeutet eigentlich Cyber Security?
Außerdem erkennt EDR Angreifer fast ausschließlich auf Betriebssystem-Ebene (Linux-, MacOS, Windows). Nutzen diese Lücken in der Anwendungsebene - zum Beispiel von speziellen Business-Applikationen wie SAP - aus, bleiben sie oft unentdeckt. Große Unternehmen setzen daher zunehmend auf eine Kombination aus beiden Lösungen. Sie ergänzen ihr bewährtes SIEM, um mittlerweile Enterprise-taugliche EDR-Technologien.
Schneller reagieren mit SOAR
Gleichzeitig nutzen Organisationen häufiger SOAR (Security Operations Automation Response), um die Reaktionszeit auf einen Angriff zu verkürzen. Ist eine SOAR-Plattform mit weiteren Quellen - etwa für ein automatisiertes, komplexes Event Enrichment oder mit Maßnahmen der Endpoint- oder Network-Security - verknüpft, ermöglicht sie eine automatisierte Analyse und Reaktion. Andere Unternehmen setzen auf UEBA (User Entity Behaviour Analytics), wobei das Verhalten des Nutzers über alle Systeme hinweg untersucht wird. Durch Erkennung von Abweichungen lassen sich kompromittierte User-Identitäten und Rechner effizient identifizieren.
Mit Know-how und Strategie erfolgreich
Unabhängig von den eingesetzten Lösungen sind stets Security-Analysten nötig, die bewerten, ob Anomalien tatsächlich Sicherheitsvorfälle sind oder es legitime Gründe für die Abweichungen gibt. Gleichzeitig bedarf es Spezialwissen, um alle Security-Werkzeuge zu konfigurieren, zu betreiben und zu nutzen. In Zeiten des Fachkräftemangels fehlen solche Fachkräfte jedoch an jeder Ecke. Hier helfen spezialisierte Dienstleister mit entsprechendem Know-how.
Lesetipp: IT-Security-Projekte – die Firewall im Fokus
Denn auch wenn heutzutage eine Vielzahl an Security-Lösungen am Markt existieren - ein wirksamer Schutz lässt sich nur erreichen, wenn eine zielgerichtete Cyber-Defence-Strategie verfolgt wird, alle Abteilungen eng zusammenarbeiten und die verwendeten Sicherheitstechnologien aufeinander abgestimmt sind.