Sicherheitslücken sind unvermeidlich, es kommt nur darauf an, wie man auf sie reagiert. Diese Erkenntnis ist nicht neu, es hat jedoch einige Zeit gedauert, bis sie sich bei einem Grossteil der Unternehmen durchgesetzt hat. In letzter Zeit führt sie dazu, dass sich Sicherheitsverantwortliche verstärkt auf die Erkennung und Bekämpfung von Angriffen (Detection and Response) konzentrieren und immer häufiger Security Operations Center (SOC) einrichten.
Diese Entwicklung ist in der Theorie uneingeschränkt zu begrüssen – in der Praxis gibt es jedoch regelmässig ein Problem: Ohne die richtigen Tools können Security-Analysten – innerhalb wie ausserhalb des SOC – einem extremen Druck ausgesetzt sein, der sich auf ihre Produktivität, ihre Arbeitszufriedenheit und ihre psychische Gesundheit auswirkt. Technologie ist sicher nicht die alleinige Lösung. Doch die Investition in eine Plattform, die diesen Analysten hilft, Alarme effektiv zu priorisieren, kann ein guter Ausgangspunkt sein.
Der Perimeter ist tot
Immer ausgefeiltere Angriffstechniken haben dazu geführt, dass der traditionelle «Burgund Burggraben-Ansatz» für die Sicherheit weitgehend unhaltbar geworden ist. Es ist sinnlos, alle Cybersecurity-Tools lediglich auf die Verteidigung des Unternehmensnetzwerks auszurichten, wenn Cyberkriminelle über gestohlene, gefälschte oder geknackte Anmeldeinformationen ganz einfach ins Innere gelangen können. Schon ein kurzer Blick auf Dark-Web-Marktplätze zeigt, dass es heute einfacher denn je ist, an solche Log-ins zu gelangen. Wenn sie erst einmal drin sind, verwenden dieselben Bedrohungsakteure legitime Tools wie Cobalt Strike, PSExec und Mimikatz, um unter dem Radar zu bleiben, während sie sich lateral im Netz bewegen. Dies macht es für herkömmliche Sicherheitssysteme noch schwieriger, sie zu entdecken.
Das alte Modell der Perimetersicherheit hat ebenfalls sein Verfallsdatum überschritten, denn der Perimeter, wie wir ihn früher kannten, ist längst verschwunden. Heute umfasst er eine verteilte Umgebung aus Remote-Arbeitsplätzen, Cloud-Apps und -Infrastruktur, IoT-Geräten und vielem mehr. Der moderne Perimeter ist fliessend und durchlässig und reicht weit über die Grenzen des traditionellen Unternehmensnetzwerks hinaus. Dadurch wird die Nachlässigkeit der Mitarbeiter ein grösseres Risiko, da sie immer häufiger an verschiedenen Orten arbeiten, und dies auf potenziell unsicheren Geräten, die sie mit anderen Mitgliedern ihres Haushalts teilen. Ablenkungen und riskanteres Verhalten zu Hause machen es wahrscheinlicher, dass Firmen-Log-ins im Dark Web landen.
Wenn die Alarme bis zum Hals stehen
All dies hat dazu geführt, dass Detection and Response und Security Operations (SecOps) viel stärker in den Fokus gerückt sind. Aber unabhängig davon, ob Unternehmen ein SOC betreiben oder ein Team von Analysten innerhalb ihrer IT-Sicherheitsabteilung haben, gibt es ein Problem: Sie haben in den letzten Jahren eine grosse Anzahl verschiedener Sicherheitstools angehäuft. Die Herausforderung besteht darin, dass diese Einzellösungen täglich grosse Mengen an Alarmen ausspucken. Das Security Information and Event
Management (SIEM) erfüllt nicht immer seine Aufgabe, die Nadel in diesem Heuhaufen zu finden. Und tatsächlich wird es angesichts der Zahl an Angriffen zunehmend eher das Problem, die Nadel im «Nadelhaufen» zu finden, welches Security-Experten belastet.
Das Ergebnis ist eine Überlastung mit Alarmen. Eine neue Studie von Trend Micro zeigt, dass dies zu ernsthaften Problemen für SecOps-Teams führt. Wir befragten mehr als 2 300 IT-Sicherheitsentscheider weltweit aus Unternehmen aller Grössenordnungen, davon 100 aus der Schweiz. Wir mussten dabei feststellen, dass 42 Prozent der befragten Schweizer das Gefühl haben, dass ihre Teams von der Zahl der Alarme überfordert sind.
57 Prozent von ihnen gaben zu, dass sie nicht in der Lage sind, auf alle Warnungen angemessen zu reagieren. Das bedeutet, dass einige Meldungen versehentlich durchrutschen, ohne richtig untersucht zu werden. Viele weitere werden hingegen
weiterverfolgt, obwohl es sich um Fehlalarme handelt. Im Durchschnitt verbringen Schweizer SecOps-Mitarbeiter ein Viertel ihrer Zeit damit, sich mit diesen Fehlalarmen
zu beschäftigen.
SecOps unter Druck
Leider hat dies auch ernsthafte Auswirkungen auf das Wohlbefinden der Analysten. Drei Viertel der Schweizer sagten uns, dass sie sich durch ihre Arbeit emotional beeinträchtigt fühlen. Viele sind nicht in der Lage, sich aufgrund von Stress zu entspannen, können ihre Freizeit nicht geniessen, weil sie nicht abschalten können, und reagieren gegenüber Freunden und Familie leicht gereizt.
Viele andere gaben an, dass der Druck dazu geführt hat, dass sie die Benachrichtigungen ganz abschalten, ihren Computer vorübergehend einfach verlassen, weil sie sich überfordert fühlen, oder die Benachrichtigungen komplett ignorieren. Es versteht sich von selbst, dass ein solches Verhalten die Wahrscheinlichkeit eines schwerwiegenden Vorfalls deutlich erhöht. Bei moderner Ransomware besteht das Risiko von lähmenden IT-Ausfällen und dem Diebstahl von besonders geschützten (zum Beispiel personenbezogenen) Daten. Selbst gezahltes Lösegeld ist keine Garantie dafür, dass der Angriff endet. Untersuchungen haben ergeben, dass Angreifer ihr Versprechen, keine gestohlenen Daten weiterzugeben, nach Zahlung häufig brechen.
Einen besseren Ansatz entwerfen
Doch wie lässt sich das Problem der Überlastung lösen? SecOps-Teams verfügen zwar über eine Vielzahl von Sicherheitstools, aber was vielen fehlt, ist eine Plattform, mit der sie Alarme über mehrere Ebenen der IT-Infrastruktur hinweg priorisieren und korrelieren können. Indem sie dies über E-Mail, Netzwerke, Cloud-Server und Endpunkte hinweg tun, können sie produktiver arbeiten, sich auf die wirklich wichtigen Signale konzentrieren und das Rauschen herausfiltern.
Die Chancen sind enorm: Bedrohungen werden schneller erkannt, bevor sie das Unternehmen beeinträchtigen können. Und nicht nur das: Ohne Überlastung können SecOps-Analysten produktiver und mit geringerem Stress arbeiten – und zufriedenere Mitarbeiter verlassen das Unternehmen seltener. In einem Bereich, in dem massiver Fachkräftemangel herrscht, ist dies sicher nicht unerheblich. Vielleicht ebenso wichtig ist die Idee der proaktiven Sicherheit als «Enabler». Mit der Gewissheit, dass auch schwerwiegende Vorfälle schnell erkannt und behoben werden können, sind Entscheider eher dazu bereit, in neue digitale Initiativen zu investieren, um Innovation und Wachstum zu fördern. Das ist genau das, was Unternehmen brauchen, wenn sie nach der Pandemie auf Erfolgskurs kommen und bleiben möchten.