NicoElNino - stock.adobe.com
Wie Automatisierung und Analytics die IT Security verändern
Es wird immer wichtiger, nicht nur reaktiv auf Gefahren einzugehen, sondern sich proaktiv vor ihnen zu schützen. Dabei spielen Automatisierung und Analytics eine große Rolle.
Viele Security-Tools werden kontinuierlich um neue Fähigkeiten erweitert. Daher müssen sich auch die Sicherheitsexperten, die mit diesen Werkzeugen arbeiten, weiterentwickeln. Zum einen können zahlreiche Aufgaben nun automatisiert werden, zum anderen lassen sich damit heute weit mehr Informationen über die IT-Sicherheitslage eines Unternehmens gewinnen als früher. Die Zeiten, als noch hochbezahlte IT-Sicherheitsexperten stundenlang Log-Dateien studieren mussten, gehören damit der Vergangenheit an.
Das ändert aber nichts daran, dass noch immer ein Fachkräftemangel an erfahrenen Security-Profis herrscht. Viele CISOs (Chief Information Security Officers) haben daher weiterhin große Probleme, geeignete Mitarbeiter für ihre IT-Security-Teams zu finden.
Maschinen können heutzutage aber einen immer größeren Teil der Arbeiten übernehmen. Sie sollten sich daher genau überlegen, wie Sie die Erkenntnisse am besten nutzen, die Sie dank modernster Werkzeuge zur Automatisierung und für erweiterte Analysen gewinnen können. Die Tools können nicht nur aktiv stattfindende, sondern auch künftige Angriffe schneller und effektiver bekämpfen.
Um jedoch in vollem Umfang von diesen Anwendungen zu profitieren, sollten Sie zuerst den Bereich SecOps (Security Operations, also ihr Tagesgeschäft) überdenken. Insbesondere bedeutet das, dass Sie von rein reaktiven Maßnahmen nach Angriffen umstellen sollten auf proaktive Schritte. So können Sie auch in Zukunft sicherheitsrelevante Vorfälle vermeiden.
Um zu verstehen, wie Sie von einem reaktiven zu einem proaktiven Vorgehen wechseln, sollten Sie sich mit den Vorteilen von Lösungen zur Automatisierung und Analytics beschäftigen. Im Folgenden finden Sie eine Reihe von Tipps und Überlegungen, die Ihnen dabei helfen, eine proaktive Vorgehensweise einzuführen.
Schritt 1: Wie sieht der aktuelle Status aus?
Einer der wichtigsten Bereiche, in denen sich die Automatisierung positiv auswirkt, ist die so genannte Awareness. Damit ist gemeint, dass Sie über den aktuellen Zustand in Ihrer IT-Umgebung jederzeit Bescheid wissen. Aus Sicht der IT-Security umfasst der Begriff Awareness mehrere Teile:
- Asset Management: Die meisten Unternehmen haben keine oder nur unzureichende Kenntnisse über den aktuellen Zustand ihrer Umgebungen. Manche wissen oft noch nicht einmal, welche ihrer Ressourcen die höchste Bedeutung für sie haben. Mit automatisierten Tools zum Asset Management bleiben Sie jedoch jederzeit über alle Assets auf dem Laufenden, seien es Endgeräte, Workloads, Container oder Data Repositories.
- Threat Detection: Die meisten IT-Security-Experten kennen sich mit traditionellen Methoden wie IDS und IPS (Intrusion Detection, Intrusion Prevention Systemen) sowie SIEM-Lösungen (Security Information and Event Management) mehr oder weniger gut aus. Neuere Technologien wie XDR (Extended Detection and Response) sorgen für zusätzliche Erkenntnisse über potentielle Bedrohungen und Angriffe, die aktuell auf den Endpunkten im Unternehmen stattfinden.
- Risikoanalysen: Es genügt allerdings nicht, nur über die eigene IT-Umgebung und potentielle sowie tatsächlich stattfindende Angriffe Bescheid zu wissen. Awareness bedeutet auch, dass Sie verstehen, welche Attacken am gefährlichsten für Ihr Unternehmen sind und welche Ressourcen das größte Risiko haben, zum Ziel eines Einbruchs zu werden. Sie müssen daher darüber hinaus in der Lage sein, diese Risiken in konkrete Maßnahmen zu übersetzen.
Viele der in diesem Bereich eingesetzten Werkzeuge orientieren sich am MITRE ATT&CK Framework oder am NIST Cybersecurity Framework. Andere verwenden ihre eigenen Entwicklungen.
Schritt 2: Einblicke in das, was passieren kann
Zunächst einmal sollten Sie genau darüber Bescheid wissen, was in Ihrer IT-Umgebung geschieht. Dabei geht es um die Ebene der Geräte, bestehende Risiken bis zu Auswirkungen von sicherheitsrelevanten Vorfällen.
Der nächste Schritt ist, darauf vorbereitet zu sein, was in Zukunft geschehen kann. Dieser Bereich ist das Feld der so genannten Predictive Analytics. Viele Lösungen zur Threat Intelligence und manche der Tools, mit denen sich Erkenntnisse über die aktuelle IT-Sicherheitslage gewinnen lassen, enthalten bereits solche Fähigkeiten.
Sie können daher dazu genutzt werden, um sich nicht mehr nur über die wahrscheinlichsten Bedrohungen in nächster Zeit zu informieren, sondern auch darüber, welche voraussichtlich den größten Schaden anrichten werden. Dadurch können Sie Gefahren bereits im Vorfeld einschätzen und abzuwehren.
Schritt 3: Automatische Reaktionen auf sicherheitsrelevante Vorfälle
Mit einer modernen Automatisierung können Sie die Kluft zwischen Wissen und Auswirkung überbrücken. Dank ihr leiten Sie schnell Maßnahmen ein, um gefährdete Systeme zu sichern, Eindringlinge abzuwehren und Angriffe unschädlich zu machen.
Werkzeuge zur Security Orchestration sowie zur Automation and Response ermöglichen es Security Operations Centern (SOCs), mit flexiblen Maßnahmen auf sicherheitsrelevante Vorfälle zu reagieren. Auch neue Technologien wie XDR (Extended Detection and Response) enthalten heutzutage bereits oft automatisierte Elemente.
Wie sich Automatisierung auf SecOps auswirkt
Dank der breiten Verfügbarkeit von Werkzeugen zur Automatisierung haben Sie viele Möglichkeiten, um ihre Prozesse anzupassen und um in vollem Umfang von den neuen Fähigkeiten zu profitieren. Im Folgenden finden Sie einige der Änderungen, die Sie in Betracht ziehen sollten:
-
Führen Sie regelmäßige Überprüfungen neuer Geräte, Systeme und Anwendungen durch. Anstatt jedoch viel Zeit und Energie in das Aufspüren dieser Geräte zu investieren, sollten Sie sich auf die Änderungen bei den Assets konzentrieren.
-
Führen Sie immer wieder Übungen und simulierte Angriffe durch, die über reine Penetrationstests hinausgehen. So können Sie bessere Voraussagen über zukünftige Bedrohungen und Angriffe treffen. Mit automatisierten Maßnahmen sammeln Sie Hinweise auf bevorstehende Angriffe. Das erleichtert Ihnen, angemessene Reaktionen zu ergreifen, um Schwachstellen in Ihren Prozessen und Techniken rechtzeitig zu identifizieren. Diese Übungen sowie simulierte Attacken sind eine gute Möglichkeit, um Sicherheitslücken aufzuspüren und zu schließen.
-
Überdenken Sie zudem Ihre Abläufe zur Abwehr von Bedrohungen. Erst danach können Sie von den erweiterten Möglichkeiten der Automatisierung profitieren. Vor allem müssen Ihre Mitarbeiter genau darüber Bescheid wissen, wann eine automatisierte Antwort eintritt und wann nicht. So kann sich das Team besser darauf vorbereiten, wie es im Einzelfall reagieren soll. Auf diese Weise kommt es auch zu weniger Problemen bei der Zusammenarbeit zwischen den automatisierten Systemen und Ihren menschlichen Mitarbeitern.
-
Nutzen Sie Ihre Audits. Einer der Vorteile der Automatisierung und moderner Analytics ist, dass das Erstellen von Audits damit erheblich vereinfacht wird. Jede durchgeführte Aktion hinterlässt nun eindeutig identifizierbare digitale Spuren. Lassen Sie diese Informationen nicht unberücksichtigt. Als Teil monatlich oder auch vierteljährlich durchgeführter Überprüfungen sollten Sie die verfügbaren Daten genau analysieren. So finden Sie heraus, was wirklich geschehen ist und ob es mit Ihren Erwartungen übereinstimmt.
All diesen Veränderungen ist eines gemeinsam: Sie ermöglichen den Übergang von einer rein reaktiven zu einer proaktiven Vorgehensweise. Anstatt erst nach einem Alert oder einem Fehler bestimmte Maßnahmen zu ergreifen, erhalten Sie dadurch die Freiheit, umfassende Analysen nach Vorfällen durchzuführen und für die Zukunft besser planen zu können. Was bleibt im Ergebnis? Automatisierung und Analytics können die Effektivität Ihrer Maßnahmen erheblich erhöhen. Das gilt aber nur dann, wenn Sie auch tatsächlich bereit sind, proaktiv zu handeln.