Start Empfohlen Der aktuelle Stand der Einführung intelligenter Automatisierung in der Cybersicherheit

Der aktuelle Stand der Einführung intelligenter Automatisierung in der Cybersicherheit

5
0


Untersuchungen zeigen, dass im vergangenen Jahr fast ein Drittel der Unternehmen ihre Pläne zur Automatisierung wichtiger Sicherheits- und IR-Prozesse beschleunigt haben Weitere 85 Prozent planen, sie in den nächsten 12 Monaten zu automatisieren.

Trotz der Positivität dieser Statistiken haben viele Organisationen Schwierigkeiten, auf einen stärker automatisierten Prozess umzusteigen. Dies wurde kürzlich in einem Webinar hervorgehoben, das wir mit einem Gremium hochrangiger Cybersicherheitsexperten aus einer Vielzahl von Sektoren abgehalten haben. Die Diskussion ergab, dass die meisten Unternehmen zwar die Automatisierung erforschen, aber nur wenige wesentliche Fortschritte erzielt haben, und sie führten dies auf eine Kombination von Faktoren zurück, darunter ein besseres Verständnis der Automatisierung, verstärkte Unterstützung durch Anbieter und einen Mangel an guten IT-Grundlagen.

Die aktuellen Erfahrungen mit der Automatisierung der Cybersicherheit

Alle Teilnehmer waren sich einig, dass Automatisierung die Zukunft der Cybersicherheit ist und dass es in ihrem Interesse liegt, den Prozess zu untersuchen. Interessanterweise gaben die meisten Redner an, dass sie automatisierte Intrusion Detection-Systeme (IDS) verwenden, aber festgestellt haben, dass es Widerstand gegen das Hinzufügen eines Intrusion Prevention-Systems (IPS) gibt, falls Fehlalarme dazu führen, dass Systeme unnötig heruntergefahren werden, wie ein Delegierter sagte: „Sie haben Angst dass die Automatisierung des Blockierens ihre Welt zerstören wird“.

Während der Veranstaltung wurde die aktuelle Erfahrung mit der Automatisierung als frustrierend beschrieben. Während eine automatisierte Engine ein Problem erfolgreich erkennen kann, kann sie nicht beschreiben, was das Problem ist.

In diesem Fall kann sich das Erkennungssystem eher als Problem denn als Lösung anfühlen: „Das laute Kind in der Ecke“, wie es ein Teilnehmer ausdrückte. Ein Delegierter erwähnte, dass seine Plattform jeden Monat sechs Milliarden Datenpunkte erhebt. Davon müssen 1.000 manuell untersucht werden, und von diesen sind wahrscheinlich nur zwei echte Bedrohungen, aber trotzdem muss jemand damit beauftragt werden, diese 1.000 Bedrohungen zu untersuchen. Die menschliche Komponente existiert trotz automatisierter Intrusion-Detection-Prozesse immer noch.

Wie messen Unternehmen erfolgreiche Automatisierung?

Die Teilnehmer einigten sich auf einige der wichtigsten Methoden, mit denen sie erfolgreiche Automatisierung anhand von Zeit und Kosten gemessen haben, die als entscheidende Erfolgskennzahlen angesehen werden. Einige „messen den Erfolg, indem sie herausfinden, dass der Angriff stattgefunden hat und wie schnell sie diesen Angriff verhindern können, sowie sicherstellen, dass er sich nicht ausbreitet“. Automatisierte Reaktionen auf Bedrohungen haben Geld und vor allem Zeit gespart. Folglich wurde eine schnellere Reaktion als der Angreifer als wesentlicher Erfolgsmaßstab etabliert.

Andere wiesen darauf hin, dass der Erfolg einfach davon abhängt, ob das System des Unternehmens morgens noch funktioniert. Dabei geht es nicht darum, jede Herausforderung zu meistern, sondern sicherzustellen, dass die Bedrohung für das Unternehmen stark reduziert wurde. Ein Indiz dafür ist das Fehlen von False Positives, was als weiterer Erfolgsmaßstab angesehen wurde.

Wie Leon Ward von ThreatQuotient erläuterte, ist die Automatisierung der Cybersicherheit jedoch aufgrund der sehr unterschiedlichen Erfolgsmaßstäbe eine besondere Herausforderung. Die Automatisierung eines industriellen Prozesses kann einfacher sein, da er durch eine Verbesserung der Geschwindigkeit, der Leistung oder einer anderen Metrik gemessen werden kann. Insgesamt muss seiner Meinung nach der ultimative Maßstab für Erfolg darin gesehen werden, dass nichts Schlimmes passiert.

Welche Grundlagen müssen Unternehmen haben, um erfolgreich eine Umgebung für die Automatisierung aufzubauen?

Untersuchungen von ThreatQuotient ergaben, dass 41 Prozent der Unternehmen sagen, dass mangelndes Vertrauen in die Ergebnisse der Automatisierung deren Einsatz verhindert. Zahlreiche Teilnehmer stellten fest, dass eine Weiterbildung innerhalb der Unternehmen notwendig sei, um zu verstehen, dass es möglicherweise Auswirkungen auf den täglichen Geschäftsbetrieb geben muss, um sich selbst zu verteidigen.

Die Redner waren sich einig, dass die Überzeugung besteht, dass die Automatisierung den Sicherheitsteams ein größeres Ziel hinzufügen kann, da die Automatisierung als Overhead angesehen wird. Leider sind Probleme aufgrund der Natur der Cybersicherheit immer sofort erkennbar, wenn sie auftreten, was möglicherweise zur Vorsicht rund um das Automatisierungsangebot beiträgt, obwohl das Erkennen von Problemen eine gute Sache ist.

Darüber hinaus wurde hervorgehoben, dass viele Unternehmen nicht über die IT-Infrastruktur verfügen, um einen reibungslosen Übergang zur Automatisierung zu vollziehen. Unzusammenhängende Systeme und Legacy-Tools können zu Automatisierungsproblemen führen. Einige stellten fest, dass die Systeme ihres Unternehmens noch nicht einmal das Zurücksetzen von Passwörtern automatisieren können. Andere wiesen eher auf ein kulturelles Problem hin, da Menschen neuen Systemen oft misstrauisch gegenüberstehen und sich in manchen Unternehmen ärgern, wenn Sicherheitstools ihren Arbeitsablauf behindern.

Was muss passieren, um die Automatisierungsbemühungen in der Branche zu verbessern?

Diskutiert wurden überwiegend die Metriken, die in der Cybersecurity gängige Praxis sind. Die Metriken Mean Time to Detection (MTTD) und Mean Time to Response (MTTR) wurden als nicht sehr hilfreich angesehen, da es keinen sinnvollen Unterschied zwischen den beiden gab. „Wenn wir es entdeckt haben, haben wir reagiert“, war die allgemeine Meinung. Darüber hinaus ist das Messen von beiden schwierig, da es schwierig sein kann zu wissen, wann man mit dem Messen beginnen soll.

Es herrschte allgemein Einigkeit darüber, dass Metriken von schlechter Qualität den Vorstand dazu veranlassen, sich zu fragen: „Na und?“ Die Teilnehmer sagten, sie würden eine Metrik bevorzugen, die das Ausmaß der Abdeckung und des Erfolgs verfolgt, obwohl sie einräumten, dass es schwierig ist zu wissen, welche Datenpunkte verwendet werden könnten, um diese Dinge zu messen.

Der Bedarf an mehr Hilfe von Anbietern wurde als Aktionspunkt angesprochen, wobei die Delegierten zustimmten, dass es nützlich wäre zu wissen, wo Anbieter mit der Automatisierung zu kämpfen haben, anstatt dies selbst herauszufinden. Diese Art von Ehrlichkeit und Offenheit kann dazu beitragen, neue fruchtbare Partnerschaften zwischen Anbietern und Unternehmen aufzubauen.

Der nächste Schritt:

Insgesamt gibt es noch viel zu tun, um den Weg zur Automatisierung in der Cybersicherheit zu verbessern. Obwohl die Untersuchungen von ThreatQuotient auf positive Schritte hindeuten, zeigte die Roundtable-Veranstaltung, dass ein kultureller Wandel erforderlich ist, damit eine Massenakzeptanz stattfinden kann. Weiterbildung zum Thema ist ebenso erforderlich wie ein allgemeines Verständnis davon, was Erfolg ausmacht.

Anbieter können Schritte unternehmen, um sicherzustellen, dass dies geschieht, und dazu beitragen, das Vertrauen aufzubauen, das Unternehmen benötigen, um diesen Weg so reibungslos wie möglich zu gestalten. Die Teilnehmer waren letztendlich realistisch, wie ein Sprecher sagte: „Wir suchen nicht nach einer Wunderwaffe“. Anbieter müssen diesen Standpunkt berücksichtigen und sich bemühen, die notwendigen Partnerschaften aufzubauen, um zu lernen, sich zu verbessern und nach nachgewiesenen Maßnahmen zur Unterstützung der Automatisierung zu suchen.

Bildnachweis: Vladru/Shutterstock

Cyrille Badeau ist Vice President of International Sales, Bedrohungsquote



Vorheriger ArtikelEine Anlage im isländischen Nirgendwo will den Klimawandel umkehren
Nächster ArtikelStaatsanwaltschaft ermittelt gegen Bürgermeister von Bludenz

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein