Die Transformation des SOC - Bereits heute die Security Operations von morgen gestalten - Mimecast

Die Seite wird erstellt Hanno Hoppe
 
WEITER LESEN
Die Transformation des SOC - Bereits heute die Security Operations von morgen gestalten - Mimecast
Die Transformation
des SOC
Bereits heute die Security
Operations von morgen gestalten
Die Transformation des SOC - Bereits heute die Security Operations von morgen gestalten - Mimecast
Einführung                                                                                                                       Funktionsumfang des SOC
                                                                                                                                 Interne SOC-Teams legen in der Regel               zur Verwaltung der Vorfallreaktionen wie           2
                                                                                                                                                                                                                                         Security information and event
                                                                                                                                                                                                                                         management (SIEM), TechTarget
                                                                                                                                 nicht die Sicherheitsstrategie für das             Malware-Analyse, forensische Analyse               3
                                                                                                                                                                                                                                          SOAR (Security Orchestration,
Wie stellen Sie sich ein Security Operations Center (SOC) vor? Handelt                                                           gesamte Unternehmen fest. Vielmehr                 und Ursachenanalyse, Lösungen zur                    Automation and Response),
                                                                                                                                                                                                                                         TechTarget
es sich um ein straff organisiertes Team von Sicherheitsanalytikern und                                                          sind sie für die Ausführung der laufenden          Bedrohungsaufklärung sowie allgemeine              4
                                                                                                                                                                                                                                           What is a Security Operations
                                                                                                                                 Datensicherheitsmaßnahmen ihres                    Berichterstattung im Rahmen von Compliance-          Center (SOC)? – Digital Guardian

-technikern, die Vorfälle erkennen, analysieren und darauf reagieren                                                             Unternehmens und die Überwachung der               Anforderungen einsetzt, dann verfügt sie sehr
sowie zur Umsetzung der Sicherheitsstrategie des Unternehmens Hand                                                               Angriffsfläche zuständig. Vorgegeben wird die      wohl über den Funktionsumfang eines SOC. Und
                                                                                                                                 Cybersicherheitsstrategie von den zuständigen      solange Organisationen Daten erfassen und
in Hand mit den Führungskräften der Fachabteilungen arbeiten? Oder                                                               Führungskräften – CTOs, CSOs und CISOs –, die      zentral speichern können – sei es für das eigene
um eine überschaubare Anzahl von Analysten, die den ganzen Tag lang                                                              dem SOC die erforderlichen Systeme und Tools       Team oder für einen externen MSP –, können die
                                                                                                                                 zu ihrer Umsetzung bereitstellen: Endpoint         Sicherheitsbeauftragten ihre Funktion effektiv
damit beschäftigt sind, Sicherheitsprobleme reaktiv, punktuell und                                                               Security, Firewalls, SIEMs,2 SOARs,3 usw. Im SOC   erfüllen.
ohne strategische Priorisierung zu beheben?                                                                                      arbeiten Sicherheitsanalytiker gemeinsam an
                                                                                                                                                                                    Unabhängig davon, ob ein SOC intern verwaltet
                                                                                                                                 der Erkennung, Analyse, Abwehr, Meldung und
                                                                                                                                                                                    oder extern von einem MSP betrieben wird,
                                                                                                                                 Verhinderung sicherheitsrelevanter Vorfälle.4
                                                                                                                                                                                    sind bei der Abwägung der Vor- und Nachteile
                                                                                                                                 „Daten sind das Lebenselixier des SOC“, so         des jeweiligen Ansatzes drei Hauptpunkte zu
                                                                                                                                 Michael Madon, der als Senior Vice President und   bedenken. Jedes SOC braucht Mitarbeiter, und
                                                                                                                                 General Manager bei Mimecast für Produkte zur      angesichts des weltweiten Fachkräftemangels
                                                                                                                                 Verbesserung von Sicherheitsbewusstsein und        im Bereich der Cybersicherheit ist die
Nun stellen Sie sich eine dritte Alternative vor:   Diese Lösungsvielfalt und die                 1
                                                                                                   How Does Mimecast Help        Bedrohungsaufklärung verantwortlich ist. „Diese    Berücksichtigung der menschlichen
Handelt es sich vielleicht um einen Managed         unternehmenskritische Rolle des SOC bei       Improve the Performance of     Präventivsysteme sind wichtige Datenquellen, die   Komponente von vorrangiger Bedeutung.
                                                                                                  Security Operations Centers?
Services Provider (MSP), der ein externes SOC       der Erkennung und Abwehr potenzieller                                        das SOC bei der Erfüllung der Erfolgskennzahlen    Jedoch können die IT-Sicherheitsbeauftragten
unter Einhaltung spezifischer Erfolgskennzahlen     Bedrohungen waren Hauptthemen des                                            und der Verbesserung der Früherkennungsquote       diese Herausforderungen nicht allein bewältigen,
und Leistungsvorgaben betreibt?                     Cyber Resilience Think Tank (CR Think Tank)                                  unterstützen, Kontext für Integrationen liefern    zumal böswillige Akteure zunehmend
                                                    bei der RSA Conference im Februar 2020.                                      und eine schnellere Bedrohungsabwehr               hochentwickelte Malware und andere
In Bezug auf das menschliche Element
                                                    Im Mittelpunkt standen dabei die Vor- und                                    ermöglichen.“                                      Technologien gegen Unternehmen einsetzen.
der Teamführung, die Formulierung
                                                    Nachteile interner und externer Modelle                                                                                         Unabhängig von der konkreten Struktur des SOC
einer effektiven Cybersicherheitsstrategie                                                                                       Vor diesem Hintergrund ist die Integration
                                                    sowie die Identifizierung erfolgreicher                                                                                         muss die Unternehmensführung entsprechend in
und die zugrundeliegenden Tools und                                                                                              mit SIEM- und SOAR-Systemen ein
                                                    Ansätze. Dem unabhängigen CR Think                                                                                              Technologie und Automatisierung investieren.
Technologien bieten sich quasi unbegrenzte                                                                                       ausschlaggebender Faktor für die Effizienz und
                                                    Tank gehören Einflussnehmer aus der                                                                                             Die dritte und letzte Frage lautet: Welche
Kombinationsmöglichkeiten. Allzwecklösungen                                                                                      Effektivität des SOC.
                                                    Branche an, die gemeinsam praxisbasierte                                                                                        Prozesse und Effizienzen kann die Verbindung
gibt es beim Aufbau und Betrieb eines SOC nicht:
                                                    Ratschläge und Lösungsmöglichkeiten für die                                  Das gilt selbstverständlich gleichermaßen für      von Fachpersonal und Automatisierungstools
Das Erfolgsrezept des einen Unternehmens
                                                    Herausforderungen erarbeiten, vor denen                                      Unternehmen, die ihr SOC von einem MSP             freisetzen? Wie steuern Sie Ihr Team auf
würde beim anderen womöglich scheitern.1
                                                    Unternehmen beim Thema Cyber Resilience                                      betreiben lassen. Extern betriebene SOCs sollten   Erfolgskurs?
Wieder andere Organisationen bewältigen die
                                                    stehen.                                                                      in enger Zusammenarbeit mit den internen
Herausforderungen der Erkennung und Abwehr
                                                                                                                                 IT-Sicherheitsbeauftragten Berichte erstellen,
von Bedrohungen sogar ohne ein SOC.
                                                                                                                                 Schlüsselkennzahlen wie Verweildauer von
                                                                                                                                 Angriffen und Protokollstatus austauschen und
                                                                                                                                 Empfehlungen zur Verbesserung der Ergebnisse
                                                                                                                                 erarbeiten.

                                                                                                                                 Als weiterer wichtiger Faktor ist dabei zu
                                                                                                                                 berücksichtigen, dass viele Organisationen
                                                                                                                                 zwar von sich behaupten würden, sie hätten
                                                                                                                                 kein SOC. Wenn eine derartige Organisation
                                                                                                                                 jedoch Funktionen zur Überwachung, Erkennung
                                                                                                                                 und Ermittlung von Sicherheitsvorfällen und
                                                                                                                                 Priorisierung von Warnungen, Verfahren

                                                             2                                                                                                                                3
Die Transformation des SOC - Bereits heute die Security Operations von morgen gestalten - Mimecast
Die
                                      Bei der derzeitigen Entwicklungsgeschwindigkeit     5
                                                                                            Strategies for Building & Growing
                                                                                            Strong Cybersecurity Teams,
                                      der Wirtschaft müssten wir die Belegschaft um         (ISC)2 Cybersecurity Workforce
                                      145% aufstocken, um die Lücke zu schließen.           Study
                                                                                          6
                                                                                             Artificial Intelligence (AI) and
                                      Manche Führungskräfte nutzen intensive                Security: A Match Made in the
                                      Weiterbildungsprogramme, um sowohl die                SOC, IBM Security

                                      Cybersicherheit des Unternehmens als auch

Komponente
                                      die Moral der Mitarbeiter zu stärken. Unter
                                      diesen Umständen erweist sich die Rekrutierung
                                      qualifizierter Mitarbeiter zur Besetzung von SOCs
                                      zunehmend als Herausforderung: Der Mangel
                                      an Analysten auf allen Ebenen führt leicht zur
                                      Überarbeitung und Überforderung der in einem
                                      Unternehmen vorhandenen Analysten. Die Folge:
                                      sinkende Motivation und hohe Fluktuation.6

Mensch
                                       „Kompetenzen sind für uns der wichtigste Faktor
                                      überhaupt“, bekräftigt Claus Tepper, der bei der
                                      Absa Group die Abteilung für Cybersicherheit
                                      leitet. „Hier in Südafrika haben wir genau wie
                                      in anderen Ländern auch ein grundlegendes
                                      Problem, die richtigen Mitarbeiter ins Boot zu
                                      holen.“ Zur Lösung dieses Problems gründete
                                      man bei Absa eine Akademie zur Aus- und
                                      Weiterbildung von Nachwuchskräften. Dieses
                                      Konzept hat sich als unbedingt notwendig
  Dass in der Cybersicherheit ein     und überaus erfolgreich bewährt. Allerdings
                                      hat sich ebenfalls herausgestellt, dass sich die
  eklatanter Fachkräftemangel         erforderlichen Kompetenzen für den effizienten
  herrscht, ist nicht nur allgemein   Betrieb eines SOC nicht über Nacht antrainieren
                                      lassen, sondern im Laufe mehrerer Jahre
  bekannt, sondern auch               erarbeitet werden müssen.
  wissenschaftlich nachgewiesen.
  Eine Studie des (ISC)2 aus dem      Fachkräftemangel der USA im
  Jahr 2019 kam zu dem Ergebnis,      Bereich Cybersicherheit:

                                      500.000
  dass allein in den USA ca. eine
  halbe Million Experten für
  Cybersicherheit fehlen. Weltweit
  wird die Lücke anhand von
  Schätzungen für elf der größten
  Volkswirtschaften auf knapp über    Weltweiter Fachkräftemangel
  vier Millionen beziffert.5          im Bereich Cybersicherheit

                                      mehr als 4 Millionen

                           4                     5
Die Transformation des SOC - Bereits heute die Security Operations von morgen gestalten - Mimecast
Im Unternehmen Cybereason führte der                Bei Cymatic setzt Chief Security und Trust          „Ein externes SOC kann problemlos einzelne           Die Frage, welches SOC-Modell am besten
                      Sicherheitschef Sam Curry ein Ausbildungs-          Officer Malcolm Harkins auf die Weiterbildung       Vorfälle in Ihrem Auftrag bearbeiten“, so            ist – intern, extern oder eine Mischform –,
                      und Weiterbildungsprogramm ein, da er der           vorhandener Mitarbeiter. Diese sei zwar mit         Small. „Wenn Sie jedoch quasi sämtliche              wird sich wohl niemals lösen lassen. In einem
                      Überzeugung war, dass die Sicherheitsexperten       etwas Zeit und Mühe verbunden, aber durchaus        Schmerzrezeptoren auslagern, verlieren Sie           Punkt sind sich die Experten jedoch einig:
                      mehr Vielfalt sowie kreatives Denken unter den      zielführend:                                        womöglich die Fähigkeit, Muster und breitere         Je besser SOC-Analysten und -Techniker
                      Bewerbern fördern müssen. Im Rahmen dieses                                                              Trends zu erkennen und entsprechend zu               auf die Cybersicherheitsstrategie sowie die
                                                                          „Struktur steuert Verhalten“, davon ist
                      Programms kommt eine solche Förderung                                                                   reagieren.“                                          Geschäftsabläufe und -ziele Ihres Unternehmens
                                                                          Harkins überzeugt. „Wir haben kreative
                      jeweils fünf aufstrebenden Analysten ohne                                                                                                                    abgestimmt sind, desto stärker ihr intrinsisches
                                                                          Ansätze ausprobiert, damit die Mitarbeiter          Er warnt: „Selbst wenn Sie einen externen
                      technische Qualifikation zugute. Curry merkt an,                                                                                                             Engagement. Die besten Ergebnisse erzielen
                                                                          aus ihrem Alltagstrott rauskommen, wie z.           Anbieter dafür bezahlen, um sich mit Ihren
                      dass Sicherheitstools für Chefanalysten (Tier 3)                                                                                                             Sie, wenn die Leistungskennzahlen des
                                                                          B. Jobrotationen zwischen Teams oder auch           Problemen zu befassen, nimmt dieser nicht
                      konzipiert würden, die sich die Denkweise der                                                                                                                SOC in einem unmittelbaren Bezug zu den
                                                                          Werksbesuche für IT-Sicherheitsbeauftragte und      unbedingt das große Ganze in den Blick, so wie
                      Bedrohungsakteure zu eigen gemacht hätten                                                                                                                    Sicherheitsanforderungen des
                                                                          Führungskräfte. Sobald man den Mitarbeitern         es interne Mitarbeiter tun würden.“
                      und entsprechend nach dem Motto „Vertrauen                                                                                                                   Unternehmens stehen.
                                                                          die unternehmenskritische Bedeutung und
                      ist gut, Verifizierung ist besser“ an Systeme und                                                       Neu ist das Konzept der Visualisierung und
                                                                          besonderen Anforderungen einer Funktion
                      Daten herangingen. Vor diesem Hintergrund                                                               Analyse von Bedrohungstrends natürlich nicht
                                                                          nahebringt, sind sie in der Regel schwer
                      sei es erforderlich, das Fachwissen dieser                                                              – seine Umsetzung kann sich jedoch schwierig
                                                                          beeindruckt.
                      Sicherheitsexperten durch eine Kombination                                                              gestalten, wenn die hohe Anzahl der Vorfälle
                      aus Automatisierung, unterschiedlichen              Wenn das bei zwei Mitarbeitern gelänge,             sich nicht mehr von menschlichen Arbeitskräften
                      Denkansätzen und ein heterogenes Team von           meint Harkins, „verbreiten sie die Botschaft        alleine bewältigen lässt. Viel zu oft meldeten
                      Mitarbeitern zu ergänzen.                           per Mundpropaganda“. Dabei sei es                   externe SOCs einen Vorfall erst drei oder vier
                                                                          allerdings wichtig, dass die Kompetenzen            Stunden später, moniert der Chief Information
                                                                          geeigneter Mitarbeiter aus den Technik- oder        Security Officer bei Rapid7, Shawn Valle. Für ihn
                                                                          Sicherheitsteams zwar zur Bereitstellung            sei das nicht hinnehmbar.
                                                                          zusätzlicher Kapazitäten bei Auslastungsspitzen
                                                                                                                              „Dabei wissen wir doch alle, dass Ransomware
                                                                          eingesetzt, anschließend jedoch möglichst
                                                                                                                              oder anderer schädlicher Code sich innerhalb von
Struktur steuert                                                          zeitnah wieder ihren eigentlichen Aufgaben
                                                                          zugeführt werden. Dies erfordere Disziplin, sonst
                                                                                                                              Millisekunden im gesamten Netzwerk verbreiten
                                                                                                                              kann“, so Valle. „Das wird dann zumeist auf die
Verhalten                                                                 „werden immer alle in die Aufgaben des SOC
                                                                          hineingezogen“.
                                                                                                                              Überlastung der Mitarbeiter geschoben – aber im
Malcolm Harkins, Chief Security & Trust Officer von Cymatic                                                                   Grunde ist es so, als hätte man eine Alarmanlage,
                                                                          MSPs, die externe SOCs betreiben, haben ebenso      die erst losgeht, nachdem die Polizei bereits Ihre
                                                                          mit dem Fachkräftemangel zu kämpfen wie             Angaben aufgenommen und den Tatort wieder
                                                                          traditionelle Unternehmen.                          verlassen hat.“

                                                                          Für den Chief Security Officer bei ZeroFOX,                                                                 Selbst wenn Sie einen externen
                                                                          Dr. Sam Small, ist die Entscheidung zwischen
                                                                          externem und internem SOC kein Entweder/oder,                                                               Anbieter dafür bezahlen, um
                                                                          sondern eher ein sowohl/als auch.
                                                                                                                                                                                      sich mit Ihren Problemen zu
                                                                                                                                                                                      befassen, nimmt dieser nicht
                                                                                                                                                                                      unbedingt das große Ganze
                                                                                                                                                                                      in den Blick, so wie es interne
                                                                                                                                                                                      Mitarbeiter tun würden.
                                                                                                                                                                                      Dr. Sam Small, Chief Security Officer von ZeroFOX

                                                              6                                                                                                                                  7
Die Transformation des SOC - Bereits heute die Security Operations von morgen gestalten - Mimecast
Technologie und
                                                                                                             wertvolle Hilfestellung leisten, indem mithilfe der   Leistung anhand unterschiedlicher Kennzahlen.
                                                                                                             erfassten Daten eine ganzheitliche Sicht auf die      In späteren Phasen, so die Mitglieder des CR
                                                                                                             – interne oder externe – Sicherheitsumgebung          Think Tank, lasse sich mithilfe solcher Tools
                                                                                                             ermöglicht wird.                                      eine Gesamtübersicht des Sicherheitskonzepts

Automatisierung
                                                                                                                                                                   erstellen – und zwar in zwei unterschiedlichen
                                                                                                             Für neuere Unternehmen bzw. solche, die bereits
                                                                                                                                                                   Versionen für technisch mehr oder weniger
                                                                                                             über ein überzeugendes Sicherheitskonzept
                                                                                                                                                                   versierte Zielgruppen (Analysten bzw.
                                                                                                             verfügen, hat Valle Empfehlungen für eine
                                                                                                                                                                   Geschäftsführung).
                                                                                                             erfolgreiche Automatisierung parat. Zwar handle
                                                                                                             es sich dabei zumeist um einen laufenden              Madon zufolge lässt sich dadurch ein
                                                                                                             Dialog; jedoch sei es in der Regel ratsam, die        Kommunikationsfluss in beide Richtungen
                                                                                                             Automatisierung als erstes in Angriff zu nehmen.      fördern – über das Potenzial unterschiedlicher
                                                                                                                                                                   Tools zur Herbeiführung eines Kulturwandels,
    Im Jahr 2020 wäre es undenkbar, über Strategien zur Verbesserung,                                        „Software-Entwickler fangen mit den APIs an und
                                                                                                                                                                   über bevorstehende Veränderungen und
                                                                                                             bauen darauf die Benutzeroberfläche auf. Dieser
    Beschleunigung und Effizienzsteigerung im Bereich IT-Sicherheit zu                                       Ansatz ist auch für SOC-Teams erwägenswert“,
                                                                                                                                                                   natürlich auch über deren Auswirkungen auf das
                                                                                                                                                                   Produkt und das Unternehmen insgesamt.
    sprechen, ohne Automatisierung, maschinelles Lernen und künstliche                                       meint er. „Die Strategie, von Anfang an mit
                                                                                                             Automatisierung zu arbeiten, stärkt unserer           Trotz allem verlangt die Akzeptanz von
    Intelligenz zu erwähnen. Tatsächlich bergen Automatisierungstools das                                    Überzeugung nach die Analysten und befähigt           Automatisierung – genau wie jeder andere
    Potenzial einer erheblichen Arbeitserleichterung durch Reduzierung                                       sie zu besseren Leistungen; sie führt keineswegs      Kulturwandel auch – den betroffenen
                                                                                                             zum Abbau von Arbeitsplätzen.“                        Unternehmen viel ab. Das gilt erst recht dort, wo
    von Alarmmüdigkeit, Steigerung der Produktivität und Verkürzung der                                                                                            die Silo-Mentalität fest verwurzelt ist und es mit
                                                                                                             In vielen Unternehmen kämen Tools und
    durchschnittlichen Behebungszeit.                                                                        Automatisierung erst zu spät ins Spiel, so Valle
                                                                                                                                                                   der Kommunikation zwischen unterschiedlichen
                                                                                                                                                                   Geschäftsbereichen hapert. Sue Lapierre, Vice
                                                                                                             weiter. Besser sei es, diese von vornherein in die
                                                                                                                                                                   President für Information Security bei Prologis,
    Der CR Think Tank schließt sich jedoch den        Compliance und Datenschutz zuständig ist.              Unternehmenskultur zu integrieren, damit diese
                                                                                                                                                                   betont, wie wichtig es sei, die Dringlichkeit der
    Warnungen anderer Cybersicherheitsexperten                                                               zu einem natürlichen Bestandteil sämtlicher
                                                                                                                                                                   Lage zu vermitteln.
    vor einer unzureichend durchdachten               „Meiner Ansicht nach sind wir jetzt an dem Punkt       Arbeitsabläufe würden.
    Automatisierung an. Curry hält es für unbedingt   angelangt, wo es demnächst KI-Cyberanalysten                                                                 „Man muss den Fachabteilungen unbedingt
                                                      geben wird“, so Stebila. „Tatsächlich ist es bereits   Bei ZeroFOX will Dr. Small die Akzeptanz der
    erforderlich, das Bewusstsein für die Schwächen                                                                                                                klarmachen, dass Cybersicherheit eine ständige
                                                      soweit. Unternehmen wenden maschinelle                 Automatisierung durch einen Kulturwandel
    der Automatisierung zu schärfen: Je mehr                                                                                                                       Aufholjagd ist“, mahnt sie an. „Und dass die
                                                      Lernalgorithmen auf Entscheidungen an, die             fördern. Er setzt dabei auf eine Demokratisierung
    Aufgaben ein Unternehmen automatisiere,                                                                                                                        böswilligen Akteure ihre Taktiken andauernd
                                                      Analysten auf unterer und mittlerer Ebene (Tier 1      der Automatisierung im Bereich Cybersicherheit.
    desto einfacher könnten böswillige Akteure die                                                                                                                 ändern und wir da mithalten müssen. Wenn
                                                      und 2) für jeden einzelnen Vorfall aus den letzten     Dazu müsse jedoch die zugrundeliegende Logik
    Strategie durchschauen.                                                                                                                                        das Unternehmen also z. B. ein neues Produkt
                                                      fünf Jahren treffen. Die Analysten können sich         auch den Team- und Abteilungsleitern auf
                                                                                                                                                                   oder eine Dienstleistung auf den Markt bringt,
    „Im Grunde ist die Automatisierung selbst eine    derweil anderen Aufgaben widmen. Aufgaben,             unterer Führungsebene offengelegt werden. Im
                                                                                                                                                                   stellt sich sofort die Frage: Wie können wir es
    Schwachstelle“, meint Curry. „Es ist notwendig,   die einen menschlichen Mitarbeiter in jeder            Klartext: Große wie kleine Unternehmen neigen
                                                                                                                                                                   schützen?“
    die blinden Flecken in pseudozufälligen           Arbeitsstunde fünf oder zehn Minuten kosten,           zur Geheimniskrämerei, wenn es um die SOC-
    Intervallen zu überprüfen, um zu erkennen, wer    bewältigt der KI-Cyberanalyst innerhalb einer          Strategie geht.                                       Vermeiden ließe sich diese Aufholjagd nur, wenn
    sich dort versteckt, sonst wird die Maschine      Nanosekunde.“                                                                                                Fachabteilungen und IT-Sicherheitsbeauftragte
                                                                                                             Wenn CISOs jedoch in der Lage sind,
    vorhersehbar und damit leicht zu manipulieren.                                                                                                                 proaktiv Hand in Hand arbeiten.
                                                      Stebila zufolge gehen viele dieser Unternehmen         technologiebezogene Entscheidungen
    Entsprechend darf Automatisierung nicht zum                                                              transparenter zu machen, trägt dies zur
    Selbstzweck werden, sondern muss dazu dienen,     davon aus, dass es künftig möglich sein wird,
                                                      KI-Datenanalysten zur Prävention und sofortigen        Erweiterung der Perspektive bei, bezieht andere
    die Effektivität der menschlichen Arbeitskräfte                                                          Entscheidungsträger in den Prozess ein und baut
    zu steigern und den Wert ihrer Ergebnisse zu      Blockierung von Angriffsversuchen einzusetzen.
                                                                                                             Hemmschwellen gegenüber der Automatisierung
    verbessern, ohne dass das gesamte System          Das klingt und ist sehr ambitioniert –                 ab. Über fällige Aktualisierungen einzelner
    dadurch geschwächt wird.“                         Unternehmen, die nicht über eine solide Talent-        Tools oder Funktionen zur Minderung von
    Im Mittelpunkt müsse das Bestreben                Pipeline an Analysten auf unterer und mittlerer        Schwachstellen und Überprüfung toter Winkel
    stehen, Automatisierung zur Aufwertung der        Ebene (Tier 1 und 2) verfügen oder deren               sollten die Leiter der Fachabteilungen sowieso
    menschlichen Arbeitskraft einzusetzen, meint      Vorfallsmanagement in den letzten paar Jahren          auf dem Laufenden gehalten werden.
    auch Maurice Stebila, der als CISO bei der        zu wünschen übrig ließ, sollten sich auf die
                                                      Schaffung dieser unverzichtbaren Grundlagen            Zur Diskussion stand außerdem die Nutzung
    Samsung-Tochter HARMAN für strategische                                                                  von Tools zur Datenvisualisierung bzw. die
    Beratung in den Bereichen Cybersicherheit,        konzentrieren, bevor sie sich auf irgendwelche KI-
                                                      Implementierungen einlassen. Ein SIEM kann hier        Erstellung von Dashboards zur Messung der SOC-

                                        8                                                                                                                                     9
Prozesse
                                                                                                           „Eine Zusammenarbeit zwischen dem                   „Anstatt jediglich ein Zeitziel für den gesamten
                                                                                                           Netzwerk- und dem Sicherheitsteam kann              Zyklus festzulegen, sollte man analysieren, wie
                                                                                                           durchaus fruchtbar sein, weil eine Menge            viel Zeit jeweils zur Behebung der einzelnen
                                                                                                           Kommunikationsbedarf besteht“, so Stebila.          Probleme benötigt wird“, fordert Curry. „Sonst

und Effizienz
                                                                                                           „Wenn beide Teams zusammenbringen, nützt            führt es dazu, dass man sich nur um eine
                                                                                                           das dem Unternehmen – denn wenn der                 schnellere Erkennung statt um eine kürzere
                                                                                                           Server ausfällt, ist es aus Sicht der betroffenen   Verweilzeit bemüht – so lässt sich die Gesamtzeit
                                                                                                           Fachabteilungen unerheblich, ob es sich um          natürlich auch reduzieren. Indes sollten wir
                                                                                                           einen sicherheitsrelevanten Vorfall handelt,        darauf achten, dass sämtliche Phasen des Zyklus
                                                                                                           der durch einen Virus verursacht wurde, oder        gleichermaßen berücksichtigt werden.“
                                                                                                           ob ein Ventilator kaputt ist. Gemeinsam sollte
                                                                                                           es den beiden Teams gelingen, das Problem zu
    Mittlerweile besteht weitgehend Einigkeit darüber, dass                                                beheben.“

    eine Kombination aus Analysten auf verschiedenen Ebenen                                                Allerdings sollten die verantwortlichen
                                                                                                           Führungskräfte unbedingt darauf achten, dass
    sowie Automatisierungs- und Orchestrierungstools am                                                    Sicherheitsprobleme nicht durch operative Fragen       Anstatt jediglich ein Zeitziel
    ehesten geeignet ist, die Effizienz eines – extern oder intern                                         überlagert werden.

    betriebenen – SOC zu gewährleisten.                                                                    Dies sei vor allem in größeren Unternehmen
                                                                                                                                                                  für den gesamten Zyklus
                                                                                                           an der Tagesordnung, wie Harkins berichtet.
                                                                                                           Die Folge: eine potenzielle Überlastung der
                                                                                                                                                                  festzulegen, sollte man
    Damit ist das Thema jedoch keineswegs erledigt.    und bewältigt werden. James Lugabihl, Senior
    Bei vielen Unternehmen wird der Ansatz             Director of Execution Assurance bei ADP, wies auf   Analysten, die dadurch zudem leicht von ihren          analysieren, wie viel Zeit
    verfolgt, Agilität bzw. Kommunikation zwischen     die Bedeutung einer GRC-Plattform (Governance,      eigentlichen Kernaufgaben der Erkennung und
    verschiedenen Teams durch physische Nähe zu        Risk and Compliance) als zuverlässige zentrale      Abwehr von Bedrohungen abgelenkt würden.               jeweils zur Behebung der
                                                                                                           Seine Empfehlung lautet, die Teams zwar in
    fördern. So kann es gerade bei kleineren bzw.
    jüngeren Unternehmen durchaus sinnvoll sein,
                                                       Datenquelle für das SOC hin. Auf diese Weise
                                                       lasse sich die Integration von Cybersicherheits-    physischer Nähe zueinander zu platzieren, dabei        einzelnen Probleme
                                                                                                           jedoch eine strukturelle und operative Trennung
    die für Erkennung und Abwehr zuständigen
    SOC-Teams in unmittelbarer Nähe des
                                                       und Betrugsvorfällen, Compliance-
                                                       Anforderungen usw. gewährleisten.                   zu gewährleisten. Soweit möglich, sollte zudem         benötigt wird.
    Produktentwicklungsteams zu platzieren, um                                                             durch teamübergreifende Jobrotationen                  Sam Curry, Chief Security Officer von Cybereason
                                                       Umgekehrt ist es gerade bei den bereits             der Austausch und Aufbau von Fachwissen,
    beim iterativen Verfahren zur Entwicklung neuer
                                                       erwähnten größeren Unternehmen mit Silo-            Kompetenzen und gegenseitiger Achtung
    Tools einen ständigen Austausch zu fördern.
                                                       Mentalität und unzureichender Kommunikation         gefördert werden.
    Dieser Ansatz kann auch dazu beitragen, das        zwischen den Geschäftsbereichen eher                                                                    Tepper zufolge lässt sich tendenziell eine
    Ticketmanagement zwischen Produkt und              üblich, SOCs und Network Operations Centers         Effizienz und Leistungskennzahlen werden            Verbesserung sämtlicher Leistungskennzahlen
    SOC zu optmieren. Diesen Ansatz halten die         (NOC) zusammenzulegen. Curry stimmt zu,             für Sicherheits- und operative Teams separat        erzielen, wenn Sicherheitschefs ihre Analysten
    Sicherheitsexperten des CR Think Tank durchaus     dass diese beiden Bereiche logischerweise           gemessen. Schließlich sind alte und neue, große     zur Weiterbildung in anderen Bereichen
    für sinnvoll. Als fiktives Beispiel wurde in der   zusammengehören. Die Mitglieder des CR Think        und kleine Unternehmen gleichermaßen bemüht,        anspornen und entsprechende Angebote – etwa
    Diskussion ein Vorfall genannt, der sich als       Tank sind sich jedoch einig, dass dieser Ansatz     ihre Budgets für Technologieinvestitionen           in Form einer Akademie oder einer Zertifizierung
    operatives Problem entpuppt; aufgrund der          nur unter bestimmten Rahmenbedingungen              und Personalkosten möglichst effektiv               – bereitstellen.
    physischen Nähe der Sicherheitsbeauftragten        erfolgreich ist.                                    einzusetzen, und definieren die entsprechenden
                                                                                                                                                               Staatliche Behörden können durch externe
    zum operativen Team könnten Abnormalitäten in                                                          Erfolgskennzahlen auf der Basis dieser Faktoren.
                                                                                                                                                               Auftragsvergabe Effizienzgewinne erzielen, glaubt
    den Betriebsabläufen schnell als solche erkannt                                                        Der Erfolg des SOC wird u. a. an der Verweildauer
                                                                                                                                                               Ari Schwartz, Managing Director of Cybersecurity
                                                                                                           von Angriffen gemessen, die bei sehr effizienten
                                                                                                                                                               Services bei Venable.
                                                                                                           Unternehmen von weniger als einer Stunde bis
                                                                                                           hin zu zwei oder drei Stunden reichen kann.         „Meine Empfehlung für die Cybersicherheit
                                                                                                                                                               bei staatlichen Behörden lautet, dass
                                                                                                           Die Verweilzeit gibt Auskunft darüber, wie
                                                                                                                                                               Automatisierung unbedingt Bestandteil der
                                                                                                           schnell ein sicherheitsrelevanter Vorfall erkannt
                                                                                                                                                               offiziellen Rahmenrichtlinien sein muss“, meint
                                                                                                           und behoben wurde, und gilt allgemein
                                                                                                                                                               Schwartz. „Darüber hinaus sind viele staatliche
                                                                                                           als sehr wichtiger Maßstab für den Erfolg
                                                                                                                                                               Behörden mit der Auftragsvergabe an einen
                                                                                                           eines SOC. Die Experten warnen jedoch vor
                                                                                                                                                               MSP sehr gut gefahren. Auch Colocation-Modelle
                                                                                                           einer ausschließlichen Fokussierung auf die
                                                                                                                                                               bieten sich im Hinblick auf Effizienzgewinne als
                                                                                                           Reduzierung dieses Werts.
                                                                                                                                                               vielversprechende Alternative an.“

                                       10                                                                                                                                 11
Je nach den Anforderungen Ihres Unternehmens              erhalten und dabei die langfristigen Auswirkungen
                     ist es durchaus möglich, dass die Verwaltung              auf das Unternehmen insgesamt berücksichtigen,
                     Ihres SOC durch einen externen Betreiber mehr             dann wird aus der reinen Vertragsbeziehung eine
                     Nachteile als Nutzen bringt. Unter Umständen              Partnerschaft.
                     kann auch aufgrund von Unstimmigkeiten in
                                                                               Für Unternehmen, die sich mit der Besetzung
                     der Berichterstattung des Fremdanbieters
                                                                               von Analystenstellen auf unterer Ebene (Tier 1)
                     ein Vertrauensmangel entstehen. Es kann
                                                                               schwertun, kann es möglicherweise sinnvoll sein,
                     auch passieren, dass das externe SOC zu viele
                                                                               die entsprechenden Tätigkeiten an einen externen
                     Fehlalarme sendet oder umgekehrt zu wenig
                                                                               Anbieter zu vergeben. Analystenaufgaben auf
                     potenzielle Bedrohungen meldet.
                                                                               mittlerer Ebene (Tier 2) werden weiterhin intern

  Intern
                     Teilweise werden externen Betreibern jedoch               bearbeitet. Dadurch hat das SOC-Team freie
                     nicht alle Daten bzw. Protokolle zur Verfügung            Kapazitäten für Aufgaben wie die Entwicklung
                     gestellt, die für eine erfolgreiche Arbeit                bzw. Anschaffung und Implementierung von IT-
                     erforderlich wären. Auch dies kann zu einem               Sicherheitsprodukten und anderen Lösungen, die
                     Verlust des Vertrauens in das Sicherheitskonzept          unternehmensweit zum Schutz von Mitarbeitern
                     insgesamt führen. Hinzu kommt, dass MSPs mit              und Kunden benötigt werden.
                     dem gleichen Fachkräftemangel zu kämpfen
                                                                               Unabhängig vom konkreten Format des SOC

   oder
                     haben wie intern betriebene SOCs: Die Talent-
                                                                               gilt Curry zufolge: „Die meisten Unternehmen
                     Pipeline sieht überall dürftig aus.
                                                                               betrachten IT-Sicherheitsfunktionen nach wie
                     Wenn ein externes SOC mit den                             vor als Nebenbeschäftigungen, die nicht zum
                     Geschäftsprozessen und Unternehmenszielen                 Kerngeschäft gehören. Um dagegen anzukämpfen,
                     im Einklang steht, kann es sich als ungemein              muss man von den jeweiligen Prioritäten des
                     wertvolle Ergänzung erweisen. Wenn z.B.                   Unternehmens ausgehend den Beitrag aufzeigen,

  extern:
                     IT-Fachkräfte und Sicherheitsexperten                     den Sicherheitsbeauftragte zur Wertschöpfung
                     Informationen über sicherheitsrelevante Vorfälle          leisten. Vor allem sollte das SOC sich möglichst eng
                     in ihrer Infrastruktur und deren Behebung                 am Unternehmen ausrichten.“

                                                               Empfehlungen aus dem

Vor- und Nachteile                                                  Think Tank
                        1. Sorgen Sie dafür, dass Ihre SOC-Analysten und -Ingenieure
                           genau auf die Cybersicherheitsstrategie und das
                           Gesamtgeschäft Ihres Unternehmens abgestimmt sind.
                                                                                                 5. Ermitteln Sie die passenden Erfolgskennzahlen für Ihr SOC
                                                                                                    und messen Sie die Leistungen kontinuierlich.

                                                                                                 6. Schaffen Sie Anreize für Ihre Sicherheitsanalysten zur
                        2. Sichern Sie sich die Zustimmung wichtiger Entscheidungsträger           kontinuierlichen Weiterbildung und Verbesserung der
                           aus allen Geschäftsbereichen, indem Sie sie in                           Ergebnisse.
                           technologiebezogene Entscheidungen einbinden.
                                                                                                 7. Steuern Sie Ihr SOC auf Erfolgskurs, indem Sie sicherstellen,
                        3. Geschäft und Sicherheit sollten in regelmäßigen Abständen               dass die Sicherheitsexperten auf alle erforderlichen Daten
                           im Gleichschritt sein, um Bedarfslücken in der IT-Sicherheit             zugreifen können.
                           zu vermeiden und die SOC-Praktiken stets auf dem neuesten
                                                                                                 8. Wenn Sie einen externen Anbieter beauftragen, sollten
                           Stand zu halten.
                                                                                                    Sie das SOC so eng wie möglich in Ihre Geschäftsabläufe
                        4. Zur Gewährleistung effizienter Maßnahmen (und guter                     einbinden, damit aus der Vertragsbeziehung eine echte
                           Arbeitsmoral) vermeiden Sie, dass operative Probleme                     Partnerschaft wird.
                           Sicherheitsfragen überlagern.

        12                                                                                  13
Über den Cyber Resilience Think Tank
Was lässt sich daraus schließen?                                                                                                            Der Cyber Resilience Think Tank ist eine unabhängige Gruppe von Entscheidungsträgern aus der Branche, die sich der
                                                                                                                                            Aufgabe verschrieben hat, die Herausforderungen in Sachen Cyber Resilience zu untersuchen, mit denen Organisationen
Angenommen, Sie verfügen über die entsprechende Finanzierung und die Unterstützung Ihrer
                                                                                                                                            auf der ganzen Welt konfrontiert sind, und gemeinsam Empfehlungen für mögliche Lösungsansätze zu erarbeiten.
Geschäftsführung für den Aufbau eines zukunftsfähigen SOC: Wie geht es jetzt weiter? Die Experten vom
CR Think Tank raten dazu, Ihr vorhandenes – intern oder extern betriebenes – SOC vorerst beizubehalten,                                     Der Begriff Cyber Resilience wird dabei wie folgt definiert: “Die Fähigkeit einer Organisation, sich an schädliche
solange es dem Unternehmen noch einen Nutzen bringt. Zugleich sollten Sie sich jedoch Gedanken                                              Cybervorfälle anzupassen und auf diese zu reagieren - unabhängig davon, ob es sich um interne oder externe, böswillige
darüber machen, was zukünftig anders werden soll, und diese Veränderungen schrittweise umsetzen:                                            oder unbeabsichtigte Vorfälle handelt - in einer Weise, welche die Vertraulichkeit, Integrität und Verfügbarkeit von Daten
                                                                                                                                            und Diensten, die für die Organisation bedeutsam sind, aufrechterhält”.
         Unterstützen Sie die vorhandenen Analysten weiterhin nach Kräften.
 1       Achten Sie auf ihre Arbeitsbelastung, aber auch auf Anzeichen einer potenziellen Ermüdung der
         Wachsamkeit und ihre Motivation insgesamt.                                                                                                Malcolm Harkins                               Juan Harmse                                    Taylor Lehmann
                                                                                                                                                   Chief Security &                              Head of Resilience Strategy &                  CISO
                                                                                                                                                   Trust Officer                                 Engagement                                     AthenaHealth
         Bauen Sie die Talent-Pipeline auf.                                                                                                        Cymatic                                       ABSA GROUP
         Das ist sowieso immer eine kluge Strategie – und angesichts der klaffenden Schere
 2       zwischen Angebot und Nachfrage auf dem Arbeitsmarkt für Cybersicherheitsfachkräfte eine
         unverzichtbare Voraussetzung für den Erfolg Ihres SOC.
                                                                                                                                                   Gary Hayslip                                  Sue Lapierre                                   Peter Tran
                                                                                                                                                   CISO                                          VP, Information Security                       Vice President, Head of
         Maximieren Sie das Potenzial der vorhandenen Fach- und                                                                                    SoftBank Investment Adviors                   Officer                                        Global Cyber Defense &
         Nachwuchskräfte durch Bereitstellung von Kommunikationskanälen,                                                                                                                         Prologis                                       Security Strategy
                                                                                                                                                                                                                                                Worldpay
         die eine effizientere Abwicklung sicherheitsrelevanter Aufgaben
 3       (Ticketbearbeitung, Vorfallreaktion usw.) unterstützen.
         Unabhängig davon, welcher Ansatz am besten zu Ihrem Unternehmen passt – SOC/NOC,                                                          Dr. Sam Small                                 Maurice Stebila                                Jakub (Kuba) Sendor
         SOC/Produktentwicklung oder auch eine physische und strukturelle Trennung der Teams mit                                                   CSO                                           CISO, Digital Cyber Security,                  Software Engineer
                                                                                                                                                   ZeroFOX                                       Compliance & Privacy Officer                   Yelp
         regelmäßigen Jobrotationen – gilt in jedem Fall: Entwickeln Sie eine Nachwuchsstrategie und
                                                                                                                                                                                                 HARMAN by Samsung
         arbeiten Sie an der nachhaltigen Umsetzung.

         Machen Sie sich das Potenzial von Technologien zunutze.
         Dazu gehören z.B. SIEM oder SOAR, die Vorfälle von Endbenutzergeräten, Servern und                                                        James Lugabihl                                Ari Schwartz                                   Stephen Ward
 4       Netzwerkgeräten sowie von Sicherheitseinrichtungen wie Firewalls, AV-Scannern oder IPS                                                    Senior Director, Global                       Managing Director of                           CISO
                                                                                                                                                                                                                                                Home Depot
         erfassen und Sie bei der Verwaltung von Ermittlungs- und Behebungsvorgängen                                                               Security                                      Cybersecurity Services
                                                                                                                                                   ADP                                           Venable
         unterstützen können.

         Die auf diese Weise erfassten Daten können für Verlaufsanalysen
         verwendet sowie den Leitern der Fachabteilungen zugänglich                                                                                Dawie Wemtzel                                 Chris Wysopal                                  Sam Curry
                                                                                                                                                                                                                                                CSO
         gemacht werden.                                                                                                                           Head of Forensic
                                                                                                                                                   Investigations
                                                                                                                                                                                                 Chief Technology Officer
                                                                                                                                                                                                 Veracode                                       CYBEREASON

 5       Sobald Sie einen ganzheitlichen Überblick Ihrer Datensicherheitsumgebung gewonnen haben
         und diesen gegenüber anderen Geschäftsbereichen kommunizieren können, sollten Sie Ihr
                                                                                                                                                   ABSA GROUP

         SIEM mit einem SOAR erweitern. Alternativ bietet Ihr SIEM-Anbieter möglicherweise eine SOAR-
         Funktion an – dadurch ersparen Sie sich die Implementierung zusätzlicher Tools und Anbieter in
         einer Umgebung, die vermutlich bereits unübersichtlich genug ist.7                                                                        Greig Arnold                                  Bill Brown                                     Marc French
                                                                                                                                                   CISO                                          CSO                                            CISO, Managing Director
                                                                                                                                                   Vista Consulting Group                        ClickSoftware                                  Product Security Group

Bei der Entscheidung über die komplette oder          Genauso gut ist es jedoch möglich, dass die         7
                                                                                                              Decluttering Your Security
                                                                                                              Environment, CR Think Tank
teilweise Auslagerung von Sicherheitsaufgaben         hier aufgeführten Faktoren ein überzeugendes
müssen die unternehmensspezifischen                   Argument dafür darstellen, die Vorteile der
Bedingungen stets berücksichtigt werden.              Anwerbung und internen Ausbildung von                                                        Josh Douglas                                  Scott Eigenhuis                                Shawn Valle
Wenn es sich um eine simple „Make or                  Nachwuchskräften erneut zu prüfen. So oder                                                   VP Product Management                         Associate Director,                            CSO
                                                                                                                                                   Threat Intelligence                           Information Security                           RAPID7
buy“-Entscheidung (Eigenfertigung versus              so sind für den Erfolg eines SOC mehrere                                                     MIMECAST                                      ILLUMINA
Fremdbezug) handelt und die Außenperspektive          Elemente ausschlaggebend: gut ausgebildete
externer Analysten präferiert wird, ist die Frage     Analysten und Techniker, hochentwickelte
damit u. U. schon beantwortet – zumal wenn            Tools und Automatisierung sowie die finanzielle
der externe MSP die gewünschten Leistungen zu         und strukturelle Unterstützung durch ein                                                     Michael Madon                                 Claus Tepper
                                                                                                                                                   SVP & GM Security Awareness                   Head of Cyber Security
einem Preis anbietet, der attraktiver ist als der     effizientes Unternehmen mit transparenten                                                    and Threat Intelligence                       Operations, Absa Group
Aufbau eines eigenen Teams.                           Geschäftsabläufen und bereichsübergreifender                                                 Mimecast
                                                      Zusammenarbeit.

                                                                 14                                                                                                                                    15
Weitere Erkenntnisse aus dem
Cyber Resilience Think Tank erhalten Sie unter
          mimecast.com/ThinkTank

                 Printed on Recycled Paper
Sie können auch lesen