Cyber-Angriffe werden immer komplexer, und die Nachfrage nach Cyber-Sicherheitsexperten steigt dadurch weiter an. Diese Herausforderungen zusammengenommen erfordern eine beschleunigte Erkennung und Reaktion im IT-Sicherheitsbetrieb. Um dies zu erreichen, ist ein grundlegender Wandel in der Wahrnehmung der Welt der Cyber-Sicherheit notwendig. Und es wird unerlässlich sein, Automatisierung und fortschrittliches maschinelles Lernen in das Cybersecurity-Setup einzuführen.
Zero Trust ist eine Veränderung der Art und Weise, wie der Sicherheitsbetrieb Ereignisse in der Infrastruktur betrachtet. Früher folgten Security Analysten dem Prinzip: Vertrauen ist gut, Kontrolle ist besser. Mit Zero Trust sollten sie dem Prinzip folgen: Niemals vertrauen und immer kontrollieren.
Dieses Prinzip bedeutet, dass es kein grundsätzliches Vertrauen in die Infrastruktur oder Netzwerke gibt. Wenn sich zum Beispiel ein Mitarbeiter von einem völlig neuen Standort aus anmeldet, sollten die Identität und das Verhalten des Mitarbeiters untersucht und validiert werden, bevor dem Mitarbeiter Zugang gewährt wird.
IT-Sicherheitsexperten sollten in der Lage sein, zu orchestrieren, zu beobachten und letztendlich zu automatisieren. Diese Punkte lassen sich mit dem Zero Trust-Modell verbinden. Zum Beispiel ist das Sammeln von Endpunkt-Protokolldaten unerlässlich, es wäre jedoch hilfreich, Abfrageaspekte hinzuzufügen, wie etwa die Frage, wie verwundbar der Endpunkt ist. Ist er mit den Richtlinien in puncto IT-Sicherheit konform oder nicht. Diese zusätzlichen Abfragen liefern ein vollständiges Bild des Risikos. Das treibt dann die Automatisierung der Aufgaben voran.
Maschinelles Lernen zur Beschleunigung von Erkennung und Reaktion
Ziel ist es, den Erkennungsprozess zu beschleunigen und dem Security Operations-Team eine schnellere Reaktion auf Bedrohungen zu ermöglichen. Es ist entscheidend, Erkennungssignale zwischen verschiedene Sicherheitstools zu schieben, um Beobachtungen aus einem Teil des Netzwerks auf andere anzuwenden. Nicht alle Indikatoren für eine Kompromittierung sind gleich stark. Daher kann die Fähigkeit, schwächere Indikatoren miteinander zu verschmelzen, die Beweislage für einen Vorfall verbessern.
Fortgeschrittenes maschinelles Lernen kann die Bedrohungsgruppen oder die Bedrohungsakteure hinter den im Netzwerk beobachteten verdächtigen Aktivitäten aufdecken. Es kann die nächsten Schritte des Angriffs vorschlagen und wertvolle Informationen darüber liefern, wie am besten mit dem Vorfall umgegangen wird. Den Vorfall zu verstehen, kann die Ermittlungen vorantreiben und je nach Vertrauenswürdigkeit der Beweise die Reaktion vorschlagen oder automatisieren, die zur Bewältigung der Bedrohung ausgeführt werden muss.
Erhöhte Produktivität und reduzierte Kosten
Die Beschleunigung von Erkennung und Reaktion durch maschinelles Lernen führt zu einer besseren Produktivität. Es reduziert den Arbeitsaufwand und liefert Automatisierung bis tief in kritische Anwendungen wie SAP, Salesforce und Microsoft hinein. Wenn alle Komponenten des Cybersicherheits-Setups zusammenarbeiten, erhält das IT-Sicherheitsteam einen besseren Überblick über die Vorgänge. Denn dann kann das Security Operations-Team die Vorgänge von Ende zu Ende verfolgen.
Mehr Sichtbarkeit über die Vorgänge in den IT-Systemen reduziert letztlich die Kosten. Wenn das Security Operations-Team weiß, was in den verschiedenen Tools vor sich geht, kann es den „Return on Investment (ROI)“ der eingesetzten Tools berechnen. Sie können gut funktionierende Bereiche sowie defizitäre Bereiche aufdecken. Security Analysten können diese Informationen beispielsweise dafür nutzen, um den Bedarf für eine Threat Intelligence-Plattform oder eine neue Web Application Firewall zu ermitteln.
Firmen wie Logpoint arbeitet an SaaS-Lösungen, damit die Leistung der Komponenten im Cybersecurity-Setup besser gemessen und überwacht werden können. Letztlich sind Security Analysten für Sicherheitsmaßnahmen an der Problembehebung interessiert. Dies gelingt durch eine Plattform, die mit weniger komplexen Funktionen und fortschrittlicheren Technologien arbeitet. Security Analysten können dann zur richtigen Zeit den Blick auf das richtige Problem richten und entsprechend reagieren.
Christian Have ist CTO bei Logpoint.
