Effektives Security Operations beruht auf fünf SäulenArbeitsteilung unter Spezialisten nötig
11. September 2023Die anhaltende Bedrohung durch Cyber-Attacken stellt Unternehmen nach wie vor vor große Herausforderungen. Viele setzen in Sachen SecOps mittlerweile auf externe Anbieter. Doch auch dann ist IT-Sicherheit noch kein Selbstläufer, sondern bedarf gewisser Voraussetzungen. Dabei geht es um fünf Kernprinzipien, die für den Erfolg von SecOps entscheidend sind.
Unter dem Begriff SecOps – also Security Operations – fassen IT-Sicherheitsexperten alle operativen Tätigkeiten ihres Fachgebietes zusammen. Da das Portfolio an Aufgaben sehr breit gefächert ist, benötigen Unternehmen ein Security Operations Center (SOC), um ihre IT-Infrastruktur flächendeckend zu schützen – ein einzelner Mitarbeiter, der die Alerts aus EDR (Endpoint Detection and Response)- und SIEM (Security Information and Event Management)-Tools abarbeitet, genügt dafür keinesfalls.
Da die wenigsten Unternehmen die finanziellen Mittel für den Aufbau eines SOC haben und der Fachkräftemangel ihn selbst bei perfekten Voraussetzungen verhindert, setzen viele auf Outsourcing. Doch auch die Zusammenarbeit mit einem Serviceanbieter muss angesichts zunehmender Cyber-Attacken und einer sich ständig verändernden Bedrohungslage höchst effizient ablaufen.
Dabei bilden fünf Kernprinzipien ein erfolgreiches, effektives und effizientes SecOps.
- Automatisierung: Die Automatisierung ist ein zentraler Aspekt für SecOps-Teams, um nicht in der Alert-Flut unterzugehen. Sicherheitsexperten müssen daher mithilfe von SOAR (Security Orchestration, Automation and Response)-Tools sinnvolle Response Actions definieren, also automatisierte Reaktionen auf wiederkehrende Vorfälle. Die Software könnte zum Beispiel bei einem Alarm, der auf eine Ransomware-Attacke hinweist, den betroffenen Host automatisch isolieren.
- Kollaboration: Die nahtlose Zusammenarbeit zwischen Unternehmen und dem externen SOC eines MXDR-Anbieters ist das A und O für effizienten Schutz. Viele verwenden dafür auch in Zeiten elaborierter Kollaborations-Tools noch schwerfällige und langsame Ticket-Systeme. Sinnvoller ist allerdings die Nutzung von Plattformen wie Microsoft Teams oder Slack, die eine direktere und informellere Kommunikation aller Beteiligten ermöglichen. Dadurch kann die Mean Time To Respond (MTTR) verkürzt werden.
- Lokalisierung: Um höchste Sicherheit gewährleisten zu können, benötigen externe Dienstleister wie MXDR-Anbieter ein tiefes Verständnis der IT-Infrastruktur der Unternehmen, für die sie tätig sind. Dafür müssen sie einerseits die Clients, Endpunkte und Server gut kennen, andererseits aber auch die individuellen Eigenschaften und rollenbasierten Zugriffsrechte überblicken. Zudem ist es wichtig, dass sie genau wissen, was die vorhandenen Business-Applikationen ausmacht und welche davon für das Unternehmen und den täglichen Betrieb essenziell sind. Manche MXDR-Anbieter implementieren mit der Erlaubnis der Unternehmen KI-Bots, die die IT-Infrastruktur automatisch überwachen und die externen SOCs beim Auftauchen unbekannter Hard- oder Software informieren.
- Spezialisierung: In Sachen Sicherheitsarchitekturen ist weniger tatsächlich mehr. Viele Serviceanbieter setzen auf ein zu großes Portfolio an Sicherheitsprodukten. Der Nachteil: Ihre Experten müssen sich mit unterschiedlichen Technologien auseinandersetzen. Es ist daher sinnvoller, sich auf ein ganzheitliches Ökosystem eines Herstellers zu konzentrieren, Security Operations einfach sowie umfassend zu integrieren und somit in diesem Bereich höchste Qualität zu liefern. Auch internen IT-Experten fällt die Zusammenarbeit mit den externen Kollegen leichter, wenn das genutzte Produktportfolio möglichst aus einem Guss besteht.
- Prävention: Der beste Alert ist der, der gar nicht erst aufkommt. Unternehmen und Serviceanbieter sollten also gemeinsam daran arbeiten, Bedrohungen nicht nur reaktiv, sondern proaktiv anzugehen. Im Klartext bedeutet das, dass beide Seiten vorausschauend arbeiten. Auf Unternehmensseite heißt das, den Security-Partner auf Veränderungen der IT-Infrastruktur rechtzeitig hinzuweisen oder ihn sogar in die Evaluierung neuer Hard- oder Software einzubeziehen. Auf Seiten der Serviceanbieter heißt das unter anderem, viel Zeit in die sogenannte Threat Intelligence zu stecken, also in das Aufspüren von möglichen zukünftigen Sicherheitslücken und Bedrohungen.
Effizientes SecOps in die Praxis umzusetzen, ist kein leichtes Unterfangen – weder für MXDR-Anbieter noch für die Unternehmen. Daher ist es wichtig, dass alle Stakeholder an einem Strang ziehen und die Zusammenarbeit reibungslos funktioniert. Das klappt nur, wenn beide Seiten an einer lückenlosen Kommunikation arbeiten und in ihrem jeweiligen Verantwortungsbereich individuell alles dafür tun, um höchste Sicherheitsvorkehrungen zu treffen. Nur so können sie Hackern das Leben wirklich schwer machen.
Jochen Koehler ist Vice President für den Bereich EMEA Sales bei Ontinue.