Laut Gartner "beschleunigt sich die Konvergenz der Sicherheitstechnologien, angetrieben durch die Notwendigkeit, die Komplexität zu reduzieren, den Verwaltungsaufwand zu verringern und die Effektivität zu erhöhen. Neue Plattformansätze wie Extended Detection and Response (XDR), Security Service Edge (SSE) und Cloud Native Application Protection Platforms (CNAPP) beschleunigen die Vorteile konvergenter Lösungen."
Gartner sagt zudem voraus, dass "die Konsolidierung von Sicherheitsfunktionen die Gesamtbetriebskosten senken und die betriebliche Effizienz langfristig verbessern wird, was zu einer besseren Gesamtsicherheit führt." Insbesondere im Bereich Threat Detection and Incident Response (TDIR) ist die Vereinfachung für Cyber-Teams, die mit zu vielen Tools und dem ständigen Hin- und Herwechseln zwischen diesen Tools beschäftigt sind, von großer Bedeutung.
Andy Grolnick, CEO vom SIEM-Lösungsanbieter Graylog, nennt die drei besten Methoden, um die Komplexität im Security Operations Center (SOC) deutlich zu verringern:
1. Identifizierung von Automatisierungsmöglichkeiten
Weltweit investieren alle Sicherheitsorganisationen in Automatisierung. Durch Automatisierung werden lästige, sich wiederholende Aufgaben beseitigt und Fehler-möglichkeiten ausgeschlossen. Laut einer aktuellen Umfrage, die die Jahre 2022 und 2023 vergleicht, halten 75 % der Sicherheitsverantwortlichen die Automatisierung im Bereich Cybersicherheit für wichtig, gegenüber 68 % im Jahr 2022.
Die Teams gehen die Automatisierung in einer Vielzahl von Bereichen an. Der größte Anstieg war bei der Alarmtriage mit 30 % zu verzeichnen, verglichen mit 18 % im Jahr 2022. Beim Schwachstellenmanagement gab es einen Anstieg auf 30 %, 5 Prozent mehr als 2022. Ein weiterer häufiger Anwendungsfall für die Automatisierung im Jahr 2023 war Phishing.
2. Rationalisierung von Protokollen
Der erste Schritt ist das Sammeln aller relevanten Daten aus verschiedenen Quellen in einer einzigen, zugänglichen Plattform wie einem Security Information and Event Management (SIEM). Unternehmen müssen ihre Silostrukturen aufbrechen und sich auf die Daten aus dem gesamten Unternehmen konzentrieren.
Nur so erhalten sie einen ganzheitlichen Überblick über die Bedrohungslandschaft. Es braucht eine klar definierte Protokollierungsstrategie, um Kosten zu verwalten und sicherzustellen, dass ein umfassender Einblick in die Risiken besteht. Weitere Informationen zur Protokollverwaltung finden sich im englischen Blogbeitrag.
3. Hinzufügen von Threat Intelligence zur Fokussierung von TDIR
TDIR ist die primäre Funktion von SOC-Teams und umfasst viele bewegliche Teile, darunter mehrere Tools, Threat Intelligence, NDR, EDR, SIEM, SOAR, UEBA und jetzt XDR in einem ständig wachsenden Akronym-Albtraum. Integrationen sind notwendig und wertvoll, aber die Rationalisierung der Abläufe ist eine Herausforderung.
Innovative Tools packen Bedrohungsdaten in sogenannte Illuminate Content Packs. Dies vereinfacht den SOC-Betrieb für viele Unternehmen, die sich keine zusätzlichen Sicherheitstools leisten können oder nicht über die Fähigkeiten oder das Personal verfügen, um Bedrohungsdaten selbst zu integrieren. Dieses Vorgehen verspricht eine Neudefinition der Effektivität und Effizienz, mit der Unternehmen Bedrohungen identifizieren und abwehren können.