Security Operations Center
SOC 2.0: Vectra AI erklärt die nächste Stufe der Cybersicherheit
Notwendigkeit für einen Generationswechsel
Die Gefährdung durch Cyberbedrohungen ist so hoch wie nie, so das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem jüngsten Lagebericht zur IT Security in Deutschland im Jahr 2021. So gaben neun Prozent der Befragten an, dass sie sogar ihre komplette geschäftliche Existenz durch Cyberangriffe gefährdet sehen. Dem Branchenverband Bitkom zufolge führen Cyberbedrohungen bei 86 Prozent aller Unternehmen zu Schäden. Bitkom sieht in Ransomware die Hauptursache für den Ausfall von Informations- und Produktionssystemen sowie die Störung von Betriebsabläufen. Die dadurch bedingten finanziellen Schäden sind seit 2019 um 358 Prozent gestiegen.
Bei den Cyberbedrohungen ist nicht nur ein zahlenmäßiger Anstieg zu verzeichnen. Die Cyberkriminellen agieren zunehmend professioneller, gerade bei den digitalen Erpressungsversuchen. Ransomware ist mittlerweile perfektioniert zum lukrativen „Geschäftsmodell“, einschließlich bequemer As-a-Service-Optionen.
Andreas Riepen, Head of Central & Eastern Europe (CEE) bei Vectra AI erläutert, warum das klassische SOC dringend aktualisiert werden sollte.
Vor dem Hintergrund dieser Bedrohungsszenarien ist es für Unternehmen immer schwieriger, die Cyber Security – und damit die Geschäftskontinuität – aufrechtzuerhalten und die Compliance zu gewährleisten. Zugleich gilt es von staatlicher Seite aus die digitale Transformation als großes Ganzes strategisch voranzutreiben und in kontrollierten Bahnen zu lenken. Die jetzt geschäftsführende Bundesregierung hat in ihrer „Umsetzungsstrategie zur Gestaltung des digitalen Wandels“ im Verlauf der aktuellen Legislaturperiode bereits entscheidende Handlungsfelder festgelegt. Die Digitalisierung ist auch einer der thematischen Kernbereiche der Ampelkoalition in den aktuellen Sondierungsgesprächen. Gerade Deutschland, das unter anderem mit Industrie 4.0 den dringenden digitalen Wandel angestoßen hat, muss nun auch in Sachen Cybersicherheit mit gutem Beispiel vorangehen.
Es mangelt nicht an Initiativen für die digitale Zukunft, aber bei der Sicherheit in den Unternehmen gibt es noch Nachholbedarf, um die Chancen der Digitalisierung nicht aufs Spiel zu setzen. Die Sicherheitsexperten sind oft überlastet und mit zu wenig Ressourcen ausgestattet. Das fängt im Security Operations Center (SOC) an, das in zu vielen Fällen an einem veralteten System festhält. Die moderne Komplexität von Rogue Devices, Remote-Mitarbeitern und Multi-Cloud-Umgebungen macht die zu schützende Umgebung kaum noch überschaubar. Zu den transformativen Veränderungen gesellen sich fortschrittliche Angriffsmethoden, die bei den heutigen Ransomware- und Supply-Chain-Angriffen zum Einsatz kommen. Diese können für jedes Unternehmen, das sich nicht der Modernisierung der Cybersicherheit widmet, katastrophal enden.
Veraltete Erkennungssysteme öffnen Türen für neue Angriffe
Nennt man es SOC 1.0, so handelt es sich in der Regel um den kombinierten Einsatz veralteter Erkennungssysteme, wie SIEM (Security Information and Event Management) und IDS (Intrusion Detection System), die den modernen Bedrohungen nicht mehr gewachsen sind. Die bislang eingesetzten gängigen Tools verursachen hohe Betriebskosten bei begrenzten Ergebnissen, erkennen laufende Angriffe nicht und konzentrieren sich eher auf die Verhinderung von Angriffen als auf den Aufbau von Widerstandsfähigkeit gegen Angriffe. Da die heutigen Angriffstaktiken das alte SOC überholt haben, müssen sich die Analysten immer mehr manuell durch begrenzte Datenquellen wühlen, um zu ungenauen Schlussfolgerungen zu gelangen. Das Ergebnis ist ein Mangel an Einblick in das Geschehen und ein Sicherheitsteam, das sich zu einem hohen Preis durch ineffiziente Arbeitsabläufe quält.
Die Zeit für Veränderungen ist jetzt gekommen, da sich immer wieder gezeigt hat, wie Präventionsmethoden bei der Erkennung von Ransomware-Angriffen versagen. Das bedeutet, dass die einzige Chance, diese Angriffe zu stoppen, darin besteht, die Bewegungen der Angreifer innerhalb einer Umgebung zu erkennen und zu stoppen. Außerdem gibt es heutzutage viele Möglichkeiten, wie Angreifer die MFA umgehen können. Obwohl die Erkennung von Endpunkten wichtig ist, ist sie kein Mittel gegen einen gewieften Angreifer, der über gestohlene Zugangsdaten verfügt. Das ist die schlechte Nachricht. Die gute Nachricht ist jedoch, dass die Verteidigung gegen die heutigen Angriffe nicht übermäßig kompliziert sein muss.
Auf dem Weg zu einem modernisierten SOC
Während vor der Pandemie die Kundenerfahrung im Vordergrund stand, müssen Unternehmen jetzt die Mitarbeitererfahrung in den Vordergrund stellen. Die mittlerweile etablierte Effektivität der Fernarbeit bedeutet, dass die talentierten IT-Fachkräfte der Region arbeiten können, wo sie wollen. Während die Unternehmen also SOCs aufbauen, müssen sie Ökosysteme schaffen, die die Fachkräfte entlasten. Anderenfalls riskieren sie, die qualifiziertesten Kandidaten an Arbeitgeber im Ausland zu verlieren.
Dies ist ein Grund mehr, zu modernisieren und einen zukunftssicheren Ansatz zu wählen, der Sichtbarkeit und Arbeitsabläufe in den Vordergrund stellt – und als eine Art digitaler Labrador-Retriever fungiert. Dieser Ansatz ermöglicht es, Angreifer trotz Ausweichtaktiken zu erschnüffeln und sie einem Bedrohungsjäger vor die Füße zu legen. Das moderne SOC setzt weiterhin auf Ereignisprotokolle und SIEM-Taktiken, ergänzt diese jedoch mit umfangreicheren Endpunkt- und Netzwerkdaten. Dabei werden die Disziplinen Endpoint Detection and Response (EDR), KI-gesteuerte Network Detection and Response (NDR) und User and Entity Behaviour Analytics (UEBA) miteinander kombiniert. Das neue SOC 2.0 spannt ein Netz über On-Premises-, Cloud- und Cloud-native Anwendungen und kann so bisher unbekannte, verdächtige Prozesse und Lateral-Movement-Angriffe erkennen.
Der Einsatz von KI im SOC kann sofort helfen, die Sicherheitslage zu verbessern. Mit der richtigen KI-Plattform können Unternehmen die Genauigkeit von Warnungen verbessern, Untersuchungen optimieren, Bedrohungen aufspüren und die Performance steigern. Dadurch wissen Analysten genau, welche Bedrohungen sie priorisieren müssen. KI ist unglaublich fähig, große Datenmengen schnell und effizient zu verarbeiten, während Menschen außergewöhnlich gut mit Mehrdeutigkeiten umgehen und Informationen in einen Kontext bringen können. KI kann folglich dem SOC dabei helfen, die Stärken seiner Akteure zu nutzen. Ein Analyst kann nicht sehen, wie sich ein Angriff mitten in der Nacht entwickelt, aber die richtige KI kann den Angriff automatisiert abfangen und stoppen, und die Fachkräfte entlasten.
Durchatmen für Sicherheitsanalysten
Erkennungsfunktionen basierend auf KI und ML (Maschinelles Lernen) sind in der Lage, risikobehaftete Verhaltensweisen zu erfassen, während andere KI-Tools einen Großteil des manuellen Tier-1-Workflows des alten SOC automatisieren. Das modernisierte SOC ist ein sofort einsatzbereiter „Cyberwächter“, der in der Lage ist, sich selbst zu trainieren und zu verbessern. Die Häufigkeit von Fehlalarmen reduziert sich dadurch erheblich, und die Alarmmüdigkeit wird nahezu eliminiert.
Die SOC-Modernisierung ist die Zukunft für jedes Unternehmen, das ein effizientes, nachhaltiges Security Operations Center einrichten möchte. Die Untersuchung von Bedrohungen ist viel ergiebiger, wenn sie auf einer soliden, präzisen Analyse durch intelligente Systeme beruht und von geschulten Fachleuten bewertet wird, die nur eine stark reduzierte Liste von verdächtigen Aktivitäten durchforsten müssen statt nach der bedrohlichen Nadel im digitalen Heuhaufen zu suchen.
Da die Einhaltung gesetzlicher Vorschriften viele Beteiligte nachts wachhält, kann ein zeitgemäßes SOC die Governance erheblich verbessern und das Vertrauen von Aufsichtsbehörden, Investoren und Kunden stärken. Die Fähigkeit, Bedrohungen in Echtzeit zu erkennen, zu bewerten und zu priorisieren, sorgt für eine rasche und effektive Lösung von Problemen und verhindert kostspielige und rufschädigende Verstöße. Weniger Arbeitsstunden, bessere Ergebnisse, geringere Kosten und eine schnellere Behebung sprechen für das SOC 2.0. Die zuverlässige Einhaltung strengerer Vorschriften und die Fähigkeit, unbekannte und heimliche Angriffe abzuwehren, sind weitere Pluspunkte. Sie stehen für einen Ansatz, der es lohnt, sich damit näher zu beschäftigen.
