In der heutigen digitalen Welt ist IT-Sicherheit nicht länger Luxus, sondern eine Notwendigkeit. Unternehmen müssen nicht nur in der Lage sein, Cyberangriffe frühzeitig zu erkennen, sondern auch schnell auf diese zu reagieren.
Übersicht:
Prävention ist der erste Schritt zum Schutz einer Organisation gegen Cyberangriffe. Die Prävention umfasst Maßnahmen, die darauf abzielen, Hackerangriffe zu verhindern, noch bevor sie erfolgreich sind. Doch Prävention allein reicht nicht aus, um sich gegen professionelle Hacker zu schützen. Angesichts der raffinierten und ständig wechselnden Angriffsmethoden von Cyberkriminellen werden ausreichend motivierte und professionelle Hacker es stets schaffen, die Sicherheitsbarrieren von Organisationen zu durchdringen. Darum ist neben der Prävention von Hackerangriffen eine frühzeitige Erkennung von Angriffen, die Detektion ebenso wichtig wie eine effektive Reaktion.
Eine frühzeitige Erkennung und Reaktion stellen sicher, dass weitreichender Schaden verhindert werden kann. Um dies zu bewerkstelligen, hat sich das Konzept des 24/7-Security-Monitoring im Rahmen eines sogenannten Security Operation Center (SOC) etabliert. Ein SOC ist eine Organisationseinheit, in der Security Analyst:innen kontinuierlich Assets (z. B. Laptops der Belegschaft, Server, Benutzer:innenaccounts und Netzwerke) überwachen, auf Auffälligkeiten analysieren und bei Bedarf darauf reagieren.
Die fünf wesentlichen Sicherheitstools
Ein SOC besteht aus einer Sammlung vieler Sicherheitstools, die Security-Analyst:innen für ihre Arbeit verwenden. Im Folgenden werden die wesentlichsten fünf genannt:
- Extended Detection and Response (XDR) bietet eine umfassende und automatisierte Bedrohungserkennung und -reaktion auf Endgeräten, Servern, Firewalls, Cloud-Systemen sowie weiteren IT-Komponenten. XDRs sind die neueste Generation von Cybersecurity Tools und gelten als Weiterentwicklung von Endpoint Detection and Response (EDR) Tools, die wiederum die Nachfolger klassischer Antivirensysteme sind.
- Security Information and Event Management (SIEM) sammelt und analysiert zentral Logdateien und generiert Alarme durch eigens erstellte Regelwerke, sogenannte Use Cases, auf Basis dieser gesammelten Logdateien.
- Security Orchestration, Automation and Response (SOAR) ist eine mächtige Komponente, die je nach Sicherheitsalarm automatisiert Gegenmaßnahmen in IT-Systemen setzen kann. Dazu gehören z. B. das Blocken von E-Mails oder das Sperren von Benutzer:innenaccounts. Die Konfiguration und Wartung von SOAR-Systemen ist jedoch mit viel Personalaufwand verbunden.
- Network Detection and Response (NDR) analysiert den Netzwerkverkehr nach Auffälligkeiten, auf die Sicherheitsexpert:innen interaktiv reagieren können, indem sie z. B. bösartige Verbindungen kappen.
- Deception Technologies (vormals Honeypots) erkennen Angreifer:innen durch Verteilen von Ködern, wie Köder-Computer, die niemandem gehören und von der Belegschaft auch nicht benutzt werden. Sollte es einen Anmeldeversuch auf einem Ködersystem geben, ist dies mit hoher Wahrscheinlichkeit ein Hacker, wodurch ein Sicherheitsalarm ausgelöst wird.
Gestiegene Anforderungen
Über die Jahre ist in der Wahrnehmung von einigen IT-Leiter:innen oder Manager:innen das SIEM-System fast synonym geworden mit dem SOC, da es für lange Zeit das zentralste Security Tool im SOC war. Weiterentwicklungen der letzten Jahre widersprechen jedoch dieser Wahrnehmung und sehen das SIEM lediglich als Beiwagen im Arsenal des SOC. In einer Welt, in der Cyberangriffe zunehmend komplexer und ausgeklügelter werden, gelangen traditionelle SIEM-Systeme an ihre Grenzen. Ein SIEM erkennt Angriffe durch statische Regeln, sogenannte Use Cases, die manuell entwickelt und implementiert werden müssen. Die Implementierung und Wartung davon gestaltet sich nicht nur als äußerst ressourcenintensiv, sondern auch als ineffektiv, da sich Angreifer:innen heutzutage Techniken bedienen, die durch statische Use Cases kaum noch zu erkennen sind.
Vorteile von XDR
Das Herzstück eines NextGen SOC kann darum nicht mehr das SIEM sein, sondern es braucht ein zentrales XDR. Es stellt den neuen Mittelpunkt der modernen Cyber Defense dar. Im Vergleich zum SIEM lassen sich damit nicht nur Kosten sparen, sondern es ist auch effizienter. Es lässt sich mit beliebigen weiteren IT-Komponenten und Security Tools verbinden und bietet den Security-Analyst:innen im SOC eine zentrale Oberfläche, mit der Analysen durchgeführt werden können sowie direkt auf Vorfälle automatisiert, aber auch manuell reagiert werden kann. Zudem können die zentralen Dashboards eines XDR mit Informationen anderer Quellen wie den Ticketing-Systemen, GRC-Tools, Asset Management, Schwachstellenmanagement oder Ähnlichem angereichert werden und liefern den Analyst:innen den nötigen Business-Kontext, um fundierte Entscheidungen über die effektivsten Reaktionsstrategien treffen zu können.
Vielen SOC fällt es aktuell schwer, ihre Effektivität zu quantifizieren und zu messen und damit die enormen Ausgaben, die ein SOC mit sich bringt, zu rechtfertigen. Durch diese Zentralisierung und Anreicherung des XDR ist es die ideale Quelle, um KPIs abzuleiten und Berichte zu generieren.
Eine Frage der Ressourcen
Ein SOC, das rund um die Uhr 365 Tage im Jahr in Betrieb ist, benötigt typischerweise zumindest zehn bis zwölf Mitarbeiter:innen, um alle Schichten abzudecken und Urlaube sowie anderweitige Ausfälle kompensieren zu können. Da die wenigsten heimischen Unternehmen die hierfür notwendigen Ressourcen investieren können, haben sich Managed Security Service Provider (MSSP) etabliert. MSSP bieten ihre zentralen SOC-Services als Services für Businesskunden an. MSSP bieten eine Reihe von Vorteilen, darunter Erfahrungen und Expert:innen, Skalierbarkeit und Kosteneffizienz. Bei der Auswahl eines MSSP sollte heutzutage jedenfalls darauf geachtet werden, dass sie aktuelle Tools wie XDR einsetzen und nicht mehr hauptsächlich auf SIEM-Systeme setzen.
Neue Technologien berücksichtigen
Wir möchten Awareness dafür schaffen, dass das SIEM als Kernsystem des SOC ausgedient hat. Das SIEM hat noch seine Daseinsberechtigung, jedoch nicht mehr als Herzstück des SOC, in der es noch in vielen Serviceangeboten von MSSP oder in der Wahrnehmung von IT-Manager:innen verankert ist. Um sich gegen aktuelle professionelle Hackerangriffe zu schützen, müssen Organisationen verstärkt auf neue Technologien wie XDR setzen, ihre Security-Strategien aktualisieren und auch ihre Dienstleister entsprechend auswählen. Um laufende Hackerangriffe direkt eindämmen zu können, anstatt sie nur zu entdecken, sollten Security Operation Center (SOC) vor allem auf XDR-Lösungen setzen. Das SIEM als Herzstück des SOC hat ausgedient.