XDR, SIEM & SOAR

Hybride IT-Umgebungen erfordern ein neues Sicherheitskonzept

, München, SoftwareONE | Autor: Reinhold Ferk

Hybride IT-Umgebungen erfordern ein neues Sicherheitskonzept

Microsoft Security im Managed Service

Von Reinhold Ferk, Teamleiter M365 Digital Workspace bei SoftwareONE

Mit dem zunehmenden Cloud-Einsatz, Home Office und IoT werden IT-Umgebungen immer komplexer. Gleichzeitig nimmt die Bedrohung durch Cyberangriffe zu. Um für ausreichenden Schutz zu sorgen, müssen Unternehmen ihre Security-Aufstellung modernisieren. Dabei empfiehlt sich eine Single-Vendor-Strategie – zum Beispiel mit Microsoft Security.

Reinhold Ferk, Teamleiter M365 Digital Workspace bei SoftwareONE, (Quelle: SoftwareONE)

„Uns greift doch eh keiner an“ – das dachten viele kleinere und mittelständische Unternehmen in der Vergangenheit. Doch Zeiten ändern sich. Ob Handwerksbetrieb oder Weltkonzern: Heute muss jeder mit einem Cyberangriff rechnen. Nach wie vor ist Ransomware das größte Risiko. Dabei wenden Cyberkriminelle häufig eine doppelte Erpressungs-Taktik an: Sie verschlüsseln nicht nur Daten, sondern drohen auch mit deren Veröffentlichung. Längst ist Cyberkriminalität zum Geschäftsmodell geworden. Hacker schlagen überall dort zu, wo sie mit möglichst wenig Aufwand gutes Geld verdienen. Gerade mittelständische Unternehmen sind ein attraktives Ziel, da sie oft schlechter abgesichert sind. Selbst wer ohne Lösegeldzahlung davonkommt, muss mit erheblichem Schaden rechnen. Denn Systemausfälle und -wiederherstellung verursachen meist hohe Kosten. Noch schwerer kann der Imageschaden wiegen, der durch den Vorfall entsteht.

Die Security-Aufstellung prüfen

Während die Bedrohungslage steigt, nehmen auch die regulatorischen Anforderungen zu. Neben der DSGVO unterliegen viele Unternehmen branchenspezifischen Security-Vorschriften, die es einzuhalten gilt. Nicht zuletzt ist der Nachweis von Sicherheitsstandards häufig auch Voraussetzung für die Auftragsvergabe. All das sind Gründe, warum es heute unverzichtbar ist, die eigene Security-Aufstellung zu überprüfen und zu verbessern. Häufig hinkt sie noch den aktuellen Entwicklungen hinterher.

Bisher haben viele Unternehmen einen Best-of-Breed-Ansatz verfolgt und Security-Lösungen verschiedener Hersteller kombiniert. Der Fokus lag dabei meist auf dem Endpunkt-Schutz. Doch mit der Digitalisierung haben sich IT-Umgebungen verändert. Heute sind Infrastrukturen weit verteilt über On-Premises-Systeme, Cloud Services verschiedener Anbieter und Geräte außerhalb des Unternehmensnetzwerks. Geschäftsprozesse erstrecken sich über viele unterschiedliche Technologien und müssen Ende-zu-Ende abgesichert werden. Dafür braucht man zum einen neue Security-Funktionen für Cloud-spezifische Risiken. Wichtig sind hier etwa Zugriffskontrollen nach einem Zero-Trust-Modell sowie Cloud Security Posture Management (CSPM), um Schwachstellen in der Konfiguration der Cloud-Umgebung aufzudecken.

Außerdem müssen Unternehmen in der Lage sein, ihre gesamte, verteilte IT-Infrastruktur über alle Angriffsvektoren hinweg zu überwachen und Warnmeldungen im Zusammenhang zu betrachten. Denn komplexe Cyberangriffe erkennt man erst, indem man viele kleine Puzzleteile zusammensetzt. Das aber gelingt in einer fragmentierten Security-Infrastruktur aus verschiedenen Einzellösungen meist nur schlecht.

Zu viele Warnmeldungen und zu wenig Transparenz

Eines der Hauptprobleme bestehender Security-Architekturen ist die eingeschränkte Sichtbarkeit. Zwar haben die meisten Unternehmen Lösungen für Endpunkt-, Netzwerk- und E-Mail-Sicherheit im Einsatz. Doch diese arbeiten isoliert voneinander in Silos, sodass ein ganzheitlicher Blick fehlt. Jedes der Systeme gibt täglich unzählige Warnmeldungen aus, die es zu überwachen und zu bewerten gilt. Diese Flut ist für Security-Mitarbeiter kaum noch zu meistern. Ganz zu schweigen davon, dass jedes Tool auch individuell gemanagt werden muss.

Um diese Herausforderungen zu lösen, brauchen Unternehmen eine moderne Security-Infrastruktur, die sämtliche Angriffsvektoren abdeckt, umfassende Transparenz schafft, dabei die Flut der Warnmeldungen eindämmt und Komplexität reduziert. Am besten gelingt das mit einem Single-Vendor-Ansatz, der sicherstellt, dass alle Security-Systeme nahtlos zusammenarbeiten. Eine wichtige Rolle spielen dabei Lösungen für XDR (Extended Detection and Reponse), SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response).

XDR, SIEM und SOAR mit Microsoft Security

Wer sich im Microsoft-Kosmos bewegt, für den sind auch die Security-Lösungen des Herstellers ideal. Sie sind eng mit Microsoft 365 verzahnt und bieten über das Azure Active Directory eine sehr gute Sicht auf Identitäten, zum Beispiel welche Dienste ein Anwender einsetzt und welche Daten er nutzt. XDR, SIEM und SOAR realisiert Microsoft über die drei zentralen Komponenten Microsoft 365 Defender, Microsoft Defender for Cloud und Azure Sentinel.

Microsoft 365 Defender ist eine Enterprise-Security-Plattform mit integrierter XDR-Technologie. Sie sammelt Security-Daten aller angeschlossenen Quellen, korreliert und analysiert sie, sodass aus vormals isolierten Einzelwarnungen durchgängige Vorfälle entstehen. Security-Teams können sich eine Timeline, Details zu betroffenen Systemen und das Risikolevel anzeigen lassen. Um Cloud-spezifische Risiken abzudecken, kommt Microsoft Defender for Cloud ins Spiel. Die Lösung bietet CSPM, Cloud Workload Protection und verfügt ebenfalls über vollständige XDR-Integration. Azure Sentinel schließlich bildet einen übergeordneten Schutzschirm. Das Cloud-native SIEM sammelt, korreliert und analysiert Informationen aus Microsoft 365 Defender, Microsoft Defender for Cloud und Security-Lösungen von Drittanbietern. Dank SOAR-Funktionalität kann es nicht nur Bedrohungen erkennen, sondern auch automatisiert auf sie reagieren.

Mehr Sicherheit dank Managed Security Services

Eine geeignete Security-Architektur mit XDR, SIEM und SOAR aufzubauen bildet die Grundlage für mehr Sicherheit. Doch das allein reicht nicht aus: Man muss die Systeme auch richtig konfigurieren, kontinuierlich überwachen und in der Lage sein, schnell auf kritische Vorfälle zu reagieren. Dafür braucht man Expertenwisse und genug Ressourcen für ein 24/7-Monitoring. Es empfiehlt sich daher, mit einem spezialisierten Dienstleister zusammenzuarbeiten, der bei der Auswahl und Einführung der Security-Lösungen unterstützt und einen MDR Service (Managed Detection and Reponse) bietet. Spezialisten übernehmen dann die Auswertung der Warnmeldungen und helfen im Ernstfall dabei, Bedrohungen schnell mit den richtigen Maßnahmen zu mindern. Im Zusammenspiel von XDR, SIEM und SOAR mit Managed Security Services können Unternehmen die wachsenden Sicherheitsanforderungen auch mit einem kleinen internen IT-Team meistern.

Über den Autor

Reinhold Ferk ist Teamleiter M365 Digital Workspace bei SoftwareONE. Bereits seit 1997 ist er für das Unternehmen in verschiedenen Positionen tätig, u.a. als Teamleiter IT Infrastructure & Security oder Teamleiter IT Consulting. Zuvor hat er ein Studium der Elektrotechnik mit Fachrichtung Nachrichtentechnik erfolgreich absolviert. Heute liegen seine fachlichen Schwerpunkte auf Microsoft365, Microsoft 365 Security, Microsoft Active Directory sowie Exchange.