Effektivere Cybersicherheitsmaßnahmen
So machen Sie mehr aus Ihren Daten
Die Erfassung und Aufbewahrung aller Daten ist nicht das eigentliche Ziel. Vielmehr geht es darum, das zu sammeln, was Sie brauchen, und die richtigen Personen, Prozesse und Technologien zur Verbesserung Ihrer Cybersicherheit zu haben.
In den letzten Jahren haben Unternehmen aller Größen steigende Volumen an Verkehrs- und Anwendungstelemetriedaten von verschiedenen Geräten, Protokollen und Services gesammelt. Viele dieser Daten bilden eine Basis für betriebliche und strategische Entscheidungen. Die gleichen Daten haben jedoch auch das Potenzial, die Sicherheitslage eines Unternehmens enorm zu stärken. Allerdings nur, wenn sie effektiv verarbeitet und genutzt werden.
Unternehmen können viele Daten erfassen, die ihnen dabei helfen, die Geschehnisse in ihren Umgebungen zu verstehen und so ihre Cybersicherheit zu verbessern. Relevante Daten stammen aus Protokolldateien, Systemereignissen, Netzwerkverkehr, Anwendungen, Bedrohungserkennungssystemen, Datenfeeds und einer Vielzahl von anderen Quellen. Das hohe Datenvolumen kann jedoch eine große Herausforderung für Unternehmen darstellen, wenn es darum geht, informativen Wert für Sicherheitsrichtlinien, Bedrohungserkennung und Risikominderung zu extrahieren.
Wenn Ihr System die gesammelten Daten nicht verarbeiten kann, dann können Sie sie auch nicht sortieren und verstehen, was vor sich geht. In diesem Fall bleiben Sie nur auf nutzlosen Protokollen sitzen. Zusätzlich zu dieser Herausforderung sind gesammelte Daten oft voneinander isoliert, sodass es Sicherheitsexperten kaum möglich ist, Zusammenhänge zu erkennen und potenzielle Probleme zu identifizieren. Analysten sollten nicht vor 25 Bildschirmen brüten müssen, um solche Zusammenhänge manuell und kosten- sowie zeitintensiv herzustellen. Dies lenkt nur von dem eigentlichen Ziel – der Bedrohungserkennung – ab.
Die Cybersicherheitsbranche hat eine Welt erschaffen, in der es so viele verschiedene Punktlösungen gibt, dass Unternehmen effektiv zu Installateuren werden mussten, um all diese Lösungen miteinander zu verknüpfen. Da viele der genutzten Tools nicht darauf ausgelegt sind, miteinander zu interagieren, ist es meiner Meinung nach an der Zeit, einen automatisierten und integrierten Weg zu finden.
Größerer Nutzen aus Ihren Daten mit Automatisierung und Playbooks
Die richtigen Daten zu sammeln und den größten Wert aus ihnen zu schöpfen, ist nicht eine einzige Aufgabe oder Tätigkeit, sondern ein fortlaufender Prozess mit mehreren Komponenten.
Technologie: Aus technologischer Sicht müssen Sie sich zuerst ihr Inventar ansehen. Können Ihre Tools moderne Bedrohungen tatsächlich identifizieren? Falls das nicht der Fall ist, steht Ihnen eine große Herausforderung bevor, da Sie vermutlich nicht die Protokolle und Telemetriedaten erfassen, die Sie für fundierte Entscheidungen benötigen.
Automatisierung spielt ebenfalls eine kritische Rolle in der Datenwertschöpfung. Durch das hohe Volumen an erfassten Daten können einzelne Mitarbeiter einfach nicht mithalten – selbst wenn es sich um die richtigen Daten handelt. Ein wichtiger Schritt ist, die Identifizierung kritischer Vorfälle zu automatisieren. Dazu benötigen Sie Informationen, mit denen einfache Protokolldaten korreliert und angereichert werden und die so detaillierte Einblicke gewähren.
Personen: Die Automatisierung steht im direkten Zusammenhang damit, welche Daten Mitarbeiter für wichtig und nutzbringend halten. In vielen Unternehmen verbringen SOC-Experten ihre Acht-Stunden-Schichten damit, ständig auf „Aktualisieren“ zu klicken und Protokolle zu verfolgen. Das wird ihnen nicht dabei helfen, wichtige Informationen zu finden.
Hinzu kommt, dass Daten üblicherweise zunächst von Level-1-Analysten untersucht werden, die aufgrund der Monotonie des dauerhaften Durchforstens von Protokollen und der Entscheidungsaufgabe, welche Meldungen eskaliert werden müssen, oft innerhalb eines Jahres ein Burn-out erleiden. Denken Sie darüber nach: Die unerfahrensten und am schlechtesten bezahlten Mitarbeiter müssen entscheiden, welche Vorfälle weitergeleitet werden sollen. Dieses Modell ergibt keinen Sinn und muss dringend geändert werden.
Durch den Einsatz von Automatisierung, um die Datenflut zu bewältigen und in erster Instanz zu entscheiden, welche Vorfälle eskaliert werden müssen, können sich menschliche Mitarbeiter auf komplexere Herausforderungen wie die Bedrohungssuche konzentrieren. Je einfacher die Arbeit von Bedrohungsfahndern ist – wenn sie alle isolierten Datenquellen zusammenführen können, um potenzielle Risiken zu beheben, statt Alarme und Protokolle zu durchforsten –, desto besser.
Prozesse: Letztendlich sind Prozesse der Schlüssel für kontinuierliche Verbesserung und Wertoptimierung von Daten. Wir müssen unsere Prozesse unaufhörlich neu überdenken und bestehende Daten und Technologien weiterhin verfeinern. Unternehmen müssen kontinuierlich neue Playbooks erstellen, um die Automatisierung voranzutreiben. Aufgaben, die sich ständig wiederholen, sollten so weit wie möglich automatisiert werden.
Da modernen Unternehmen so viele Quellen für Sicherheitsdaten zur Verfügung stehen, kann die Entscheidungsfindung überwältigend sein. Wenn Unternehmen verstehen, über welche Datenquellen sie verfügen, und sie Prozesse mit Automatisierung und Playbooks optimieren und alle Abläufe und Daten durch Technologie miteinander verknüpfen, um einen einheitlichen Überblick zu erhalten, dann können sie ihr Sicherheitsniveau dramatisch verbessern