Erweiterung von Detection and ResponseDer Kontext ist für die IT-Sicherheit notwendig
9. August 2022
IT-Sicherheitsteams sind unterbesetzt und überlastet, zudem sind sie immer noch dabei, zu den weitreichenden Auswirkungen der Pandemie aufzuholen. Leider ist kein Ende in Sicht, da sich die Qualifikationslücke vergrößert und die Komplexität der IT-Verwaltung weiter zunimmt, wobei Remote-Arbeitsprogramme von einer vorübergehenden Überbrückung anfänglicher Einschränkungen zu „Business as usual“ werden. Angriffe werden jedoch von Tag zu Tag ausgeklügelter.
Kein Wunder, dass viele Sicherheitsexperten sich darin sicher wägen, zahlreiche Sicherheits-Tools anzuschaffen, um damit der Bedrohungen von außen Herr zu werden. In der Hoffnung, die neueste und scheinbar beste Technologie einsetzen zu können, glauben CISOs, dass das Hinzufügen einer weiteren Sicherheitsebene ihre Risikoexposition verringern wird. Wenn es nur so einfach wäre. Die Hinzufügung von mehr Technologie kann einige der Probleme lösen, sie kann jedoch auch die Aufmerksamkeitsspanne der Teams weiter verkürzen, was mit der Zeit zu mehr Problemen führt.
Umgekehrt herrscht auf Vorstandsebene Verunsicherung. Die Vorstandsmitglieder sind mit der Fülle von Akronymen rund um die Sicherheit überfordert – Security Incident and Event Management (SIEM), Security Orchestration Automation and Response (SOAR) und Endpoint Detection and Response (EDR) – um nur einige zu nennen, die alle nach Investitionen schreien und sich zu überschneiden scheinen. Jetzt gibt es auch noch Extended Detection and Response (XDR). Wie können Verantwortliche also verstehen, was davon welchen Wert liefert?
In Wirklichkeit liegt das Problem nicht bei den Werkzeugen. Jedes Tool – sei es SIEM, SOAR oder EDR – ist für sich genommen wertvoll. Mit jeder neuen Integration werden Unternehmen jedoch mit größeren Datensilos konfrontiert. Jedes Dashboard meldet seine eigenen Metriken, die auf der Sichtbarkeit seines Einsatzortes im Unternehmensnetzwerk und seinen spezifischen Anwendungsfällen basieren. Analysten müssen sich dann mit einer schieren Zahl von Warnmeldungen aus den verschiedenen Lösungen auseinandersetzen.
Über den Wert von Tools
Das führt zu Problemen, wenn ein und dieselbe Warnung an mehrere Teams weitergeleitet wird oder wenn Probleme übersehen werden. Bei den ohnehin schon stark geforderten Sicherheitsanalysten kann das dazu führen, dass sie bei der hohen Zahl an Warnungen nicht mehr auf jede einzelne eingehen. Um dem entgegenzuwirken, sind XDR-Lösungen als oberste Schicht konzipiert, um jeden potenziellen Vorfall im digitalen Bereich zu untersuchen und die Erkennung von und Reaktion auf Vorfälle (Detection and Response) in Echtzeit zu ermöglichen. Doch nicht alle XDRs sind gleich.
Einige der aktuellen Lösungen geben Daten an die Benutzer weiter, was für den Analysten nur zusätzliche Arbeit bedeutet, da er diese Daten immer noch interpretieren und unzählige manuelle Entscheidungen über die erforderlichen Maßnahmen treffen muss. Aktuelle SIEM- und XDR-Lösungen sammeln passiv und reaktiv unterschiedliche, nicht zusammenhängende Protokolle, wodurch eine große Menge an Benachrichtigungen entsteht, die dem Sicherheitsanalysten die Last der Korrelation und Priorisierung aufbürdet.
Der Schwerpunkt wird wieder auf den Benutzer gelegt, der diese Meldungen durchforsten muss, um Bedrohungen zu erkennen und auf der Grundlage seiner Analyse entsprechende Prioritäten für Reaktionen und Abhilfemaßnahmen festzulegen. Das ist eine herausfordernde Aufgabe für jedes Team, wenn man bedenkt, wie viele Warnmeldungen täglich eingehen. Vor allem, wenn es sich um Fehlalarme handelt, die Zeit kosten und die Motivation der Mitarbeiter beeinträchtigen.
Einblick als wesentlicher Faktor
Hier kommt der Wert von Einblick in den Kontext ins Spiel. In einem Tool kann ein Protokoll oder eine Warnung wie jede andere aussehen. Kombiniert man sie jedoch mit externen Bedrohungsdaten und anderen Sicherheitsdaten, erhält diese harmlose Anfrage plötzlich eine neue Bedeutung und steigt auf der Prioritätenliste schnell nach oben.
XDR wurde entwickelt, um Datensilos aufzubrechen und Analysten dabei zu helfen, einen besseren Einblick zu gewinnen, indem eine einheitliche Sicht auf sämtliche Assets des Unternehmens und ihre Bedrohungen geschaffen wird. Durch die Kombination verschiedener Sicherheitslösungen und -funktionen auf einer Plattform können Analysten genau verstehen, was in ihrer Umgebung vor sich geht, und zwar aus einer einzigen Sicht.
Security-Analysten sind dann in der Lage, die Gesamtheit mehrerer Warnmeldungen von verschiedenen Plattformen zu nutzen und eine einheitliche Sicht auf den Technologie-Stack des Unternehmens zu erhalten. Durch die Korrelation von Daten aus Asset-Inventar und Schwachstelleninformationen, Netzwerkendpunkt-Telemetrie, hochwertigen Bedrohungsdaten und Protokolldaten von Drittanbietern werden Analysten mit mehr Kontext zu den Vorgängen versorgt und eine effektivere Reaktion auf Bedrohungen in Echtzeit ermöglicht.
Der Bedrohungs-Kontext sorgt dafür, dass nicht zu viel Zeit für das Abarbeiten manueller Aufgaben aufgewendet wird, sondern gezielte Untersuchungen dort stattfinden, wo sie wirklich notwendig sind. Sicherheitsteams sind unterbesetzt und haben nur begrenzt Zeit zur Verfügung, zudem haben sie mit Einschränkungen aufgrund von Remote-Arbeit und der Bewältigung von mehr Angriffen zu kämpfen.
Daher ist die Bereitstellung von Kontext mithilfe von XDR ein effektiver Weg, um Unternehmen das zu bieten, was sie zur Verbesserung ihrer Risikostruktur und ihres Sicherheitsansatzes benötigen. Andernfalls wird es für die Teams schwierig sein, Arbeitsabläufe zu verwalten und potenzielle Probleme zeitnah zu bewältigen.
Paul Baird ist UK Chief Technical Security Officer bei Qualys.
