Um Schaden durch Cyberangriffe zu vermeiden, ist es wichtig, Bedrohungen schnell zu erkennen und zu beseitigen. Ein SIEM reicht dafür nicht aus – man braucht auch spezialisierte Security-Analysten. Doch die fehlen in vielen Unternehmen. Ohne Automatisierung ist es zudem kaum noch möglich, die Masse an Sicherheitsmeldungen auszuwerten. Der Trend geht daher zu Security Orchestration, Automation & Response (SOAR), am besten integriert in einen Managed Service. So können sich Mittelständler genauso gut schützen wie große Unternehmen, ohne ein eigenes SOC zu betreiben.
Cyberanagriffe sind heute das größte Geschäftsrisiko. Sie nehmen kontinuierlich zu und werden immer komplexer. Auch mit den besten Präventions- und Abwehrmaßnahmen kann es daher passieren, dass einmal ein Angriff erfolgreich ist. Was dann zählt, ist bösartige Aktivitäten schnellstmöglich zu erkennen und zu stoppen, bevor sie großen Schaden anrichten.
Ein Security Information and Event Management (SIEM) sammelt die Logdaten angeschlossener Security-Systeme, korreliert sie und sucht nach Anomalien. Entdeckt es ungewöhnliches Verhalten, gibt es eine Warnmeldung aus. Das Problem dabei: Das SIEM kann zwar Auffälligkeiten identifizieren, erkennt aber nicht, ob sie sicherheitsrelevant sind.
Dadurch überflutet es Mitarbeiter geradezu mit Alerts. Ein Großteil davon sind False Positives, die oft ganz harmlose Ursachen haben – etwa eine Software-Installation, die Hashwerte von Dateien ändert, oder ein Backup, das außer der Reihe läuft. Um solche False Positives auszusortieren und tatsächliche Bedrohungen zu erkennen, müssen Security-Teams die Warnmeldungen genauer untersuchen. Weil das angesichts der Datenflut kaum jemand schafft, laufen die Alerts häufig einfach in einem Postfach auf und werden nur kurz überflogen. Dadurch bleiben allerdings auch kritische Hinweise unbemerkt.
SOC-Analysen erfordern aufwändige manuelle Arbeit
Um dieses Problem zu lösen, haben größeren Unternehmen meist ein SOC (Security Operations Center) eingerichtet. Hier arbeiten spezialisierte Security-Mitarbeiter, die die Warnmeldungen aus dem SIEM auswerten. Das erfolgt in zwei Stufen. Zunächst untersuchen Level-1-Analysten, ob es Hinweise darauf gibt, dass ein Log-Event gefährlich ist.
Dafür werden Daten gegen Informationen aus der Vergangenheit geprüft, indem Analysten die Threat-Intelligence-Datenbanken der Security-Anbieter durchforsten. Falls die Level-1-Analysten auf Anzeichen für einen Angriff stoßen, übernehmen die Level-2-Analysten. Sie steigen tiefer in die Untersuchung ein, verfolgen gemeinsam mit dem IT-Personal vor Ort die Spuren und ermitteln, ob es sich tatsächlich um einen Angriff handelt.
SOAR optimiert SOC-Prozesse
Ein SOC zu betreiben ist teuer, weil die Untersuchung der Sicherheitsmeldungen aufwendig ist und Expertenwissen erfordert. Insbesondere Level-1-Analysen bringen viel manuelle Fleißarbeit mit sich können deshalb schon einmal mehrere Stunden dauern. So verstreicht wertvolle Zeit, während der ein Cyberangriff im Ernstfall ungestört weiter voranschreitet.
Moderne SOCs setzen daher eine Lösung für Security Orchestration, Automation and Response (SOAR) ein. Sie kann Level-1-Analysen automatisiert durchführen, Mitarbeiter erheblich entlasten und Prozesse beschleunigen. Ein SOAR ist in der Lage, riesige Datenmengen in wenigen Sekunden zu verarbeiten und Informationen mit den verschiedensten Threat-Intelligence-Quellen zu überprüfen. Es bereitet die Recherche-Ergebnisse so auf, dass SOC-Mitarbeiter schnell ein komplettes Bild von einem Angriffsvektor erhalten.
Die Automatisierung im SOAR erfolgt mithilfe sogenannter Playbooks. In ihnen sind Workflows und Logiken hinterlegt, die das System abarbeitet. SOC-Mitarbeiter können sowohl auf eine Vielzahl an vorgefertigten Playbooks für verschiedene Incidents zurückgreifen als auch neue definieren und mit anderen teilen. Je mehr Playbooks bereits verfügbar sind, desto effizienter wird die Arbeit im SOC. Laut Angaben des Security-Herstellers Palo Alto Networks kann ein SOAR die Alarme, die die Mitarbeiter noch überprüfen müssen, um bis zu 95 Prozent reduzieren und die Reaktion auf einen Sicherheitsvorfall um bis zu 90 Prozent beschleunigen.
Der Trend geht zu vSOC und MDR
So viele Vorteile ein SOAR auch bringt – es selbst zu betreiben lohnt sich für ein mittelständisches Unternehmen in der Regel nicht. Denn solche Lösungen wurden für große SOCs entwickelt. Sie haben hohe Hardware-Anforderungen, benötigen Datenbankanbindungen und sind komplex zu bedienen. Allein der Initialaufwand würde zirka vier Mitarbeiter für ein halbes Jahr binden. Hier schlägt wiederum der Fachkräftemangel zu – wie auch generell beim Betrieb eines SOCs.
Selbst wenn Unternehmen in leistungsstarke Security-Technologie investieren, fehlen ihnen Mitarbeiter, um sie zu managen, Analysen durchzuführen und passende Gegenmaßnahmen zu entwickeln. Die meisten Unternehmen entscheiden sich daher dafür, erst gar kein eigenes SOC aufzubauen, sondern entsprechende Leistungen als Service zu beziehen. Der Trend geht zu Virtual SOC (vSOC) und Managed Detection & Response (MDR).
Zusammenarbeit mit MSSP spart Aufwand
Lange Zeit galt es als empfehlenswert, ein eigenes SIEM und gar ein SOC zu betreiben. Mittlerweile haben die meisten mittelständischen Unternehmen jedoch festgestellt, dass das nicht praktikabel ist. Stattdessen bietet es sich an, MDR als Service eines Managed Security Service Providers (MSSPs) zu beziehen, sodass dieser das SOAR betreibt und spezialisierte Security-Analysten bereitstellt. Er kümmert sich um den Betrieb der Lösung, bindet die Log-Quellen an, modelliert sie und entwickelt die Playbooks weiter. So können Unternehmen ihre IT-Abteilungen entlasten und sich mit minimalem eigenen Aufwand genauso gut absichern wie große Konzerne.
Wolfgang Kurz ist CEO und Gründer von Indevis.
