Start Empfohlen Wie Sicherheitszentralen die „Warnungsüberlastung“ überwinden und ihre Reife erreichen können

Wie Sicherheitszentralen die „Warnungsüberlastung“ überwinden und ihre Reife erreichen können[Q&A]

47
0


Unternehmenssicherheit

Security Operations Center stehen an vorderster Front, wenn es darum geht, sich vor Bedrohungen zu schützen. Viele der Teams in diesen lebenswichtigen Einrichtungen arbeiten jedoch ohne die Zeit, das Personal und die Ressourcen, die sie für einen Spitzenbetrieb benötigen. Eines der Hauptprobleme von SOCs ist die „Warnungsüberlastung“, ein Begriff, der die Schwierigkeit beschreibt, mit der Lawine von Warnungen umzugehen, die jeden Tag der Woche generiert werden.

Um herauszufinden, wie SOCs dieses Problem überwinden und Betriebsreife erlangen können, haben wir mit Faiz Shuja, Mitbegründer und CEO für risikobasierte Sicherheit, gesprochenSIRP.

BN: Wie wirkt sich die Alarmüberlastung auf die Produktivität von Security Operation Centern aus?

FS: Alert Overload ist ein menschliches Problem, das sich direkt auf SOC-Analysten und die von ihnen verwendeten Systeme auswirkt. Unsere Untersuchungen legen nahe, dass ein durchschnittliches SOC-Team täglich 840 Warnungen erhält, die von einfachen Passwortraten bis hin zu Benachrichtigungen über schwerwiegende Sicherheitsverletzungen oder Cyberangriffe reichen. Viele davon werden von manuell arbeitenden Teams übersehen, die durch die schiere Anzahl von Warnungen überlastet werden können. Dies ist eine große Sorge für CISOs, wie auch unsere Umfrage ergab. Etwa jeder Dritte sagt uns, dass fehlende Warnungen ein erhebliches Problem darstellen.

Wenn dieses Problem nicht angegangen wird, riskieren Unternehmen den Verlust von Sicherheitsexperten, die es möglicherweise satt haben, ständig Brände zu bekämpfen, anstatt sich mit anspruchsvollen Aufgaben auf hohem Niveau zu beschäftigen. Mehr als die Hälfte der Analysten sagten uns, dass der Umgang mit alltäglichen Aufgaben wie Warnungen die größte Frustration ist, mit der sie bei der Arbeit zu tun haben. Dieses Problem hat sich während der Pandemie nur verschärft, was zu einem Personalabbau geführt hat und daher die Teams gezwungen hat, mehr Zeit für Routineaufgaben aufzuwenden. Die tägliche Arbeitszufriedenheit von Sicherheitsexperten sollte für Unternehmen ein wichtiges Anliegen sein, da der Verlust eines erfahrenen Analysten ein schwerer Schlag ist und aufgrund des Mangels an Cyber-Fachkräften extrem schwer zu ersetzen sein kann.

BN: Welche anderen operativen Probleme haben SOCs?

FS: Eine große Herausforderung für das Sicherheitspersonal ist die fehlende Tool-Integration. Das durchschnittliche SOC verwendet ungefähr 18 verschiedene Sicherheitslösungen, um Unternehmen vor Angriffen zu schützen. Dies kann Analysten daran hindern, eine einheitliche Sicht auf die Bedrohungslandschaft zu haben. Sie verschwenden auch Zeit damit, von einer Benutzeroberfläche zur nächsten zu wechseln, ohne eine einfache Möglichkeit zu haben, die von den verschiedenen Lösungen generierten Daten zu vergleichen. Wenn Analysten Daten nicht schnell vergleichen können, besteht ein erhöhtes Risiko, Schwachstellen und Sicherheitsprobleme nicht zu bemerken.

Eines der anderen Probleme, das die Leistung von SOCs behindert, ist der Mangel an Dokumentation, wie sie angemessen auf Risiken reagieren sollten. Als Playbooks bezeichnete Dokumente können für den Betrieb eines effektiven SOC von grundlegender Bedeutung sein, da sie Teams die Möglichkeit bieten, konsistente Antworten bereitzustellen. Nehmen wir ein einfaches, alltägliches Problem: das Ende der Schichten. Wenn ein Analyst ein Problem an einen Kollegen übergibt und dann abmeldet, muss der gerade eingeloggte Analyst Zeit damit verschwenden, herauszufinden, was passiert ist und was getan werden muss, bevor er Maßnahmen ergreift. Mit einem Playbook entfällt die langwierige Übergabe. Und diese Lektion kann auf viele Situationen angewendet werden. Wenn ein Prozess zu befolgen ist, können Probleme effektiver gelöst werden.

Playbooks basieren auf dem Wissen und der Erfahrung von Analysten. Es sollten Playbooks vorhanden sein, die die Reaktionen auf jede Bedrohung, der ein Unternehmen ausgesetzt sein könnte, wie Phishing, Sicherheitsverletzungen oder Ransomware-Infektionen, regeln. Im Idealfall sollten diese genügend Details enthalten, um schließlich die Automatisierung von Bedrohungsreaktionen voranzutreiben, ein Prozess, der die SOC-Mitarbeiter weiter von alltäglichen Routinearbeiten befreit und ihnen die Freiheit lässt, sich auf hochrangige Aufgaben zu konzentrieren.

BN: Wie baut man ein ausgereiftes SOC auf?

FS: Die erste Herausforderung beim Aufbau eines ausgereiften SOC besteht darin, sicherzustellen, dass Teams schnell und effektiv auf auftretende Bedrohungen reagieren können. Ein Teil dieses Problems kann durch die Implementierung von Dashboards gelöst werden, die die Daten und Warnungen sammeln, die von verschiedenen von einer Organisation verwendeten Sicherheitslösungen erzeugt werden, wodurch eine schnelle und effektive Situationsbewertung ermöglicht wird. Diese Funktion ermöglicht es einem SOC, sofort zu sehen, welche Lösungen Schwachstellen oder Bedrohungen erkannt haben, und diese Informationen dann mit Daten zu korrelieren, die von anderen Tools gesammelt wurden, um einen ganzheitlichen Überblick über den Sicherheitsstatus des Unternehmens zu erhalten.

Security Information and Event Management (SIEM)-Plattformen können einem SOC auch dabei helfen, seine Reife zu erreichen, indem sie Ereignisse sammeln, aggregieren, kategorisieren und analysieren, um Muster aufzudecken, die auf eine Sicherheitsverletzung oder einen Cyberangriff hindeuten könnten. Tatsächlich würde ich sagen, dass es für ein SOC schwierig, wenn nicht unmöglich ist, ohne eine SIEM-Plattform zur Reife zu gelangen.

Aber wenn SIEM erst einmal eingerichtet ist, ist die Arbeit noch nicht beendet. Es erfordert immer noch eine regelmäßige Abstimmung und Wartung, um die Genauigkeit zu gewährleisten, sodass Analysten manuelle Arbeiten durchführen müssen, um das System zu warten. Möglicherweise müssen sie auch jede Warnung überprüfen, um herauszufinden, ob es sich um eine echte Bedrohung oder ein falsch positives Ergebnis handelt. SOCs müssen auch eine SOAR-Plattform (Security Orchestration, Automation and Response) bereitstellen, die die vom SIEM erzeugten Warnungen aufnimmt und dann Sicherheitsbedrohungen unter Rückgriff auf die in Playbooks festgelegten Prozesse auswertet, reagiert und gegebenenfalls behebt.

Um jedoch eine echte SOC-Reife zu erreichen, sollten Unternehmen Automatisierung in Verbindung mit Prozessintegration und kontinuierlicher Innovation sowie Personal, Prozess und Technologie einsetzen. Dies wird Analytiker von alltäglicher Arbeit befreien und sie bei der Arbeit glücklich machen. Nur wenige Unternehmen können es sich leisten, erfahrene Sicherheitsanalysten zu verlieren, daher sollte ihre Arbeitszufriedenheit von jedem Chef ernsthaft in Betracht gezogen werden. Es ist ein schwerer Schlag, das Wissen und die Erfahrung der Menschen zu verlieren, die in SOCs arbeiten, aber die Technologie kann dazu beitragen, dass sie sich nicht von einer Überlastung der Alarme überfordert fühlen. Wenn es ausgereift ist, kann ein SOC zu einem Zentrum von strategischem Wert für ein Unternehmen werden, das sich auf die Reduzierung von Risiken und die Bekämpfung schwerwiegender Bedrohungen konzentriert, anstatt eine Abteilung, die sich der Bewältigung alltäglicher Probleme widmet.

Bildnachweis: Alexander Supertramp/Shutterstock



Vorheriger ArtikelMicrosoft behebt die Sicherheitslücke in Teams, die eine Kontoübernahme durch einfaches Anzeigen eines GIFs ermöglichte
Nächster ArtikelJa, das OnePlus 6 hat definitiv eine Kerbe – kümmere dich darum!

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein