Start Empfohlen Ist es an der Zeit, die Datenzentralisierung zu überdenken, um Cybersicherheitsuntersuchungen zu...

Ist es an der Zeit, die Datenzentralisierung zu überdenken, um Cybersicherheitsuntersuchungen zu unterstützen? [Q&A]

16
0


Zifferblatt zur Datensicherheit

Security Information and Events Management (SIEM) ist in den letzten Jahren zum Grundpfeiler der Sicherheitsstrategien vieler Unternehmen geworden.

Aber ist es effektiv? Und ist im Zeitalter der zunehmenden Cloud- und SaaS-Nutzung der richtige Zeitpunkt für ein radikales Umdenken des SIEM-Konzepts? Andrew Maloney, COO und Mitbegründer des Security Investigation Specialist Abfrage.AI denkt es ist. Wir haben mit ihm gesprochen, um mehr zu erfahren.

BN: Unternehmen haben jahrelange Anstrengungen und Millionen von Dollar aufgewendet, um Daten zu zentralisieren, um effektiv auf Cybersicherheitsvorfälle reagieren zu können. Ihrer Ansicht nach müssen wir das überdenken. Warum ist das so?

AM: Seit mehr als 20 Jahren versuchen Unternehmen in der gesamten Cybersicherheitsbranche, ein universelles zentrales Repository für Unternehmen zu schaffen, um alle ihre Daten an einem Ort abzulegen. Die Idee war, Sicherheitsuntersuchungen und -reaktionen zu rationalisieren. Dieser Ansatz war anfangs konzeptionell vernünftig, als die Datenmengen klein waren und die Datenquellen hauptsächlich von Netzwerkgeräten stammten, aber dann begannen die Daten zu explodieren. Heute sind die Datenmengen enorm, zudem sind die Daten hochverteilt. Es scheint, dass jede Organisation, mit der wir sprechen, nicht nur eine Cloud-Technologie, sondern eine Kombination aus AWS-, Azure- und GCP-Cloud-Infrastrukturtechnologien verwendet hat. Darüber hinaus führt die zunehmende Akzeptanz von SaaS-Anwendungen dazu, dass traditionell lokale Technologien wie Endpunkte (EDR), Identität, Bedrohungsinformationen, Schwachstelleninformationen usw. ersetzt werden. Und die Liste geht weiter.

Daten leben nicht mehr an einem Ort. Es lebt in der Cloud, bei Drittanbietern und lokal. Es ist äußerst schwierig, kostspielig und ineffizient, diese Daten in diese Umgebungen hinein und aus diesen heraus zu senden. Daher ist der veraltete Ansatz der universellen Datenzentralisierung unmöglich geworden. Das Festhalten an dieser Ideologie hindert Unternehmen daran, schnell auf Bedrohungen in ihren Ökosystemen zuzugreifen, sie zu untersuchen und darauf zu reagieren. Dies führt zu ernsthaften Ineffizienzen bei Cybersicherheitsuntersuchungen, die Gegnern mehr Zeit geben, in einer bestimmten Umgebung zu verweilen und mehr Zeit zu haben, sich seitlich zu bewegen, um Daten zu aggregieren und zu exfiltrieren.

BN: Können Sie die Ineffizienz dieser Untersuchung näher erläutern und wie Unternehmen damit umgehen können?

AM: Absolut. Einer unserer Kunden ist eine globale Anwaltskanzlei mit mehr als 7.000 Mitarbeitern in 45 Ländern und einer großen Sicherheitsinfrastruktur, die verwaltet werden muss. Das Team musste 20 verschiedene Syntaxen verwenden, um 20 verschiedene Systeme zu betrachten, und dies wurde durch manuelle Analysen unterstützt. Es kann bis zu einer Stunde dauern, bis sie eine einfache Anfrage wie „Welches andere System war in dieser Domäne?“

Das Unternehmen führte zunächst eine SOAR-Plattform ein, um den Reaktionsprozess auf Vorfälle zu verbessern, aber dies verschlimmerte das Problem. Die Verwaltung der API-Integrationen erforderte viel Zeit. Die Erstellung jedes Playbooks war eine spezielle Softwareentwicklung, die ein Verständnis dafür erforderte, welche Daten die Analysten benötigen würden, was nicht funktionierte, da jede Untersuchung dynamisch ist.

Um dieser vielfältigen Herausforderung zu begegnen, hat diese Anwaltskanzlei eine Kontrollebene implementiert, die alle ihre Datensilos überlagert, um direkt dort, wo sie sich befinden, in Echtzeit auf Daten zuzugreifen und diese zu analysieren. Dies ermöglichte dem Unternehmen einen zentralen Zugriff auf dezentrale Daten und gab ihm eine einheitliche Browseroberfläche für die Durchführung von Triage und Untersuchungen über Sicherheitstools hinweg. Mit einer einzigen Frage erhält das Team nun eine gemeinsame Antwort für alle relevanten Systeme, wodurch das Burnout der Analysten, das mit der Verfolgung von Low-Fidelity-Warnungen verbunden ist, reduziert und ihr Potenzial verstärkt wird.

BN: Was muss sich noch ändern?

AM: Gemeinsam müssen wir die Arbeit der Sicherheitsanalysten erleichtern. Wie das oben beschriebene Beispiel zeigt, hat Tool Bloat ironischerweise den manuellen Aufwand für SOC-Teams erhöht. CISOs können die Qualifikationslücke und den Talentmangel nur schwer bewältigen, sodass sie sich auf das konzentrieren müssen, was sie kontrollieren können.

Eine der größten Herausforderungen für die Mitglieder des Sicherheitsteams besteht darin, die Besonderheiten jeder Lösung im Sicherheits-Stack des Unternehmens kennenzulernen, von denen jede ihre eigene Suchsyntax für die Durchführung von Triage und sogar die grundlegendsten Untersuchungen erfordert. Darüber hinaus müssen die Teammitglieder zwischen diesen Technologien wechseln, um die Punkte bei Warnungen manuell zu verbinden und Untersuchungen durchzuführen. Diese Anforderungen machen es schwierig und kostspielig, die richtigen Talente zu finden, es ist zeitaufwändig, Nachwuchskräfte auszubilden, nur um sie zu verlassen, wenn sie weiterführende Fähigkeiten entwickeln, und ermüdend für Sicherheitsanalysten, ihre Arbeit zu erledigen. Wenn die Mitarbeiter ihre Sicherheitsdaten sprach-, orts- und plattformneutral von einem Ort aus analysieren können, ändert sich wirklich die Art und Weise, wie Unternehmen dem Fachkräftemangel begegnen können. Es erhöht die Produktivität und Effektivität von Analysten dramatisch und reduziert Burnout und Fluktuation, indem es den Analysten eine bessere Arbeitsumgebung bietet.

BN: Wie hat sich der „COVID-Effekt“ von mehr Menschen, die von zu Hause aus arbeiten, auf die Sicherheitsteams ausgewirkt?

AM: In meinen Gesprächen mit CISOs in den ersten Tagen der Pandemie schienen sie nicht besorgt darüber zu sein, nicht die richtigen Fähigkeiten zu haben, um die Verlagerung zur Remote-Arbeit sicherzustellen. Sie waren eher besorgt, dass sie Unternehmenswerte nicht mit den richtigen Kontrollen kaufen und einsetzen konnten. Dies führte zu einem Wiederaufleben von BYOD-Sicherheitsproblemen und beschleunigte den Übergang zu Zero-Trust-Modellen, um sicherzustellen, dass Mitarbeitergeräte mit der geringsten Anzahl von Berechtigungen auf Netzwerke und Anwendungen zugreifen können.

Schneller Vorlauf bis jetzt. Da die meisten Unternehmen zu hybriden Arbeitsmodellen wechseln, wechseln sie flüssiger zwischen Heim- und Büronetzwerken und arbeiten an verschiedenen Gerätetypen. Dies löst den Sicherheitsperimeter weiter auf, was es wichtig macht, auf Zero Trust zu verdoppeln und in Technologien wie SASE und Security Asset Management zu investieren. Darüber hinaus verändert der hybride Arbeitsplatz die Bedrohungslandschaft, da Ransomware- und Phishing-Angriffe stärker bedacht werden, was eine beschleunigte Untersuchung und Reaktion auf Vorfälle erfordert.

BN: Wie wichtig ist es, den Bösen immer einen Schritt voraus zu sein?

AM: Die großen Cyberangriffe des letzten Jahres zeigen, dass die Gegner wohl die Oberhand haben. Wichtig ist hier jedoch, dass Sie vorbereitet sind, und der erste Schritt ist, Ihre Umgebung zu verstehen. Dies bedeutet, dass jede Funktion des Unternehmens geprüft wird, um die für das Unternehmen wichtigsten „Kronjuwelen“-Daten klar zu verstehen. Eine rigorose Analyse des Geschäfts wird potenzielle Lücken und blinde Flecken in der Sicherheitsarchitektur aufdecken, die angegangen werden müssen. Von dort aus müssen Sicherheitsverantwortliche mit dem Führungsteam und dem Vorstand zusammenarbeiten, um zu bestimmen, was die Unternehmensführung nachts wach hält, um ihre Bemühungen basierend auf der allgemeinen Risikotoleranz zu priorisieren.

Unternehmen benötigen einen gut etablierten und gut praktizierten Vorfallreaktionsplan für den Fall, dass sie angegriffen werden. Hier gilt die 1-10-60-Regel – eine Minute, um einen Angriff zu erkennen, 10 Minuten, um ihn zu untersuchen und 60 Minuten, um ihn zu beheben. Leider ist diese Regel aufgrund der Zeit, die für die Untersuchung in expandierenden Umgebungen benötigt wird, schwer einzuhalten. Da alles so dezentralisiert ist, müssen Sicherheitsteams in der Lage sein, die richtigen Fragen zu stellen und schnell Antworten zu erhalten, um die Bedrohung einzudämmen. Sie müssen in der Lage sein, Echtzeitzugriff und zentralisierte Einblicke zu erhalten, ohne Daten in und aus Cloud-, SaaS- und lokalen Umgebungen senden zu müssen. Diese Fähigkeiten sind heute vorhanden, und Unternehmen müssen sich nun entscheiden, ob sie weiterhin so vorgehen, wie wir es immer getan haben, oder die Ermittlungen beschleunigen und effizient auf Bedrohungen reagieren.

Bildnachweis: Tashatuvango / Shutterstock



Vorheriger ArtikelDark-Web-Daten verbreiten sich schneller denn je
Nächster ArtikelAndroid-Apps sind jetzt zum Testen unter Windows 11 verfügbar! So fangen Sie an

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein