17.11.2017 Warum die Integration von Security-Tools unverzichtbar ist

Den Wald vor lauter Bäumen nicht sehen

Von: Oliver Keizers

Wie ESG Research im jüngst erschienenen Insights-Report „Security Operations Challenges, Priorities, and Strategies“ feststellt, sehen die IT-Security-Teams der Unternehmen ihre größte Herausforderung im Umgang mit der großen Zahl an Warnmeldungen ihrer Sicherheitssysteme. Platz zwei im Sorgen-Ranking nimmt die mangelnde Integration der eingesetzten Security-Tools in eine gemeinsame Plattform ein.

Oliver Keizers, Fidelis Cybersecurity

Oliver Keizers ist Regional Director DACH bei Fidelis Cybersecurity

Heute ist es nicht mehr die primäre Augabe, mit Firewalls und Virenscannern Angriffe auf die IT-Infrastruktur zu verhindern. Dieses kleine Einmaleins der IT-Security beherrscht das Gros der Administratoren in Unternehmen mittlerweile aus dem Effeff. Zur Hauptaufgabe ist es vielmehr geworden, aus einer großen Zahl durchaus funktionaler, wirkungsvoller und nützlicher Tools eine homogene, integrierte Einheit zu schaffen – und dabei auch noch die Angriffe zu erkennen, die erfolgreich die traditionellen Sicherungssysteme umgangen haben.

Die Situation in vielen Security-Abteilungen wird gut beschrieben durch die Redensart „Den Wald vor lauter Bäumen nicht sehen“. Denn die Menge an Warnmeldungen sowie die fehlende Bestätigung des erfolgreichen Angriffs plus fehlende Hintergrundinformationen erschweren eine zeitnahe und zielgerichtete Reaktion bei Zwischenfällen enorm.

Keine Abhilfe schafft hier Automation, auch wenn sie natürlich weiterhilft. Denn Automation bedeutet heute für die meisten Sicherheitsverantwortlichen die regelmäßige Aktualisierung ihrer Virensignaturen, ein jeweils aktuelles und sauber ablaufendes Patch-Management und die Verwaltung ihrer Firewall-Regeln über eine zentrale Plattform. Das sind alles wichtige und richtige Dinge, aber sie lösen das eingangs beschriebene Problem nicht.

Automation müsste insbesondere auch die Arbeit der Kollegen vereinfachen, die mit den Warnmeldungen umgehen müssen. Hier ist es notwendig, Warnungen aus dem Netzverkehr automatisiert am Endpunkt zu bestätigen und danach entsprechende Aktionen ablaufen zu lassen. Eine Warnung ohne Reaktion ist rausgeworfenes Geld! Aber nicht jede Warnung muss ein valider Alarm sein. Diese Unterschiede zu erkennen ist das eigentliche Problem.

Der Versuch, dieses Problem durch die Einführung eines SIEM-Systems zu lösen, wird schnell an seine Grenzen stoßen, da diese Systeme schlicht nicht zur Angriffserkennung gebaut wurden und strukturell dazu auch nicht in der Lage sind.

Letztlich hilft bei der Problemlösung nur eine enge Integration zwischen Erkennungsmethodik im Datenstrom sowie auf den Endpunkten, ergänzt um die Möglichkeit, auf die Erkennung auch umgehend automatisiert reagieren zu können. Denn dann entstehen auch die eingangs erwähnten Belastungen nicht mehr – und man hat nicht mehr die Bäume, sondern auch wieder den Wald im Blick. Sieht also nicht mehr nur die unzähligen Security-Events, sondern überblickt auch das große Ganze: das Unternehmen und seine Sicherheit.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH