Production Perig - stock.adobe.c
SOAR: Das Management von Cyberangriffen automatisieren
Die Bedrohungslandschaft entwickelt sich weiter und zeitgleich gilt es, die begrenzten Ressourcen gezielt einzusetzen. Die Behandlung relevanter Vorfälle muss strukturiert erfolgen.
Playbooks in der Cybersicherheit sind ein bewährtes Mittel, ein Beispiel hierfür ist ein Sicherheitsereignis in Form eines Phishing-Angriffs – ein Mitarbeiter öffnet eine mit einem Virus infizierte, angehängte Datei. Ein Playbook ist eine strukturierte Methode in der Sicherheitsüberwachung, um auf Angriffe zu reagieren. Für die meisten Unternehmen ist die Untersuchung von Cyberereignisse eine große Herausforderung. Sie müssen sich eine Reihe von Fragen stellen, und zwar in einer bestimmten Reihenfolge, um einen sicherheitsrelevanten Vorfall bestmöglich zu behandeln.
Untersuchung und Handhabung
SIEM (Security Information and Event Management) ist eine Security-Lösung, die alle Logdaten – die digitale DNA des Unternehmens – in Echtzeit sammelt und analysiert. So kann die Lösung Unregelmäßigkeiten in den Mustern des Datenverkehrs erkennen und Alarm schlagen, wenn es zu unangemessenem Nutzerverhalten kommt, das dem Unternehmen schaden könnte – sei es beabsichtigt oder unbeabsichtigt.
Die Abkürzung SOAR steht für Security Orchestration, Automation and Response. Während SIEM das System ist, das Daten sammelt, und es Unternehmen ermöglicht, Angriffe wie Phishing-E-Mails zu entdecken, stellt SOAR sicher, die Untersuchung und Behandlung dieser sicherheitsrelevanten Vorfälle zu strukturieren. Hierbei gibt es drei Herangehensweisen:
Orchestrierung: Einfache und unkomplizierte Verwaltung der verschiedenen Sicherheitstechnologien eines Unternehmens. Es ist egal, ob ein Benutzer gesperrt, ein sicherheitsrelevanter Vorfall untersucht oder eine E-Mail an die Personalabteilung gesendet werden muss.
Automatisierung: Wie viele Personen haben die betreffende Phishing-E-Mail erhalten? Automatisieren der Löschung aus den betroffenen Posteingängen.
Reaktion: Untersuchung, Unterbinden und Verhinderung der Wiederholung von Sicherheitsvorfällen.
Die strategische Bedeutung
Mit der Straffung und Automatisierung von Sicherheitsmaßnahmen adressieren Unternehmen eine große Herausforderung, mit der sie heute konfrontiert sind: Die Bedrohungslandschaft entwickelt sich ständig weiter – gleichzeitig wird es immer schwieriger, IT-Mitarbeiter mit der erforderlichen Sicherheitsexpertise zu finden und zu halten.
Sicherheitsmaßnahmen – im Zusammenspiel mit SOAR – werden sicht- und messbar. Damit wird die IT-Sicherheit zu einem eigenen, wertschöpfenden, strategischen Bereich und auch zu einem Wettbewerbsparameter unter Unternehmen. Die Technologie ermöglicht es, Daten zum Bedrohungsmanagement zu erfassen, um die Effizienz zu bewerten und Unternehmen nützliche Branchen-Benchmarks zu liefern.
Früher arbeiteten die Unternehmen im Bereich der IT-Sicherheit nach dem Prinzip der Brandbekämpfung. Trat ein sicherheitsrelevanter Vorfall auf, mussten die Security-Verantwortlichen alles andere stehen und liegen lassen.
Die Automatisierung ermöglicht es, strategisch vorzugehen – und dies hat verschiedene Auswirkungen für ein Unternehmen. Reicht es aus, dass das Phishing-Playbook des Unternehmens in 80 Prozent der Fälle erfolgreich war? Was wäre nötig, um noch besser zu werden? Jetzt kann ein CISO die IT-Sicherheit auf der Ebene der Geschäftsführung oder des Vorstands diskutieren, um ihnen die Unsicherheit zu nehmen, ob das Unternehmen ausreichend abgesichert und geschützt ist.
Das Management misst sich natürlich auch mit größeren, etablierten Unternehmen, die Opfer von Cyberangriffen werden. Früher lautete die Antwort des CISO an den Vorstand möglicherweise, dass 28 Phishing-E-Mails pro Tag blockiert wurden, oder dass das Unternehmen jetzt die teuerste Firewall auf dem Markt einsetzt. Aber das sind Aussagen, die wenig spezifisch und nicht wirklich sinnvoll sind.
Qualifizierte Dialoge führen
Mit einem Dashboard, das einen Überblick über die Wirksamkeit von Sicherheitsmaßnahmen bietet, unterstützt die Lösung Unternehmen dabei, die Lücke zu schließen, die ansonsten zwischen Cybersicherheit und Enterprise Risk Management (ERM) entstehen könnte. Unternehmen können sich so darüber bewusst werden, ob sie die richtigen Technologien einsetzen und die passenden Prozesse umgesetzt haben.
Sie können jetzt damit beginnen, sich mit anderen Unternehmen zu vergleichen, die möglicherweise erfolgreicher sind. Dies führt zu qualifizierten Dialogen zwischen dem CISO und den Risikoverantwortlichen. Ist das Budget für die IT-Sicherheit zu gering und werden zusätzliche Mitarbeiter benötigt? Verbesserungen sind messbar, es sind viel mehr Daten und echte Belege verfügbar, auf die neue, strategische Entscheidungen gestützt werden können. Neues Wissen entsteht. Sie erfassen und nutzen nicht mehr nur ihre Logdaten. Unternehmen können jetzt auch messen, wie gut ihre Organisation in der Lage ist, die sicherheitsrelevanten Vorfälle zu bewältigen, denen sie ausgesetzt ist.
„Die Kombination fortschrittlicher Technologien mit einem tiefgreifenden Verständnis der Herausforderungen, denen Unternehmen gegenüberstehen, lässt diese Security-Maßnahmen umsetzen und aktuelle wie auch künftige Bedrohungen bewältigen.“
Pascal Cronauer, LogPoint
Geschäftsanwendungen als Achillesferse
Geschäftskritische Anwendungen wie SAP sind in vielen Unternehmen eine Achillesferse, was durchaus überraschend ist: Bei einigen Unternehmen ist die IT-Sicherheit relativ ausgereift. Sie sind bereit, zu automatisieren und Playbooks einzuführen, um dem CISO ein Werkzeug für den Dialog mit der Geschäftsleitung und dem Vorstand an die Hand zu geben. Paradoxerweise sind die geschäftskritischen Anwendungen oft noch nicht so ausgereift, wie sie es sein sollten. Die Unternehmen digitalisieren im großen Maßstab, wobei geschäftskritische Systeme im Mittelpunkt stehen – aber die Hacker sind sich dessen bewusst. Dies konnten wir bei vielen der aktuellen Angriffe beobachten. Die Hacker greifen nach diesem Gold. Sie haben es auf die geschäftskritischen Anwendungen abgesehen.
Angreifer verbessern sich kontinuierlich
Der Grund für die immer häufigeren und immer präziseren Angriffe, bei denen hohe Lösegelder für die Entsperrung verschlüsselter Dateien gefordert werden, liegt vor allem in der zunehmenden Professionalisierung des Hacker-Ökosystems. Die Struktur der wirtschaftlichen Cyberkriminalität ähnelt allmählich der Struktur gewöhnlicher Technologieunternehmen.
Verschiedene Personen sind für den Betrieb, die Geschäftsbeziehungen, den Umsatz und die technologische Entwicklung verantwortlich. Das ist eine klassische wirtschaftliche Entwicklung. Cyberkriminelle organisieren sich in Richtung der Struktur, die sich als optimal erwiesen hat – und es steckt viel Geld in Ransomware-Angriffen, die Unternehmen vollständig blockieren und lähmen können.
Hackern ist die interne Organisation der Opfer egal
Das Problem besteht darin, dass häufig nicht die IT-Abteilung, sondern andere Abteilungen im Unternehmen für die geschäftskritischen Systeme zuständig sind. Es spricht nichts dagegen, dass eine große Wirtschaftsprüfungsgesellschaft die Systeme und Buchhaltung eines Unternehmens prüft, aber Hackern ist es egal, wie diese Systeme organisatorisch verankert sind. Es besteht ein massiver Entwicklungsbedarf für die geschäftskritischen Anwendungen, der in der IT im Allgemeinen bereits durchlaufen wurde.
Viele Unternehmen halten es für irrelevant, nach abweichendem Benutzerverhalten in SAP, ServiceNow oder Salesforce zu suchen, aber hier sind sensible, personenbezogene Daten, Kundendaten und andere vertrauliche Informationen gespeichert. Diese geschäftskritischen Anwendungen sind oftmals ein blinder Fleck. Wenn CFOs und Manager in anderen Geschäftsbereichen befragt werden, wie sie diese Daten schützen, geben sie oft schwammige Antworten, weil unklar ist, wer für diese geschäftskritischen Anwendungen verantwortlich ist.
Den Zugang demokratisieren
Technologien für die Automatisierung und Orchestrierung der Bedrohungsuntersuchung und der Abhilfemaßnahmen sind oftmals teuer und stehen nur sehr großen Unternehmen zur Verfügung. Es gibt Funktionen in einer Lösung für ein globales Fortune-50-Unternehmen, die für ein mittelständisches Unternehmen als irrelevant erachtet werden. Deshalb muss der Zugang zu diesen Technologien mit einer konvergenten Lösung demokratisiert werden.
Die Daten, die eine SIEM- und SOAR-Plattform sammelt, sind der Schlüssel zu Automatisierung und Benchmarking – und dies wird die Sicherheitsmaßnahmen der Unternehmen im Vergleich zu ihren heutigen Bemühungen erheblich verbessern. Wenn ein mittelgroßes Unternehmen noch nicht einmal über eine Sicherheitsorganisation verfügt, ist der Bedarf an Automatisierung vermutlich noch größer. Es ist daher von großem Vorteil für Unternehmen, mit an Bord zu kommen und von den gemeinsam genutzten Daten zu profitieren.
Fazit
Integrierte SIEM- und SOAR-Lösungen schaffen eine Plattform für die Cybersicherheit, die es Unternehmen und Organisationen ermöglicht, in einer Welt, in der sich Cyberbedrohungen kontinuierlich weiterentwickeln, effektiv zu arbeiten. Die Kombination fortschrittlicher Technologien mit einem tiefgreifenden Verständnis der Herausforderungen, denen Unternehmen gegenüberstehen, lässt diese Cybersecurity-Maßnahmen umsetzen und aktuelle wie auch künftige Bedrohungen bewältigen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
