SOC

Die großen Unbekannten beseitigen: Herausforderungen für das SOC-Team

Die großen Unbekannten beseitigen: Herausforderungen für das SOC-Team

Zentrale Herausforderung für das Security Operations Center

Um für eine bestmögliche – wenn auch nie perfekte – Cyber Security zu sorgen, müssen die Zuständigen in Unternehmen viele verschiedene Aufgaben meistern. Eine zentrale Herausforderung ist dabei nach Erfahrung von Vectra AI die Beseitigung der „Unbekannten“.

  • Unbekannte Angriffsflächen: Unternehmen müssen die Sicherheit über das Netzwerk des Rechenzentrums und den Endpunkt hinaus auf die öffentliche Cloud, SaaS und cloud-basierte Identitäten erweitern.
  • Unbekannte moderne Angreifermethoden: Angreifer können Tools zur Prävention leicht umgehen, indem sie autorisierte Dienste und APIs (Application Programming Interfaces) benutzen.
  • Unbekannte isolierte Technologien und Tools: Unternehmen sollten alles entfernen, was sich nicht integrieren oder automatisieren lässt, um den Kontext, die Arbeitsabläufe oder die Reaktion anzureichern.

„Jüngste Untersuchungen von Vectra haben ergeben, dass Sicherheitsteams Schwierigkeiten haben, mit Cyber-Angriffen Schritt zu halten“, sagt Mark Wojtasiak, VP bei Vectra AI. „Fehlende Transparenz, mangelnde Erkennung moderner Angriffe und schlechte Integration wurden von 79 Prozent der Sicherheitsentscheider als die drei Hauptgründe genannt, warum Security Tools nicht halten, was sie versprechen. Der Grund: die großen Unbekannten.“

Die Last der großen Unbekannten fällt direkt auf die Schultern der Teams von Security Operations Center (SOC). 83 Prozent der Sicherheitsteams fühlen sich bei modernen Bedrohungen unterlegen. Die vorhandenen Tools, die sie in ihrem Arsenal besitzen, halten nicht Schritt, wie die 72 Prozent der Sicherheitsteams zeigen, die glauben, dass sie gefährdet sind, es aber nicht genau wissen. Sichtbarkeit, Erkennung von Bedrohungen, Integration – das sind Versprechen, die Sicherheitsanbieter gemacht haben, aber nach Ansicht der Security Teams halten viele diese Versprechen nicht ein.

Nach Meinung von Vectra lassen sich die Herausforderungen für SOC-Teams auf drei Dinge reduzieren:

  • Coverage: das Versprechen, sichere Anwendungen und Daten zu gewährleisten, wo auch immer sie sich befinden mögen.
  • Clarity: das Versprechen, Bedrohungen dort zu erkennen, wo andere es nicht können, und sie aufzuhalten.
  • Control: das Versprechen, die Verteidigung gegenüber Angriffen von Anfang bis Ende und von oben bis unten zu integrieren und zu automatisieren.

Coverage

Es gibt keine Grenzen mehr, und Prävention reicht nicht mehr aus. Heute dreht sich alles um vielfache Verteidigung (Defense-in-depth), um Vertrauen, aber auch um Bestätigung. Unternehmen haben alle schon von den vielenKlischees gehört. Aber wenn man die Klischees und Schlagworte beiseitelässt und weiter voraus denkt, ergibt sich die einfache Wahrheit, dass die Angriffsflächen immer größer werden.

Netzwerke von Rechenzentren und Endpunkt-Angriffsflächen wurden schon immer attackiert, aber jetzt gibt es AWS, Microsoft Azure, Microsoft 365, GCP (Google Cloud Platform), Hunderte von SaaS-Anwendungen und Dutzende von cloud-basierten Identitätsprodukten. Unternehmen haben API-Aufrufe von einem Dienst zum anderen, die alles zu einem perfekten Einheitsbrei verschmelzen. Für SOC-Teams ist dies die große Unbekannte, für Angreifer ist es ein wahr gewordener Traum. Zwei Drittel aller Angriffe nutzen autorisierte Services und APIs, um sich Zugang zu den Anwendungen und Daten eines Unternehmens zu verschaffen, was ihnen eindeutig Vorteile verschafft. Um die großen Unbekannten auf der Angriffsfläche auszumerzen, benötigen SOC-Teams einen einheitlichen Überblick über die Bedrohungsaktivitäten auf allen fünf Angriffsflächen – von Netzwerken der Rechenzentren und Endpunkten bis hin zu public Cloud, SaaS und Identität. Sie brauchen Coverage (Abdeckung).

Clarity

SOC-Leiter, -Architekten und -Analysten werden von allen Seiten unter Beschuss genommen, und da SOC-Analysten Mangelware sind, verlassen viele ihre derzeitigen Arbeitsplätze, um sich vielversprechenden neuen Aufgaben zu widmen. Die Angreifer haben die Oberhand gewonnen. Das Optimieren von Tools ist nicht das, wofür sich SOC-Teams entschieden hatten. Veraltete regelbasierte Tools wie SIEM (Security Information and Event Management) und IDS (Intrusion Detection System) sind für moderne, schnelle Angriffe nicht geeignet. Also – vorwärts denken?

Die Antwort auf die Frage, wie man SOC-Talente halten und ausbilden und den Spieß gegen Angreifer umdrehen kann, besteht darin, das Unbekannte zu beseitigen, das moderne Methoden der Angreifer darstellen. Das fängt damit an, den SOC-Workflow neu zu konzipieren. Heute hört man oft: "Wir pumpen alles in unser SIEM!". Das SIEM ist eine "single pane of glass" („eine vereinheitlichte Präsentation aus verschiedenen Datenquellen“; ein weiteres Sicherheitsklischee). Aber wie kann das Security Team eine Regel für eine Methode von Angreifern erstellen, die noch nicht identifiziert wurde? Schlimmer noch: Ist eine Methode der Angreifer erst einmal bekannt, ist die ständige Anpassung von SIEM-Regeln und IDS-Signaturen eine anstrengende, ineffiziente und ineffektive Methode, um gegen moderne Angreifer vorzugehen.

Die Anwendung traditioneller Ansätze auf moderne Methoden von Angreifern führt zu Verzögerungen im SOC-Workflow und im Incident-Response-Prozess. Das Letzte, was man braucht, wenn es darum geht, moderne Angriffe zu erkennen und darauf zu reagieren, ist Latenzzeit. Warum sollte man den Angreifern mehr Zeit geben? Das beste Mittel gegen Latenz ist Kontext, der aus Coverage resultiert. Ohne vollständige Abdeckung fehlt den SOC-Teams immer der Kontext. Mehr Daten in ein SIEM zu pumpen, ist nicht mit Coverage gleichzusetzen. Ständiges Optimieren und Abstimmen der Technologie liefert keinen Kontext. Um die unbekannten Methoden der Angreifer zu beseitigen, muss der SOC-Workflow von Latenzzeiten befreit werden.

Zu diesem Zweck benötigen SOC-Teams eine Technologie, die Kontext aus allen fünf Angriffsflächen schnell und in großem Umfang erfasst, analysiert und integriert. Wenn man sich mit reichhaltigem Kontext zu den Methoden der Angreifer ausstattet, verringert sich die Latenz in SOC-Workflows drastisch. Die Alarmtriage entfällt, Priorisierung, Untersuchungs- und Reaktionsprozesse sowie Playbooks werden integriert und automatisiert. SOC-Teams können dann mit dem arbeiten, was sie wirklich brauchen, um unbekannte Methoden der Angreifer zu beseitigen – größere Clarity.

Control

Wenn eine immer größer werdende Angriffsfläche auf sich ständig weiterentwickelnde Methoden der Angreifer trifft – gepaart mit einem Mangel an Mitarbeitern und Fähigkeiten – ist es kein Wunder, dass sich 83 Prozent der Security Teams überfordert fühlen und 72 Prozent glauben, dass sie gefährdet sind, es aber nicht wirklich wissen. Trotz steigender Investitionen in Technologie und Tools haben SOC-Teams immer noch Schwierigkeiten, den Wert ihrer Investitionen zu realisieren, vor allem weil ihre Tools oft nicht wie versprochen zusammenarbeiten. Wenn Technologie und Tools isoliert werden, leidet das SOC. Wenn SOC-Teams von einem Tool zum nächsten springen, um moderne Angriffe zu identifizieren und zu bekämpfen, geben sie den Angreifern effektiv die Oberhand. SOC-Teams brauchen integrierte Technologien und Tools, und sie müssen zusammenarbeiten, um Angriffen zuvorzukommen. Sie müssen die Control zurückgewinnen.

Fazit

Durch die vollständige Coverage der Angriffsoberfläche erhalten Sicherheitsteams den Kontext, den sie benötigen, um Clarity und damit Control zu erlangen. Die Abdeckung bietet Telemetriedaten, die über alle fünf Angriffsflächen gesammelt werden – Netzwerke (NDR, Network Detection and Response), Endpunkte (EDR, Endpoint Detection & Response), public Cloud (AWS, Microsoft Azure, GCP usw.), SaaS (Microsoft 365) und Identität (Microsoft Azure AD). Clarity entsteht durch die Analyse dieser Telemetrie und das Aufdecken und Warnen vor Bedrohungen, die wirklich wichtig sind. Echte Control wird erreicht, wenn alles integriert ist und alles zusammenarbeitet, um Kontextanreicherung, Workflow und Reaktion zu automatisieren. Das Ergebnis: Auslöschen der Unbekannten und Aufbau eines effektiveren, effizienteren und widerstandsfähigeren SOC.