IT-Teams mit automatisierten Sicherheitsinfos entlasten

Bedrohungen nehmen zu, doch es fehlt an qualifiziertem Sicherheitspersonal

Es ist längst kein Geheimnis mehr, dass es Organisationen immer mehr an Experten für die Cybersicherheit mangelt. Das gilt nicht nur für große Unternehmen, sondern auch für Behörden, welche zunehmenden Bedrohungen ausgesetzt sind.

Vor allem Behörden haben das Nachsehen, denn die freie Wirtschaft scheint für Spezialisten attraktiver zu sein. 700 freie Stellen in den Bundesministerien allein waren Anfang Februar 2020 unbesetzt. Der aktuelle Verfassungsschutzbericht warnt vor dem Einfluss von Hackern und deren Angriffskampagnen.

Auch nichtstaatliche Akteure nehmen in jüngster Zeit vermehrt öffentliche Einrichtungen ins Visier. Besonders im Gesundheitswesen konnten zuletzt verheerende Cyberattacken beobachtet werden. Allein letztes Jahr erfolgten Angriffe auf Krankenhäuser des Deutschen Roten Kreuzes im Saarland und in Rheinland-Pfalz, auf das Klinikum Fürth und diverse weitere.

In Anbetracht der ansteigenden Anzahl und Intensität von Angriffen und Malware ist der Mangel an qualifiziertem Personal im Bereich Cybersicherheit durchaus besorgniserregend. Behörden sind ebenso wie Unternehmen der Gefahr beträchtlicher wirtschaftlicher Schäden sowie Imageverlust ausgesetzt.

Was bei den Cyberattacken auf Behörden noch dazukommt ist, dass zusätzlich zu den bereits genannten Risiken auch Dienstleistungen für Bürger ausfallen und deren Daten gestohlen werden können.

Die Zahlen sprechen für sich

Studien von Enterprise Management Associates (EMA) und Demisto erheben besorgniserregende Daten:

• Security-Teams werden durchschnittlich mit 174.000 Alarmmeldungen pro Woche bombardiert, wovon allerdings nur 12.000 pro Woche bearbeitet werden können. (Demisto)
• Die durchschnittliche Zeit einen Vorfall zu bearbeiten beträgt 4,35 Tage. (Demisto)
• 54 Prozent der befragten Security-Experten fühlen sich dazu gezwungen, wichtige Alarmmeldungen zu ignorieren, da nicht genügend Personal oder nicht die Kenntnisse vorhanden sind diese nachzuverfolgen. (EMA)
• Analysten benötigen im Durchschnitt mehr als 30 Minuten, um einen kritischen Alarm zu bearbeiten, wobei die meiste Zeit verwendet wird zu erkennen, dass der Alarm fälschlicherweise als kritisch eingestuft wurde (46 Prozent), die Priorität falsch gesetzt wurde (52 Prozent) oder es sich um ein False-Positive handelt (31 Prozent). (EMA)

Steigerung der Effektivität und Effizienz

Da sich weder die Anzahl der verfügbaren Personen noch die erforderlichen Kenntnisse von heute auf morgen steigern lassen, müssen Unternehmen die Leistungsfähigkeit vorhandener Ressourcen steigern.

Threat-Intelligence-Plattformen (TIP) helfen Security-Teams dabei zeitintensive Arbeiten zu automatisieren und SOCs (Security Operations Center), Analysten oder Incident Respondern die richtigen Daten zur richtigen Zeit zur Verfügung zu stellen, um schnelle Entscheidungen zu treffen und gezielte Maßnahmen einzuleiten.

Moderne TIPs gehen weit über das traditionelle Bedrohungsdaten-Management hinaus. Vielmehr helfen Sie Security-Teams Arbeitsabläufe und Prozesse zu beschleunigen, sie agieren als Security-Operations-Plattformen. Folgende Schritte helfen, die Zeit zur Erkennung (Mean Time To Detect, MTTD) und Reaktion (Mean Time To Respond; MTTR) erheblich zu verkürzen:

1. Reduzierung von Datensilos

Security-Teams leiden seit langem unter dem „Big Data“-Problem. Viele Tools erzeugen viele Daten, welche jedoch meistens nicht an einem Ort zusammengefasst werden. Bei der Analyse eines Vorfalls haben Teams oft Schwierigkeiten, auf die richtigen Daten schnell zuzugreifen. Eine zentrale Bedrohungsdatenbank oder Threat Library, in welcher alle Bedrohungsinformationen aus internen und externen Quellen (Threat Data Feeds) automatisch gesammelt und gespeichert werden, ermöglicht einen schnellen Zugriff auf alle benötigten Daten.

2. Anreicherung der Daten mit Kontext

Gerade bei der Alert Triage, also der Überprüfung der Kritikalität eines Alarms, ist Kontext unerlässlich. Eine als schädlich eingestufte IP-Adresse ist ohne weitere Informationen eine große Herausforderung für einen Analysten. TIPs helfen dabei, Daten automatisch mit Kontext anzureichen. Die Schädlichkeit der IP-Adresse wird damit entweder bestätigt oder verneint, Fehlalarme oder auch False Positives werden dadurch erheblich schneller erkannt.

3. Priorisierung von Bedrohungsdaten

Mit Kontext angereicherte Daten können priorisiert werden. Ein Scoring-System hebt für das eigene Unternehmen kritische Daten hervor, reduziert das Rauschen und hilft Analysten und Incident Respondern sich auf die relevanten Bedrohungen zu konzentrieren.

„Die Sicherheit innerhalb von Unternehmen steht und fällt mit den qualifizierten IT-Security-Spezialisten, die sie betreiben und für den sicheren und reibungslosen Ablauf aller relevanten Prozesse sorgen.“

Markus Auer, ThreatQuotient

4. Lösungshilfen

Neben der Analyse eines Vorfalls gehört die Entscheidung welche Aktion getroffen werden muss zu den schwierigsten Aufgaben. Hierbei werden normalerweise tiefe Erkenntnisse und Erfahrungen vorausgesetzt, welche oftmals nicht vorhanden sind. TIPs helfen Incident Respondern durch Lösungsvorschläge, welche zum Beispiel über Daten aus dem MITRE ATT&CK Framework eingespielt werden, die richtigen Maßnahmen zu ergreifen.

5. Kollaboration

Grundsätzlich ist eine der wichtigsten Maßnahmen zur Steigerung von Effektivität und Effizienz von Security-Teams die Verbesserung der Zusammenarbeit. Personen haben unterschiedliche Aufgaben und benötigen unterschiedliche Daten.

Zudem kommt es häufig vor, dass zur Analyse eines Vorfalls mehrere Personen gleichzeitig benötigt werden. Hierbei ist es essenziell, dass alle beteiligten Personen sich schnell einen Überblick verschaffen und auf gemeinsame Daten zugreifen können.

Moderne TIPs und Security-Operations-Plattformen können als Grundlage der Zusammenarbeit dienen, über welche Daten visualisiert und Abhängigkeiten grafisch dargestellt werden. Ein virtueller War Room dient hier als zentraler Ort, um gemeinsame Entscheidungen zu treffen.

Fazit

Die Sicherheit innerhalb von Unternehmen steht und fällt mit den qualifizierten IT-Security-Spezialisten, die sie betreiben und für den sicheren und reibungslosen Ablauf aller relevanten Prozesse sorgen. Obwohl es immer noch nicht genügend Fachkräfte gibt, um alle vakanten Stellen in den IT-Sicherheitsabteilungen zu füllen, gibt es Mittel und Wege, um dem Expertenmangel entgegenzuwirken.

Threat-Intelligence-Plattformen gewährleisten eine nahtlose Integration sicherheitsrelevanter Prozesse sowie Möglichkeiten, um Informationen zu Angriffen und Bedrohungen schnell und automatisiert zu sammeln und zu verteilen. 

Trotz Technik sind sowohl Unternehmen als auch staatliche Organisationen auf Experten in Sachen Cybersicherheit angewiesen. Der Faktor Mensch wird neben allen technischen Hilfsmitteln der wichtigste Faktor im Kampf gegen Cyberangriffe sein. Diese Ressourcen gilt es in Zukunft auszubauen und zu stärken.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.