Die Transformation des SOC - Bereits heute die Security Operations von morgen gestalten - Mimecast
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Einführung Funktionsumfang des SOC Interne SOC-Teams legen in der Regel zur Verwaltung der Vorfallreaktionen wie 2 Security information and event management (SIEM), TechTarget nicht die Sicherheitsstrategie für das Malware-Analyse, forensische Analyse 3 SOAR (Security Orchestration, Wie stellen Sie sich ein Security Operations Center (SOC) vor? Handelt gesamte Unternehmen fest. Vielmehr und Ursachenanalyse, Lösungen zur Automation and Response), TechTarget es sich um ein straff organisiertes Team von Sicherheitsanalytikern und sind sie für die Ausführung der laufenden Bedrohungsaufklärung sowie allgemeine 4 What is a Security Operations Datensicherheitsmaßnahmen ihres Berichterstattung im Rahmen von Compliance- Center (SOC)? – Digital Guardian -technikern, die Vorfälle erkennen, analysieren und darauf reagieren Unternehmens und die Überwachung der Anforderungen einsetzt, dann verfügt sie sehr sowie zur Umsetzung der Sicherheitsstrategie des Unternehmens Hand Angriffsfläche zuständig. Vorgegeben wird die wohl über den Funktionsumfang eines SOC. Und Cybersicherheitsstrategie von den zuständigen solange Organisationen Daten erfassen und in Hand mit den Führungskräften der Fachabteilungen arbeiten? Oder Führungskräften – CTOs, CSOs und CISOs –, die zentral speichern können – sei es für das eigene um eine überschaubare Anzahl von Analysten, die den ganzen Tag lang dem SOC die erforderlichen Systeme und Tools Team oder für einen externen MSP –, können die zu ihrer Umsetzung bereitstellen: Endpoint Sicherheitsbeauftragten ihre Funktion effektiv damit beschäftigt sind, Sicherheitsprobleme reaktiv, punktuell und Security, Firewalls, SIEMs,2 SOARs,3 usw. Im SOC erfüllen. ohne strategische Priorisierung zu beheben? arbeiten Sicherheitsanalytiker gemeinsam an Unabhängig davon, ob ein SOC intern verwaltet der Erkennung, Analyse, Abwehr, Meldung und oder extern von einem MSP betrieben wird, Verhinderung sicherheitsrelevanter Vorfälle.4 sind bei der Abwägung der Vor- und Nachteile „Daten sind das Lebenselixier des SOC“, so des jeweiligen Ansatzes drei Hauptpunkte zu Michael Madon, der als Senior Vice President und bedenken. Jedes SOC braucht Mitarbeiter, und General Manager bei Mimecast für Produkte zur angesichts des weltweiten Fachkräftemangels Verbesserung von Sicherheitsbewusstsein und im Bereich der Cybersicherheit ist die Nun stellen Sie sich eine dritte Alternative vor: Diese Lösungsvielfalt und die 1 How Does Mimecast Help Bedrohungsaufklärung verantwortlich ist. „Diese Berücksichtigung der menschlichen Handelt es sich vielleicht um einen Managed unternehmenskritische Rolle des SOC bei Improve the Performance of Präventivsysteme sind wichtige Datenquellen, die Komponente von vorrangiger Bedeutung. Security Operations Centers? Services Provider (MSP), der ein externes SOC der Erkennung und Abwehr potenzieller das SOC bei der Erfüllung der Erfolgskennzahlen Jedoch können die IT-Sicherheitsbeauftragten unter Einhaltung spezifischer Erfolgskennzahlen Bedrohungen waren Hauptthemen des und der Verbesserung der Früherkennungsquote diese Herausforderungen nicht allein bewältigen, und Leistungsvorgaben betreibt? Cyber Resilience Think Tank (CR Think Tank) unterstützen, Kontext für Integrationen liefern zumal böswillige Akteure zunehmend bei der RSA Conference im Februar 2020. und eine schnellere Bedrohungsabwehr hochentwickelte Malware und andere In Bezug auf das menschliche Element Im Mittelpunkt standen dabei die Vor- und ermöglichen.“ Technologien gegen Unternehmen einsetzen. der Teamführung, die Formulierung Nachteile interner und externer Modelle Unabhängig von der konkreten Struktur des SOC einer effektiven Cybersicherheitsstrategie Vor diesem Hintergrund ist die Integration sowie die Identifizierung erfolgreicher muss die Unternehmensführung entsprechend in und die zugrundeliegenden Tools und mit SIEM- und SOAR-Systemen ein Ansätze. Dem unabhängigen CR Think Technologie und Automatisierung investieren. Technologien bieten sich quasi unbegrenzte ausschlaggebender Faktor für die Effizienz und Tank gehören Einflussnehmer aus der Die dritte und letzte Frage lautet: Welche Kombinationsmöglichkeiten. Allzwecklösungen Effektivität des SOC. Branche an, die gemeinsam praxisbasierte Prozesse und Effizienzen kann die Verbindung gibt es beim Aufbau und Betrieb eines SOC nicht: Ratschläge und Lösungsmöglichkeiten für die Das gilt selbstverständlich gleichermaßen für von Fachpersonal und Automatisierungstools Das Erfolgsrezept des einen Unternehmens Herausforderungen erarbeiten, vor denen Unternehmen, die ihr SOC von einem MSP freisetzen? Wie steuern Sie Ihr Team auf würde beim anderen womöglich scheitern.1 Unternehmen beim Thema Cyber Resilience betreiben lassen. Extern betriebene SOCs sollten Erfolgskurs? Wieder andere Organisationen bewältigen die stehen. in enger Zusammenarbeit mit den internen Herausforderungen der Erkennung und Abwehr IT-Sicherheitsbeauftragten Berichte erstellen, von Bedrohungen sogar ohne ein SOC. Schlüsselkennzahlen wie Verweildauer von Angriffen und Protokollstatus austauschen und Empfehlungen zur Verbesserung der Ergebnisse erarbeiten. Als weiterer wichtiger Faktor ist dabei zu berücksichtigen, dass viele Organisationen zwar von sich behaupten würden, sie hätten kein SOC. Wenn eine derartige Organisation jedoch Funktionen zur Überwachung, Erkennung und Ermittlung von Sicherheitsvorfällen und Priorisierung von Warnungen, Verfahren 2 3
Die Bei der derzeitigen Entwicklungsgeschwindigkeit 5 Strategies for Building & Growing Strong Cybersecurity Teams, der Wirtschaft müssten wir die Belegschaft um (ISC)2 Cybersecurity Workforce 145% aufstocken, um die Lücke zu schließen. Study 6 Artificial Intelligence (AI) and Manche Führungskräfte nutzen intensive Security: A Match Made in the Weiterbildungsprogramme, um sowohl die SOC, IBM Security Cybersicherheit des Unternehmens als auch Komponente die Moral der Mitarbeiter zu stärken. Unter diesen Umständen erweist sich die Rekrutierung qualifizierter Mitarbeiter zur Besetzung von SOCs zunehmend als Herausforderung: Der Mangel an Analysten auf allen Ebenen führt leicht zur Überarbeitung und Überforderung der in einem Unternehmen vorhandenen Analysten. Die Folge: sinkende Motivation und hohe Fluktuation.6 Mensch „Kompetenzen sind für uns der wichtigste Faktor überhaupt“, bekräftigt Claus Tepper, der bei der Absa Group die Abteilung für Cybersicherheit leitet. „Hier in Südafrika haben wir genau wie in anderen Ländern auch ein grundlegendes Problem, die richtigen Mitarbeiter ins Boot zu holen.“ Zur Lösung dieses Problems gründete man bei Absa eine Akademie zur Aus- und Weiterbildung von Nachwuchskräften. Dieses Konzept hat sich als unbedingt notwendig Dass in der Cybersicherheit ein und überaus erfolgreich bewährt. Allerdings hat sich ebenfalls herausgestellt, dass sich die eklatanter Fachkräftemangel erforderlichen Kompetenzen für den effizienten herrscht, ist nicht nur allgemein Betrieb eines SOC nicht über Nacht antrainieren lassen, sondern im Laufe mehrerer Jahre bekannt, sondern auch erarbeitet werden müssen. wissenschaftlich nachgewiesen. Eine Studie des (ISC)2 aus dem Fachkräftemangel der USA im Jahr 2019 kam zu dem Ergebnis, Bereich Cybersicherheit: 500.000 dass allein in den USA ca. eine halbe Million Experten für Cybersicherheit fehlen. Weltweit wird die Lücke anhand von Schätzungen für elf der größten Volkswirtschaften auf knapp über Weltweiter Fachkräftemangel vier Millionen beziffert.5 im Bereich Cybersicherheit mehr als 4 Millionen 4 5
Im Unternehmen Cybereason führte der Bei Cymatic setzt Chief Security und Trust „Ein externes SOC kann problemlos einzelne Die Frage, welches SOC-Modell am besten Sicherheitschef Sam Curry ein Ausbildungs- Officer Malcolm Harkins auf die Weiterbildung Vorfälle in Ihrem Auftrag bearbeiten“, so ist – intern, extern oder eine Mischform –, und Weiterbildungsprogramm ein, da er der vorhandener Mitarbeiter. Diese sei zwar mit Small. „Wenn Sie jedoch quasi sämtliche wird sich wohl niemals lösen lassen. In einem Überzeugung war, dass die Sicherheitsexperten etwas Zeit und Mühe verbunden, aber durchaus Schmerzrezeptoren auslagern, verlieren Sie Punkt sind sich die Experten jedoch einig: mehr Vielfalt sowie kreatives Denken unter den zielführend: womöglich die Fähigkeit, Muster und breitere Je besser SOC-Analysten und -Techniker Bewerbern fördern müssen. Im Rahmen dieses Trends zu erkennen und entsprechend zu auf die Cybersicherheitsstrategie sowie die „Struktur steuert Verhalten“, davon ist Programms kommt eine solche Förderung reagieren.“ Geschäftsabläufe und -ziele Ihres Unternehmens Harkins überzeugt. „Wir haben kreative jeweils fünf aufstrebenden Analysten ohne abgestimmt sind, desto stärker ihr intrinsisches Ansätze ausprobiert, damit die Mitarbeiter Er warnt: „Selbst wenn Sie einen externen technische Qualifikation zugute. Curry merkt an, Engagement. Die besten Ergebnisse erzielen aus ihrem Alltagstrott rauskommen, wie z. Anbieter dafür bezahlen, um sich mit Ihren dass Sicherheitstools für Chefanalysten (Tier 3) Sie, wenn die Leistungskennzahlen des B. Jobrotationen zwischen Teams oder auch Problemen zu befassen, nimmt dieser nicht konzipiert würden, die sich die Denkweise der SOC in einem unmittelbaren Bezug zu den Werksbesuche für IT-Sicherheitsbeauftragte und unbedingt das große Ganze in den Blick, so wie Bedrohungsakteure zu eigen gemacht hätten Sicherheitsanforderungen des Führungskräfte. Sobald man den Mitarbeitern es interne Mitarbeiter tun würden.“ und entsprechend nach dem Motto „Vertrauen Unternehmens stehen. die unternehmenskritische Bedeutung und ist gut, Verifizierung ist besser“ an Systeme und Neu ist das Konzept der Visualisierung und besonderen Anforderungen einer Funktion Daten herangingen. Vor diesem Hintergrund Analyse von Bedrohungstrends natürlich nicht nahebringt, sind sie in der Regel schwer sei es erforderlich, das Fachwissen dieser – seine Umsetzung kann sich jedoch schwierig beeindruckt. Sicherheitsexperten durch eine Kombination gestalten, wenn die hohe Anzahl der Vorfälle aus Automatisierung, unterschiedlichen Wenn das bei zwei Mitarbeitern gelänge, sich nicht mehr von menschlichen Arbeitskräften Denkansätzen und ein heterogenes Team von meint Harkins, „verbreiten sie die Botschaft alleine bewältigen lässt. Viel zu oft meldeten Mitarbeitern zu ergänzen. per Mundpropaganda“. Dabei sei es externe SOCs einen Vorfall erst drei oder vier allerdings wichtig, dass die Kompetenzen Stunden später, moniert der Chief Information geeigneter Mitarbeiter aus den Technik- oder Security Officer bei Rapid7, Shawn Valle. Für ihn Sicherheitsteams zwar zur Bereitstellung sei das nicht hinnehmbar. zusätzlicher Kapazitäten bei Auslastungsspitzen „Dabei wissen wir doch alle, dass Ransomware eingesetzt, anschließend jedoch möglichst oder anderer schädlicher Code sich innerhalb von Struktur steuert zeitnah wieder ihren eigentlichen Aufgaben zugeführt werden. Dies erfordere Disziplin, sonst Millisekunden im gesamten Netzwerk verbreiten kann“, so Valle. „Das wird dann zumeist auf die Verhalten „werden immer alle in die Aufgaben des SOC hineingezogen“. Überlastung der Mitarbeiter geschoben – aber im Malcolm Harkins, Chief Security & Trust Officer von Cymatic Grunde ist es so, als hätte man eine Alarmanlage, MSPs, die externe SOCs betreiben, haben ebenso die erst losgeht, nachdem die Polizei bereits Ihre mit dem Fachkräftemangel zu kämpfen wie Angaben aufgenommen und den Tatort wieder traditionelle Unternehmen. verlassen hat.“ Für den Chief Security Officer bei ZeroFOX, Selbst wenn Sie einen externen Dr. Sam Small, ist die Entscheidung zwischen externem und internem SOC kein Entweder/oder, Anbieter dafür bezahlen, um sondern eher ein sowohl/als auch. sich mit Ihren Problemen zu befassen, nimmt dieser nicht unbedingt das große Ganze in den Blick, so wie es interne Mitarbeiter tun würden. Dr. Sam Small, Chief Security Officer von ZeroFOX 6 7
Technologie und wertvolle Hilfestellung leisten, indem mithilfe der Leistung anhand unterschiedlicher Kennzahlen. erfassten Daten eine ganzheitliche Sicht auf die In späteren Phasen, so die Mitglieder des CR – interne oder externe – Sicherheitsumgebung Think Tank, lasse sich mithilfe solcher Tools ermöglicht wird. eine Gesamtübersicht des Sicherheitskonzepts Automatisierung erstellen – und zwar in zwei unterschiedlichen Für neuere Unternehmen bzw. solche, die bereits Versionen für technisch mehr oder weniger über ein überzeugendes Sicherheitskonzept versierte Zielgruppen (Analysten bzw. verfügen, hat Valle Empfehlungen für eine Geschäftsführung). erfolgreiche Automatisierung parat. Zwar handle es sich dabei zumeist um einen laufenden Madon zufolge lässt sich dadurch ein Dialog; jedoch sei es in der Regel ratsam, die Kommunikationsfluss in beide Richtungen Automatisierung als erstes in Angriff zu nehmen. fördern – über das Potenzial unterschiedlicher Tools zur Herbeiführung eines Kulturwandels, Im Jahr 2020 wäre es undenkbar, über Strategien zur Verbesserung, „Software-Entwickler fangen mit den APIs an und über bevorstehende Veränderungen und bauen darauf die Benutzeroberfläche auf. Dieser Beschleunigung und Effizienzsteigerung im Bereich IT-Sicherheit zu Ansatz ist auch für SOC-Teams erwägenswert“, natürlich auch über deren Auswirkungen auf das Produkt und das Unternehmen insgesamt. sprechen, ohne Automatisierung, maschinelles Lernen und künstliche meint er. „Die Strategie, von Anfang an mit Automatisierung zu arbeiten, stärkt unserer Trotz allem verlangt die Akzeptanz von Intelligenz zu erwähnen. Tatsächlich bergen Automatisierungstools das Überzeugung nach die Analysten und befähigt Automatisierung – genau wie jeder andere Potenzial einer erheblichen Arbeitserleichterung durch Reduzierung sie zu besseren Leistungen; sie führt keineswegs Kulturwandel auch – den betroffenen zum Abbau von Arbeitsplätzen.“ Unternehmen viel ab. Das gilt erst recht dort, wo von Alarmmüdigkeit, Steigerung der Produktivität und Verkürzung der die Silo-Mentalität fest verwurzelt ist und es mit In vielen Unternehmen kämen Tools und durchschnittlichen Behebungszeit. Automatisierung erst zu spät ins Spiel, so Valle der Kommunikation zwischen unterschiedlichen Geschäftsbereichen hapert. Sue Lapierre, Vice weiter. Besser sei es, diese von vornherein in die President für Information Security bei Prologis, Der CR Think Tank schließt sich jedoch den Compliance und Datenschutz zuständig ist. Unternehmenskultur zu integrieren, damit diese betont, wie wichtig es sei, die Dringlichkeit der Warnungen anderer Cybersicherheitsexperten zu einem natürlichen Bestandteil sämtlicher Lage zu vermitteln. vor einer unzureichend durchdachten „Meiner Ansicht nach sind wir jetzt an dem Punkt Arbeitsabläufe würden. Automatisierung an. Curry hält es für unbedingt angelangt, wo es demnächst KI-Cyberanalysten „Man muss den Fachabteilungen unbedingt geben wird“, so Stebila. „Tatsächlich ist es bereits Bei ZeroFOX will Dr. Small die Akzeptanz der erforderlich, das Bewusstsein für die Schwächen klarmachen, dass Cybersicherheit eine ständige soweit. Unternehmen wenden maschinelle Automatisierung durch einen Kulturwandel der Automatisierung zu schärfen: Je mehr Aufholjagd ist“, mahnt sie an. „Und dass die Lernalgorithmen auf Entscheidungen an, die fördern. Er setzt dabei auf eine Demokratisierung Aufgaben ein Unternehmen automatisiere, böswilligen Akteure ihre Taktiken andauernd Analysten auf unterer und mittlerer Ebene (Tier 1 der Automatisierung im Bereich Cybersicherheit. desto einfacher könnten böswillige Akteure die ändern und wir da mithalten müssen. Wenn und 2) für jeden einzelnen Vorfall aus den letzten Dazu müsse jedoch die zugrundeliegende Logik Strategie durchschauen. das Unternehmen also z. B. ein neues Produkt fünf Jahren treffen. Die Analysten können sich auch den Team- und Abteilungsleitern auf oder eine Dienstleistung auf den Markt bringt, „Im Grunde ist die Automatisierung selbst eine derweil anderen Aufgaben widmen. Aufgaben, unterer Führungsebene offengelegt werden. Im stellt sich sofort die Frage: Wie können wir es Schwachstelle“, meint Curry. „Es ist notwendig, die einen menschlichen Mitarbeiter in jeder Klartext: Große wie kleine Unternehmen neigen schützen?“ die blinden Flecken in pseudozufälligen Arbeitsstunde fünf oder zehn Minuten kosten, zur Geheimniskrämerei, wenn es um die SOC- Intervallen zu überprüfen, um zu erkennen, wer bewältigt der KI-Cyberanalyst innerhalb einer Strategie geht. Vermeiden ließe sich diese Aufholjagd nur, wenn sich dort versteckt, sonst wird die Maschine Nanosekunde.“ Fachabteilungen und IT-Sicherheitsbeauftragte Wenn CISOs jedoch in der Lage sind, vorhersehbar und damit leicht zu manipulieren. proaktiv Hand in Hand arbeiten. Stebila zufolge gehen viele dieser Unternehmen technologiebezogene Entscheidungen Entsprechend darf Automatisierung nicht zum transparenter zu machen, trägt dies zur Selbstzweck werden, sondern muss dazu dienen, davon aus, dass es künftig möglich sein wird, KI-Datenanalysten zur Prävention und sofortigen Erweiterung der Perspektive bei, bezieht andere die Effektivität der menschlichen Arbeitskräfte Entscheidungsträger in den Prozess ein und baut zu steigern und den Wert ihrer Ergebnisse zu Blockierung von Angriffsversuchen einzusetzen. Hemmschwellen gegenüber der Automatisierung verbessern, ohne dass das gesamte System Das klingt und ist sehr ambitioniert – ab. Über fällige Aktualisierungen einzelner dadurch geschwächt wird.“ Unternehmen, die nicht über eine solide Talent- Tools oder Funktionen zur Minderung von Im Mittelpunkt müsse das Bestreben Pipeline an Analysten auf unterer und mittlerer Schwachstellen und Überprüfung toter Winkel stehen, Automatisierung zur Aufwertung der Ebene (Tier 1 und 2) verfügen oder deren sollten die Leiter der Fachabteilungen sowieso menschlichen Arbeitskraft einzusetzen, meint Vorfallsmanagement in den letzten paar Jahren auf dem Laufenden gehalten werden. auch Maurice Stebila, der als CISO bei der zu wünschen übrig ließ, sollten sich auf die Schaffung dieser unverzichtbaren Grundlagen Zur Diskussion stand außerdem die Nutzung Samsung-Tochter HARMAN für strategische von Tools zur Datenvisualisierung bzw. die Beratung in den Bereichen Cybersicherheit, konzentrieren, bevor sie sich auf irgendwelche KI- Implementierungen einlassen. Ein SIEM kann hier Erstellung von Dashboards zur Messung der SOC- 8 9
Prozesse „Eine Zusammenarbeit zwischen dem „Anstatt jediglich ein Zeitziel für den gesamten Netzwerk- und dem Sicherheitsteam kann Zyklus festzulegen, sollte man analysieren, wie durchaus fruchtbar sein, weil eine Menge viel Zeit jeweils zur Behebung der einzelnen Kommunikationsbedarf besteht“, so Stebila. Probleme benötigt wird“, fordert Curry. „Sonst und Effizienz „Wenn beide Teams zusammenbringen, nützt führt es dazu, dass man sich nur um eine das dem Unternehmen – denn wenn der schnellere Erkennung statt um eine kürzere Server ausfällt, ist es aus Sicht der betroffenen Verweilzeit bemüht – so lässt sich die Gesamtzeit Fachabteilungen unerheblich, ob es sich um natürlich auch reduzieren. Indes sollten wir einen sicherheitsrelevanten Vorfall handelt, darauf achten, dass sämtliche Phasen des Zyklus der durch einen Virus verursacht wurde, oder gleichermaßen berücksichtigt werden.“ ob ein Ventilator kaputt ist. Gemeinsam sollte es den beiden Teams gelingen, das Problem zu Mittlerweile besteht weitgehend Einigkeit darüber, dass beheben.“ eine Kombination aus Analysten auf verschiedenen Ebenen Allerdings sollten die verantwortlichen Führungskräfte unbedingt darauf achten, dass sowie Automatisierungs- und Orchestrierungstools am Sicherheitsprobleme nicht durch operative Fragen Anstatt jediglich ein Zeitziel ehesten geeignet ist, die Effizienz eines – extern oder intern überlagert werden. betriebenen – SOC zu gewährleisten. Dies sei vor allem in größeren Unternehmen für den gesamten Zyklus an der Tagesordnung, wie Harkins berichtet. Die Folge: eine potenzielle Überlastung der festzulegen, sollte man Damit ist das Thema jedoch keineswegs erledigt. und bewältigt werden. James Lugabihl, Senior Bei vielen Unternehmen wird der Ansatz Director of Execution Assurance bei ADP, wies auf Analysten, die dadurch zudem leicht von ihren analysieren, wie viel Zeit verfolgt, Agilität bzw. Kommunikation zwischen die Bedeutung einer GRC-Plattform (Governance, eigentlichen Kernaufgaben der Erkennung und verschiedenen Teams durch physische Nähe zu Risk and Compliance) als zuverlässige zentrale Abwehr von Bedrohungen abgelenkt würden. jeweils zur Behebung der Seine Empfehlung lautet, die Teams zwar in fördern. So kann es gerade bei kleineren bzw. jüngeren Unternehmen durchaus sinnvoll sein, Datenquelle für das SOC hin. Auf diese Weise lasse sich die Integration von Cybersicherheits- physischer Nähe zueinander zu platzieren, dabei einzelnen Probleme jedoch eine strukturelle und operative Trennung die für Erkennung und Abwehr zuständigen SOC-Teams in unmittelbarer Nähe des und Betrugsvorfällen, Compliance- Anforderungen usw. gewährleisten. zu gewährleisten. Soweit möglich, sollte zudem benötigt wird. Produktentwicklungsteams zu platzieren, um durch teamübergreifende Jobrotationen Sam Curry, Chief Security Officer von Cybereason Umgekehrt ist es gerade bei den bereits der Austausch und Aufbau von Fachwissen, beim iterativen Verfahren zur Entwicklung neuer erwähnten größeren Unternehmen mit Silo- Kompetenzen und gegenseitiger Achtung Tools einen ständigen Austausch zu fördern. Mentalität und unzureichender Kommunikation gefördert werden. Dieser Ansatz kann auch dazu beitragen, das zwischen den Geschäftsbereichen eher Tepper zufolge lässt sich tendenziell eine Ticketmanagement zwischen Produkt und üblich, SOCs und Network Operations Centers Effizienz und Leistungskennzahlen werden Verbesserung sämtlicher Leistungskennzahlen SOC zu optmieren. Diesen Ansatz halten die (NOC) zusammenzulegen. Curry stimmt zu, für Sicherheits- und operative Teams separat erzielen, wenn Sicherheitschefs ihre Analysten Sicherheitsexperten des CR Think Tank durchaus dass diese beiden Bereiche logischerweise gemessen. Schließlich sind alte und neue, große zur Weiterbildung in anderen Bereichen für sinnvoll. Als fiktives Beispiel wurde in der zusammengehören. Die Mitglieder des CR Think und kleine Unternehmen gleichermaßen bemüht, anspornen und entsprechende Angebote – etwa Diskussion ein Vorfall genannt, der sich als Tank sind sich jedoch einig, dass dieser Ansatz ihre Budgets für Technologieinvestitionen in Form einer Akademie oder einer Zertifizierung operatives Problem entpuppt; aufgrund der nur unter bestimmten Rahmenbedingungen und Personalkosten möglichst effektiv – bereitstellen. physischen Nähe der Sicherheitsbeauftragten erfolgreich ist. einzusetzen, und definieren die entsprechenden Staatliche Behörden können durch externe zum operativen Team könnten Abnormalitäten in Erfolgskennzahlen auf der Basis dieser Faktoren. Auftragsvergabe Effizienzgewinne erzielen, glaubt den Betriebsabläufen schnell als solche erkannt Der Erfolg des SOC wird u. a. an der Verweildauer Ari Schwartz, Managing Director of Cybersecurity von Angriffen gemessen, die bei sehr effizienten Services bei Venable. Unternehmen von weniger als einer Stunde bis hin zu zwei oder drei Stunden reichen kann. „Meine Empfehlung für die Cybersicherheit bei staatlichen Behörden lautet, dass Die Verweilzeit gibt Auskunft darüber, wie Automatisierung unbedingt Bestandteil der schnell ein sicherheitsrelevanter Vorfall erkannt offiziellen Rahmenrichtlinien sein muss“, meint und behoben wurde, und gilt allgemein Schwartz. „Darüber hinaus sind viele staatliche als sehr wichtiger Maßstab für den Erfolg Behörden mit der Auftragsvergabe an einen eines SOC. Die Experten warnen jedoch vor MSP sehr gut gefahren. Auch Colocation-Modelle einer ausschließlichen Fokussierung auf die bieten sich im Hinblick auf Effizienzgewinne als Reduzierung dieses Werts. vielversprechende Alternative an.“ 10 11
Je nach den Anforderungen Ihres Unternehmens erhalten und dabei die langfristigen Auswirkungen ist es durchaus möglich, dass die Verwaltung auf das Unternehmen insgesamt berücksichtigen, Ihres SOC durch einen externen Betreiber mehr dann wird aus der reinen Vertragsbeziehung eine Nachteile als Nutzen bringt. Unter Umständen Partnerschaft. kann auch aufgrund von Unstimmigkeiten in Für Unternehmen, die sich mit der Besetzung der Berichterstattung des Fremdanbieters von Analystenstellen auf unterer Ebene (Tier 1) ein Vertrauensmangel entstehen. Es kann schwertun, kann es möglicherweise sinnvoll sein, auch passieren, dass das externe SOC zu viele die entsprechenden Tätigkeiten an einen externen Fehlalarme sendet oder umgekehrt zu wenig Anbieter zu vergeben. Analystenaufgaben auf potenzielle Bedrohungen meldet. mittlerer Ebene (Tier 2) werden weiterhin intern Intern Teilweise werden externen Betreibern jedoch bearbeitet. Dadurch hat das SOC-Team freie nicht alle Daten bzw. Protokolle zur Verfügung Kapazitäten für Aufgaben wie die Entwicklung gestellt, die für eine erfolgreiche Arbeit bzw. Anschaffung und Implementierung von IT- erforderlich wären. Auch dies kann zu einem Sicherheitsprodukten und anderen Lösungen, die Verlust des Vertrauens in das Sicherheitskonzept unternehmensweit zum Schutz von Mitarbeitern insgesamt führen. Hinzu kommt, dass MSPs mit und Kunden benötigt werden. dem gleichen Fachkräftemangel zu kämpfen Unabhängig vom konkreten Format des SOC oder haben wie intern betriebene SOCs: Die Talent- gilt Curry zufolge: „Die meisten Unternehmen Pipeline sieht überall dürftig aus. betrachten IT-Sicherheitsfunktionen nach wie Wenn ein externes SOC mit den vor als Nebenbeschäftigungen, die nicht zum Geschäftsprozessen und Unternehmenszielen Kerngeschäft gehören. Um dagegen anzukämpfen, im Einklang steht, kann es sich als ungemein muss man von den jeweiligen Prioritäten des wertvolle Ergänzung erweisen. Wenn z.B. Unternehmens ausgehend den Beitrag aufzeigen, extern: IT-Fachkräfte und Sicherheitsexperten den Sicherheitsbeauftragte zur Wertschöpfung Informationen über sicherheitsrelevante Vorfälle leisten. Vor allem sollte das SOC sich möglichst eng in ihrer Infrastruktur und deren Behebung am Unternehmen ausrichten.“ Empfehlungen aus dem Vor- und Nachteile Think Tank 1. Sorgen Sie dafür, dass Ihre SOC-Analysten und -Ingenieure genau auf die Cybersicherheitsstrategie und das Gesamtgeschäft Ihres Unternehmens abgestimmt sind. 5. Ermitteln Sie die passenden Erfolgskennzahlen für Ihr SOC und messen Sie die Leistungen kontinuierlich. 6. Schaffen Sie Anreize für Ihre Sicherheitsanalysten zur 2. Sichern Sie sich die Zustimmung wichtiger Entscheidungsträger kontinuierlichen Weiterbildung und Verbesserung der aus allen Geschäftsbereichen, indem Sie sie in Ergebnisse. technologiebezogene Entscheidungen einbinden. 7. Steuern Sie Ihr SOC auf Erfolgskurs, indem Sie sicherstellen, 3. Geschäft und Sicherheit sollten in regelmäßigen Abständen dass die Sicherheitsexperten auf alle erforderlichen Daten im Gleichschritt sein, um Bedarfslücken in der IT-Sicherheit zugreifen können. zu vermeiden und die SOC-Praktiken stets auf dem neuesten 8. Wenn Sie einen externen Anbieter beauftragen, sollten Stand zu halten. Sie das SOC so eng wie möglich in Ihre Geschäftsabläufe 4. Zur Gewährleistung effizienter Maßnahmen (und guter einbinden, damit aus der Vertragsbeziehung eine echte Arbeitsmoral) vermeiden Sie, dass operative Probleme Partnerschaft wird. Sicherheitsfragen überlagern. 12 13
Über den Cyber Resilience Think Tank Was lässt sich daraus schließen? Der Cyber Resilience Think Tank ist eine unabhängige Gruppe von Entscheidungsträgern aus der Branche, die sich der Aufgabe verschrieben hat, die Herausforderungen in Sachen Cyber Resilience zu untersuchen, mit denen Organisationen Angenommen, Sie verfügen über die entsprechende Finanzierung und die Unterstützung Ihrer auf der ganzen Welt konfrontiert sind, und gemeinsam Empfehlungen für mögliche Lösungsansätze zu erarbeiten. Geschäftsführung für den Aufbau eines zukunftsfähigen SOC: Wie geht es jetzt weiter? Die Experten vom CR Think Tank raten dazu, Ihr vorhandenes – intern oder extern betriebenes – SOC vorerst beizubehalten, Der Begriff Cyber Resilience wird dabei wie folgt definiert: “Die Fähigkeit einer Organisation, sich an schädliche solange es dem Unternehmen noch einen Nutzen bringt. Zugleich sollten Sie sich jedoch Gedanken Cybervorfälle anzupassen und auf diese zu reagieren - unabhängig davon, ob es sich um interne oder externe, böswillige darüber machen, was zukünftig anders werden soll, und diese Veränderungen schrittweise umsetzen: oder unbeabsichtigte Vorfälle handelt - in einer Weise, welche die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Diensten, die für die Organisation bedeutsam sind, aufrechterhält”. Unterstützen Sie die vorhandenen Analysten weiterhin nach Kräften. 1 Achten Sie auf ihre Arbeitsbelastung, aber auch auf Anzeichen einer potenziellen Ermüdung der Wachsamkeit und ihre Motivation insgesamt. Malcolm Harkins Juan Harmse Taylor Lehmann Chief Security & Head of Resilience Strategy & CISO Trust Officer Engagement AthenaHealth Bauen Sie die Talent-Pipeline auf. Cymatic ABSA GROUP Das ist sowieso immer eine kluge Strategie – und angesichts der klaffenden Schere 2 zwischen Angebot und Nachfrage auf dem Arbeitsmarkt für Cybersicherheitsfachkräfte eine unverzichtbare Voraussetzung für den Erfolg Ihres SOC. Gary Hayslip Sue Lapierre Peter Tran CISO VP, Information Security Vice President, Head of Maximieren Sie das Potenzial der vorhandenen Fach- und SoftBank Investment Adviors Officer Global Cyber Defense & Nachwuchskräfte durch Bereitstellung von Kommunikationskanälen, Prologis Security Strategy Worldpay die eine effizientere Abwicklung sicherheitsrelevanter Aufgaben 3 (Ticketbearbeitung, Vorfallreaktion usw.) unterstützen. Unabhängig davon, welcher Ansatz am besten zu Ihrem Unternehmen passt – SOC/NOC, Dr. Sam Small Maurice Stebila Jakub (Kuba) Sendor SOC/Produktentwicklung oder auch eine physische und strukturelle Trennung der Teams mit CSO CISO, Digital Cyber Security, Software Engineer ZeroFOX Compliance & Privacy Officer Yelp regelmäßigen Jobrotationen – gilt in jedem Fall: Entwickeln Sie eine Nachwuchsstrategie und HARMAN by Samsung arbeiten Sie an der nachhaltigen Umsetzung. Machen Sie sich das Potenzial von Technologien zunutze. Dazu gehören z.B. SIEM oder SOAR, die Vorfälle von Endbenutzergeräten, Servern und James Lugabihl Ari Schwartz Stephen Ward 4 Netzwerkgeräten sowie von Sicherheitseinrichtungen wie Firewalls, AV-Scannern oder IPS Senior Director, Global Managing Director of CISO Home Depot erfassen und Sie bei der Verwaltung von Ermittlungs- und Behebungsvorgängen Security Cybersecurity Services ADP Venable unterstützen können. Die auf diese Weise erfassten Daten können für Verlaufsanalysen verwendet sowie den Leitern der Fachabteilungen zugänglich Dawie Wemtzel Chris Wysopal Sam Curry CSO gemacht werden. Head of Forensic Investigations Chief Technology Officer Veracode CYBEREASON 5 Sobald Sie einen ganzheitlichen Überblick Ihrer Datensicherheitsumgebung gewonnen haben und diesen gegenüber anderen Geschäftsbereichen kommunizieren können, sollten Sie Ihr ABSA GROUP SIEM mit einem SOAR erweitern. Alternativ bietet Ihr SIEM-Anbieter möglicherweise eine SOAR- Funktion an – dadurch ersparen Sie sich die Implementierung zusätzlicher Tools und Anbieter in einer Umgebung, die vermutlich bereits unübersichtlich genug ist.7 Greig Arnold Bill Brown Marc French CISO CSO CISO, Managing Director Vista Consulting Group ClickSoftware Product Security Group Bei der Entscheidung über die komplette oder Genauso gut ist es jedoch möglich, dass die 7 Decluttering Your Security Environment, CR Think Tank teilweise Auslagerung von Sicherheitsaufgaben hier aufgeführten Faktoren ein überzeugendes müssen die unternehmensspezifischen Argument dafür darstellen, die Vorteile der Bedingungen stets berücksichtigt werden. Anwerbung und internen Ausbildung von Josh Douglas Scott Eigenhuis Shawn Valle Wenn es sich um eine simple „Make or Nachwuchskräften erneut zu prüfen. So oder VP Product Management Associate Director, CSO Threat Intelligence Information Security RAPID7 buy“-Entscheidung (Eigenfertigung versus so sind für den Erfolg eines SOC mehrere MIMECAST ILLUMINA Fremdbezug) handelt und die Außenperspektive Elemente ausschlaggebend: gut ausgebildete externer Analysten präferiert wird, ist die Frage Analysten und Techniker, hochentwickelte damit u. U. schon beantwortet – zumal wenn Tools und Automatisierung sowie die finanzielle der externe MSP die gewünschten Leistungen zu und strukturelle Unterstützung durch ein Michael Madon Claus Tepper SVP & GM Security Awareness Head of Cyber Security einem Preis anbietet, der attraktiver ist als der effizientes Unternehmen mit transparenten and Threat Intelligence Operations, Absa Group Aufbau eines eigenen Teams. Geschäftsabläufen und bereichsübergreifender Mimecast Zusammenarbeit. 14 15
Weitere Erkenntnisse aus dem Cyber Resilience Think Tank erhalten Sie unter mimecast.com/ThinkTank Printed on Recycled Paper
Sie können auch lesen