Voraussetzung ist die ehrliche Bewertung des Unternehmens

Trotz eines breiten Spektrums an Strategien und großer Investitionen lassen die meisten Sicherheitsprogramme von Unternehmen noch viel Raum für Verbesserungen. Ziel muss es nach Meinung von Palo Alto Networks deshalb sein, Bedrohungen besser zu verhindern, zu identifizieren, zu untersuchen und schnell und sicher abzuschwächen. Selbst ausgereifte Security Operations Centers (SOCs) haben häufig mit Alarmmüdigkeit, Personalfluktuation und komplizierten manuellen Prozessen zu kämpfen, was ihnen wertvolle Zeit raubt, die sie für Untersuchungen und Prozessoptimierung aufwenden könnten.

Die erste Maßnahme, um eine sinnvolle Verbesserung zu erreichen, besteht nach Erfahrungen von Palo Alto Networks darin, einen Schritt zurückzutreten und eine ehrliche Bewertung darüber vorzunehmen, wie der Sicherheitsbetrieb strukturiert ist und zu den Geschäftszielen beiträgt.

Um bei dieser Bewertung zu helfen, hat Palo Alto Networks die Aspekte, die in den Aufbau eines effizienten und skalierbarer Sicherheitsbetriebs einfließen, in sechs grundlegende Säulen zusammengefasst. Anhand dieser Säulen und ihrer Bausteine können Unternehmen ihre Fähigkeiten bewerten, mögliche Lücken feststellen und ihren Sicherheitsbetrieb weiterentwickeln, um eine bessere und schnellere Prävention und Abhilfe zu ermöglichen.

1. Unternehmen: Diese Säule definiert die Geschäftsziele und Managementstrategien des Sicherheitsbetriebsteams.

• Der Auftrag: Was tun wir?
• Planung: Wie werden wir vorgehen?
• Führung: Wie werden wir das, was wir tun, managen?
• Personalausstattung: Wen brauchen wir dafür?
• Einrichtung: Wo werden wir dies tun?
• Budget: Was wird es kosten, dies zu tun?
• Metriken: Wie werden wir wissen, ob es effektiv funktioniert?
• Berichterstattung: Wie werden wir die Aktivitäten verfolgen und Aktualisierungen vornehmen?
• Zusammenarbeit: Wie werden wir mit dem Rest des Unternehmens kommunizieren und Probleme verfolgen?

2. Menschen: Diese Säule steht für das Sicherheitsbetriebsteam, dass die Ziele erreichen soll, und die Art und Weise, wie das Team gemanagt wird.

• Wie werden wir Personal finden und ausbilden, damit es seine Aufgaben erfüllen kann?
• Was werden wir tun, um sie zu halten?
• Wie werden wir die Arbeitsbelastung des Personals bewältigen?
• Wie werden wir die Wirksamkeit der Maßnahmen überprüfen?

3. Schnittstellen: Diese Säule definiert, welche Funktionen beteiligt sein müssen, um die erklärten Ziele zu erreichen.

• Welche anderen Funktionen des Unternehmens wirken sich auf den Sicherheitsbetrieb aus?
• Wie wird das Sicherheitsbetriebsteam neben diesen anderen Funktionen agieren?
• Wer hat die Verantwortung und gibt es Service-Level-Agreements (SLAs), die dokumentiert werden müssen?
• In welchem Intervall werden diese Schnittstellen überprüft und aktualisiert?

4. Sichtbarkeit: Diese Säule definiert, auf welche Informationen die SecOps-Funktion Zugriff haben muss.

• Welche primären Sicherheitsdaten werden benötigt?
• Welche kontextbezogenen Daten werden benötigt?
• Wie oft müssen diese Daten aktualisiert werden?
• Auf welche Informationen der Wissensbasis muss zugegriffen werden?
• Wie wird das Sicherheitsbetriebsteam die Aktivitäten im SOC sehen?
• Wie werden externe Teams die Aktivitäten im SOC sehen?

5. Technologie: Diese Säule definiert, was erforderlich ist, um die für den Sicherheitsbetrieb benötigten Informationen einzusehen.

• Welche Fähigkeiten sind erforderlich, um die erforderliche Transparenz zu erreichen?
• Welche Technologie wird zur Bereitstellung dieser Fähigkeiten eingesetzt?
• Wer wird für die Lizenzierung, Implementierung und Wartung der Technologie verantwortlich sein?
• Wie werden Technologie- und Content-Updates angefordert und durchgeführt?
• Welche Updates werden automatisch und in welchem Intervall durchgeführt?

6. Prozesse: Prozesse und Verfahren, die vom Sicherheitsbetriebsteam ausgeführt werden, um die festgelegten Ziele zu erreichen.

• Welche Prozesse müssen definiert werden?
• Wo sollen die Prozesse und Verfahren dokumentiert werden?
• Wie wird auf diese Dokumentation zugegriffen und wie wird sie kommuniziert?
• Wer wird für die Aktualisierung dieser Dokumentation verantwortlich sein?
• Wie oft werden die Prozesse überprüft und aktualisiert werden müssen?

Durch die Beantwortung der Fragen zu den oben genannten Säulen erhalten Unternehmen einen Überblick, der ihnen bei der Verbesserung ihrer SecOps-Funktionen helfen soll. Jede dieser Säulen enthält eine Reihe von Bausteinen, die Palo Alto Networks im Fachbuch „Elements of Security Operations ” ausführlich beschreibt.