Veränderungen, ausgelöst durch die COVID-19-Pandemie, sind in verschiedensten Bereichen nahezu aller Unternehmen spürbar. Was sich jedoch nicht verändert hat, sind die anhaltenden Cyberangriffe, die Bedrohungslandschaft ist sogar größer denn je. Kriminelle versuchen, die ungewohnte Situation auszunutzen, um unzureichende Abwehrmaßnahmen zu überwinden.
Unternehmen und Behörden müssen unabhängig vom Gefährdungslevel ihren Betrieb fortsetzen. Da viele Mitarbeiter von zu Hause aus ihrer Arbeit nachgehen, ist der Schutz der verteilten Arbeitsplätze in den Vordergrund gerückt. Ein kontinuierliches, hohes Niveau an Cybersicherheit aufrechtzuerhalten, ist dabei unerlässlich.
Dies bedeutet auch, das Security Operations Center (SOC) am Laufen halten zu müssen. Das SOC muss weiterhin ständig und in Echtzeit Bedrohungen identifizieren und bewältigen. Dies erfordert es, die Art und Weise, wie SOCs betrieben werden, zu überdenken. Palo Alto Networks nimmt hierzu drei relevante Kernaspekte unter die Lupe.
Leider basieren viele SOCs auf unterschiedlichen, unzusammenhängenden Tools, die nicht gut miteinander kommunizieren, zusammengeschustert zu einer schwerfälligen Form. Diese SOC-Produkte lassen sich nicht integrieren, unterstützen keine Automatisierung und werden nur durch die Expertise der SOC-Fachleute zusammengehalten. Ganz gleich, wie sehr man versucht, die verschiedenen Teile des SOC zu einer Gesamtlösung zu integrieren, bleibt das Ganze immer noch behäbig.
Manuelle Playbooks sind nicht die Antwort
Eine weitere Herausforderung besteht darin, dass die SOC-Administratoren mit manuellen Checklisten, sogenannten Playbooks, arbeiten. Sie haben diese zusammengestellt, um festzulegen, auf welche Alarme sie reagieren sollen und wie sie reagieren müssen. Es gibt wenig Automatisierung oder intelligente Lösungen, aber viel Ineffizienz.
Das SOC-Team muss jeden Alarm erfassen, das Playbook für den entsprechenden Alarm finden und manuell die Schritte zur Untersuchung und Behebung des Vorfalls durchlaufen. Wenn das Playbook ein Dutzend aufeinanderfolgende Schritte enthält, kann es eine Stunde dauern, um diese mühsam abzuarbeiten. In der Zwischenzeit entgehen dem SOC-Analytiker Dutzende neuer Warnmeldungen, wie Palo Alto Networks immer wieder feststellt.
Die Unternehmen haben dies als normale Vorgehensweise akzeptiert. Da viele SOC-Administratoren nach Hause geschickt wurden, haben sich diese Ineffizienzen noch verstärkt. Das bisherig bestenfalls akzeptable Betriebsmodell ist nicht skalierbar. Was im SOC bereits unter „normalen“ Bedingungen nicht gut funktionierte, ist jetzt definitiv nicht mehr brauchbar.
Einen neuen Weg einschlagen
Angesichts der Tatsache, dass viele SOC-Teams aus der Ferne arbeiten, ist dies eigentlich der richtige Zeitpunkt, um das Design und Management des SOC zu überdenken. Für Palo Alto Networks basiert das SOC auf drei Kernprinzipien, und diese könnten von jedem Unternehmen leicht umgesetzt werden.
- Interoperabilität: Das SOC sollte unter Verwendung von Produkten aufgebaut werden, die von Anfang an für Interoperabilität entwickelt wurden. Das ist entscheidend, denn man kann nicht von manuell zu automatisiert übergehen, ohne sich zuerst vom bisherigen Modell zu verabschieden. Alle Produkte müssen in der Lage sein, miteinander zu kommunizieren, unabhängig davon, wo sich die Tools sich befinden, wo die Datenaktivität stattfindet und wo die Mitarbeiter arbeiten.
- Automatisierung: Erst wenn die Interoperabilität als ein Kernprinzip des SOC angenommen wurde, können Unternehmen mit der kritischen Arbeit der Automatisierung beginnen. Alle wichtigen Aktionen müssen automatisiert werden, anstatt sich weitgehend oder ausschließlich auf manuelle Eingriffe zu verlassen. Die Playbooks sind jetzt automatisiert, laufen rund um die Uhr und werden ausgelöst, um die notwendigen Schritte zur Vermeidung, Erkennung und Behebung potenzieller Probleme durchzuführen. Die Suche nach Kompromittierungsindikatoren (IoC), die Isolierung der Benutzer und Systeme, der Start der Forensik oder anderer Aufgaben sollte ohne manuelle Operationen der SOC-Administratoren erfolgen. Statt anhand manueller Checklisten erfolgt die notwendige Korrektur automatisch – in Minuten oder sogar Sekunden.
- Zusammenarbeit: Die Zusammenarbeit muss nicht nur innerhalb des SOC selbst stattfinden, sondern auch zwischen allen Benutzern. Die meisten SOC-Analysten haben über Jahre hinweg ihre eigenen Playbooks von Grund auf neu entwickelt. Was noch problematischer ist, selbst wenn ein SOC-Analyst ein außergewöhnliches Playbook erstellt, profitiert nur das jeweilige SOC von der Arbeit. Viele Unternehmen haben aber verschiedene SOCs an verschiedenen Standorten. Zusammenarbeit muss daher ein Schlüsselprinzip sein. Hacker, die routinemäßig Tipps und Tricks austauschen, machen es vor. Wenn Hacker zusammenarbeiten, warum sollten Cybersicherheitsexperten dann nicht zusammenarbeiten?
Wenn ein Kreditkartenunternehmen verdächtige Aktivitäten feststellt, schickt es in der Regel eine SMS und bittet Benutzer mit einer Ja-/Nein-Frage um Bestätigung. Dasselbe sollte auch für potenzielle Sicherheitsereignisse gelten. Das SOC kann automatisch einen Text generieren, um einen Benutzer zu fragen, ob er sich um 3 Uhr morgens von Russland aus in das Netzwerk eingeloggt hat. Wenn die Antwort nein lautet, kann ein automatisches Remediation Playbook ausgelöst werden.
Statt eines physischen SOC mit vielleicht zehn Administratoren gibt es jetzt ein virtuelles SOC, das sich aus jedem im Unternehmen zusammensetzt, vielleicht Tausende von Menschen. Zusammenarbeit ist ein außergewöhnlicher Kraftmultiplikator bei der Neugestaltung eines SOC und der Sicherung des Unternehmens.
Ein intelligentes Modell für die Zukunft
Geschäftsführer und Vorstände, die an der Verbesserung ihres Cybersicherheitsprofils interessiert sind, mangelt es oft an fundierten technischen Kenntnissen. Sie sollten daher nach Meinung von Palo Alto Networks mit ihrem CISO und ihren SOC-Analysten sprechen. Dabei sollten die drei genannten Prinzipien angesprochen werden, um zu klären, wie das SOC in d
Wenn ein Unternehmen diese drei Prinzipien anwendet, spielt es keine Rolle mehr, ob die SOC-Administratoren in einem zugangskontrollierten Raum oder in einem VPN-verbundenen Heimbüro arbeiten. Das ist nicht nur beruhigend für Unternehmen, die versuchen, mit der heutigen Arbeitsumgebung mit Fernzugriff zurechtzukommen. Es gibt ihnen auch die Freiheit, die Art und Weise, wie sie ihr SOC gestalten und betreiben, zu überdenken. (rhh)
