Die Gefahren, die im Netz für Unternehmen lauern, müssen schnell erkannt werden, damit auf Hackerangriffe richtig und vor allem zeitnah reagiert werden kann. Automatisierung spielt hierbei mittlerweile eine große Rolle, denn die Arbeitslast für IT-Security Spezialisten steigt enorm an. Hackerangriffe werden aber nicht nur immer ausgeklügelter, sondern auch zahlreicher, denn Cyberkriminelle machen sich ebenfalls die Automatisierung zu Nutzen. Vor allem für mittelständische Unternehmen bleibt eigentlich nur ein Weg, diese Teufelsspirale zu durchbrechen: mit einer Detection and Response Lösung als Service.
Von Menschenhand kann dem kaum etwas entgegengesetzt werden. Denn die Datenmengen, die auf verdächtige Inhalte hin untersucht werden müssen, nehmen rasant zu. Außerdem müssen gleich verschiedene potenzielle Einfallstore auf Malware hin überprüft werden. Ganz schön aufwändig also. Einige Unternehmen setzen mittlerweile auf eigene SOCs (Security Operations Center) und ausgeklügelte SOAR-Lösungen (Security Orchestration, Automation and Response). Beides mag vor allem für größere Unternehmen zwar praktikabel sein, ist für den Mittelstand aber kaum ein gangbarer Weg. Denn ein eigenes SOC und eine Lösung für Security Orchestration, Automation and Response zu betreiben ist nicht nur teuer, sondern erfordert auch ein hohes Maß an personellen Ressourcen.
Nicht immer ist eine automatisierte Response empfehlenswert
Darüber hinaus haben SOAR Lösungen zwar den Vorteil, dass automatisiert Maßnahmen ergriffen werden können, um auf Security-Vorfälle zu reagieren. In der Praxis ist das jedoch meist nicht empfehlenswert, weiß Wolfgang Kurz, CEO von indevis: „Theoretisch kann ein SOAR zum Beispiel anhand der Detection-Ergebnisse automatisiert Firewall-Regeln anpassen. Im laufenden Geschäft in einen Netzbetrieb einzugreifen, ist jedoch gefährlich. Es kann dann passieren, dass plötzlich wichtige Services nicht mehr verfügbar sind oder ein ganzer Produktionsstandort abgeschnitten ist. Das würde womöglich größeren wirtschaftlichen Schaden anrichten als der eigentliche Cyberangriff. Deshalb müssen solche Maßnahmen immer wohl überlegt sein.“ Hier setzen Managed Security Services an, die in Richtung Virtual SOC (vSOC) und Managed Detection & Response (MDR) gehen. Denn sie bieten nach wie vor unabdingbare Spezialisten, die wissen, was zu tun ist.
Der Trend geht zu vSOC und MDR
So viele Vorteile ein SOAR auch bringt – es selbst zu betreiben lohnt sich für ein mittelständisches Unternehmen in der Regel nicht. Denn solche Lösungen wurden für große SOCs entwickelt, haben hohe Hardware-Anforderungen, benötigen Datenbankanbindungen und sind komplex zu bedienen. Der Fachkräftemangel schlägt wieder durch: Selbst wenn Unternehmen in leistungsstarke Security-Technologie investieren, fehlen ihnen Mitarbeiter, um sie zu managen, Analysen durchzuführen und passende Gegenmaßnahmen zu entwickeln. Die meisten Unternehmen entscheiden sich daher gegen den Aufbau eines eigenes SOC, sondern für den Bezug entsprechender Leistungen als Service. Der Trend geht zu Virtual SOC (vSOC) und Managed Detection & Response (MDR).
Bietet ein Managed Security Services Provider (MSSP) SOAR als Service an, stellt er spezialisierte Security-Analysten bereit, kümmert sich um den Betrieb der Lösung, bindet die Log-Quellen an, modelliert sie und kümmert sich um die Weiterentwicklung der Playbooks. Ob der Service aus der Private Cloud, Public Cloud oder beim Kunden vor Ort erbracht wird, spielt dabei keine Rolle.
Der Vorteil für Kunden ist, dass ein MSSP die aktuelle Bedrohungslandschaft genau kennt und auf einen großen Pool an Playbooks zurückgreifen kann, wovon alle Kunden profitieren. Die Analysten können, wenn sie ein Anzeichen für einen verfolgungswürdigen Vorfall entdecken, den Kunden informieren. Gemeinsam werden dann Untersuchungen durchgeführt, sodass Handlungsempfehlungen abgeleitet werden können, um den Angriff zu stoppen. Falls nötig, ziehen sie zusätzliche Spezialisten hinzu, zum Beispiel aus der IT-Forensik. Der MSSP kann auch bei der Umsetzung von Maßnahmen unterstützen. Ob und welche Aktionen der Kunde ergreifen möchte, entscheidet er jedoch selbst.
MDR kann Schaden vermeiden und die Sicherheit erhöhen
Lange Zeit galt es als empfehlenswert, ein eigenes SIEM und gar ein SOC zu betreiben. Mittlerweile haben die meisten mittelständischen Unternehmen festgestellt, dass das nicht praktikabel ist. Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. Um automatisierten Angriffen zu begegnen, ist eine automatisierte Detection & Response nötig, die die Datenflut auf verwertbare Warnungen reduziert und den Security Analysten möglichst viel Arbeit abnimmt. Mit MDR wird dies auch für kleinere und mittelständische Unternehmen machbar. Sie profitieren von einem leistungsstarken SOAR und spezialisiertem Analysten-Know-how, ohne dass sie selbst ein SIEM oder SOC betreiben müssen. Außerdem erhalten sie Handlungsanweisungen zur Response. Mit minimalem eigenem Aufwand können sie sich also genauso gut absichern wie große Konzerne. Wolfgang Kurz ist überzeugt: „Da Cyberangriffe häufig in Stufen verlaufen, kann man Schaden verhindern, indem man sie rechtzeitig stoppt. Alle Incidents der letzten Jahre hätte man mit einer auch nur oberflächlich konfigurierten MDR-Lösung frühzeitig erkennen können.“