Eigentlich hat niemand mehr einen Überblick über Cyberangriffe, die immer komplexer werden, gezielter gestartet werden und von langer Hand vorbereitet sind. Auch der Mittelstand befindet sich in dieser Lage. Wenn er seine IT-Sicherheitsaufgaben erfüllen will, braucht er deshalb externe Unterstützung.
Daniel Clayton, VP of Global Services bei Bitdefender, beschreibt nachfolgend wie ein Security Operation Center (SOC) und seine Information-Security-Analysten hier einen Beitrag leisten können.
In der IT gibt es keine hundertprozentige Sicherheit. Es wird immer wunde Punkte wie ungepatchte Software, geleakte Passwörter oder Schatten-IT geben, über die findige Hacker in Unternehmensnetzwerke eindringen können. Und solange die Angreifer Menschen sind, müssen sich ihnen kompetente Verteidiger aus Fleisch und Blut entgegenstellen.
Diese Experten sind über externe MDR-Dienste (Managed Detection and Response) und SOC's nun auch für mittelständische Unternehmen in Reichweite. Sie bieten nicht nur Sicherheitstechnologien, sondern auch Wissen, Erfahrung und Intuition.
Cyber-Angriffe werden zunehmend komplexer. Längst geraten auch immer mehr mittelständische Unternehmen ins Visier der Kriminellen: Stichwort Advanced Persistent Threats (APT). Um sich gegen die immer komplexer werdenden Attacken adäquat abzusichern, reicht es nicht mehr aus, die digitalen Abwehrmauern höher zu bauen.
Es gilt beispielsweise, aktiv Sicherheitslücken zu schließen und nach Angreifern zu suchen, die sich bereits unbemerkt im Netzwerk befinden. Gerade kleinere Betriebe mit begrenzten technologischen Mitteln und mangelnder personeller Ausstattung können ein solches Eindringen nur schwer vorbeugend erkennen, geschweige denn bekämpfen.
Um ein dieser Gefahrenlage entsprechend qualifiziertes Team an IT-Sicherheitsexperten zu beschäftigen, fehlt vielen Unternehmen das nötige Budget. Und selbst wenn die finanziellen Mittel für ein eigenes SOC und das entsprechende Personal vorhanden sind, sind die nötigen Spezialisten schwer zu finden. Der Fachkräftemangel in diesem Bereich führt sogar schon dazu, dass selbst große Unternehmen nur sehr schwer ein kompetentes Team aufstellen und langfristig halten können.
Immer mehr Organisationen nutzen daher externe Dienste im Rahmen von Managed-Detection-and-Response-Diensten (MDR). Je nach vereinbarten Service-Umfang ist ein SOC dabei Teil eines solchen MDR. Diese Möglichkeit, sich fremde Kompetenz ins Haus zu holen, ist auch für mittlere Unternehmen keine Utopie mehr.
Externe Hilfe auch für den Mittelstand in Reichweite
Welchen Mehrwert erhalten Unternehmen, die ein externes SOC im Rahmen eines MDR in Anspruch nehmen? Die Spezialisten in einem Security Operation Center stützen sich in ihrer Arbeit für diese Kunden auf Informationen aus den unterschiedlichsten Quellen.
Dazu zählen erstens Daten, die eine Endpoint-Detection-and-Response-Lösung (EDR) im Unternehmen sammelt, zweitens die in einem Security Information and Event Management (SIEM) aggregierten Daten oder Bedrohungsinformationen aus der Telemetrie anderer Endpunkte, die mit Maschinellem Lernen interpretiert werden, sowie drittens Informationen aus weiteren Quellen.
Damit gefüttert erkennen sie gezielt auffälliges Verhalten etwa einer Fileless-Attacke und verhindern größere Schäden, sobald ein Angriff Erfolg hatte. Mit ihrer Hilfe können Unternehmen auch das eigene Netz schneller wieder bereinigen. Zudem beraten sie ihre Kunden, um die Abwehr kontinuierlich zu verbessern.
Über ein externes SOC stehen dem Kunden verschiedene Expertenteams zur Verfügung. Erster Ansprechpartner ist dabei der Security Account Manager, eine Schnittstelle zwischen Kunden und dem gesamten Expertenteam. Er steuert die Gesamtabwehr, bewertet alle Informationen basierend auf der Kenntnis der Unternehmensnetze und startet gegebenenfalls zusätzliche Recherchen.
Seine Beratung der Kunden basiert auf der Arbeit anderer Spezialisten, die individuelle Risikoprofile erstellen und aktuelle Sicherheits-Alerts erstellen. Die Experten berücksichtigen dabei auch die branchenspezifische IT-Gefahrenlage.
Nachhaltige Sicherheit
Je länger und besser die Expertenteams den Kunden kennen, umso besser können sie dessen IT schützen. Ausgangspunkt ist dabei die ausführliche Bestandsaufnahme der Kunden-IT und seiner digitalen Prozesse zu Beginn der Zusammenarbeit mit einem SOC.
Hier geht es nicht nur um die jeweilige Risikolage, sondern auch darum, ein Bild des IT-Normalbetriebs des Kunden so detailliert wie möglich zu zeichnen, um normales Verhalten von abweichendem Verhalten zu unterscheiden.
Ein kontinuierlich wirkender IT-Sicherheitsdienst beruht auf vier Säulen:
- Prevention: Bereits im Vorfeld filtern grundlegende Abwehrtechnologien bekannte Schad-Software und verdächtige Aktivitäten heraus. Das gibt den Sicherheitsanalysten Zeit, sich auf unbekannte Gefahren und individuell entworfene, von den Tools nicht erkannte APT-Kampagnen zu konzentrieren. Die Experten behalten auch im Auge, ob sich die Mitarbeiter an die Sicherheitsrichtlinien ihres Unternehmens halten.
- Detection: Technologien zum Schutz von Endpunkten (wie beispielsweise XEDR) helfen bei der Abwehr, während die Expertenteams aktiv nach neuen Angriffen suchen, die es besonders auf den Kunden, seine Technologie und Branche abgesehen haben. Sie überprüfen vor allem Vorgänge, die vom bekannten Verhalten abweichen.
- Response: Entscheidend im Ernstfall ist die schnelle Reaktionszeit. SOC-Experten führen Maßnahmen bereits durch, bevor sie eine Gefahr melden. Diese Maßnahmen wurden vorab gemeinsam von Kunde und Dienstleister abgestimmt: Sie blockieren beispielsweise IP-Adressen, setzen Passwörter zurück, isolieren oder entfernen Systeme zu Beginn einer Ransomware-Attacke aus dem Netz. Selbstverständlich betrifft das, was ein externer Dienstleister im Ernstfall ohne Rücksprache tun darf, niemals die Grundlagen der zu schützenden Infrastruktur.
- Reporting: Vor allem mit Blick auf die Dokumentationsvorgaben durch die Europäische Datenschutz-Grundverordnung ist es wichtig, Bericht zu erstatten. Da ist es gut zu wissen, dass Kunden nicht von den Informationen abgeschnitten sind und sich auch selbst einschalten können: Sie können sich in die Systeme des MDR-Dienstes einloggen und sehen so die gleichen Informationen wie die externen Experten. Außerdem lassen sich zurückliegende Aktivitäten nachvollziehen, um daraus forensische Rückschlüsse zu ziehen.
Fazit: Mehrwehrt durch menschliche Experten
Gerade die gefährlichen zielgerichteten Cyber-Angriffe werden von Menschen geplant und durchgeführt. Und solange die Angreifer aus Fleisch und Blut sind, spielen Menschen eine entscheidende Rolle bei der Abwehr. Denn: Sie handeln anders als Maschinen. Zwar helfen künstliche Intelligenz und maschinelles Lernen dabei, Attacken schneller zu erkennen – beispielsweise über die Erkennung von Anomalien im Nutzerverhalten.
Doch um alle zugänglichen Informationen zu nutzen und daraus die oftmals gut verschleierten Absichten der Angreifer zu erkennen, benötigt man gut ausgebildete und erfahrene Analysten. Organisationen, die nicht das nötige Budget haben, ein eigenes Security Operation Center aufzubauen, können auf MDR-Dienste setzen, die ein solches Expertenteam und den menschlichen Mehrwert anbieten.
So erhöhen sie nicht nur ihre IT-Sicherheit maßgeblich, sondern fügen ihrem Arsenal technologischer Abwehrlösungen auch noch einen entscheidenden Faktor hinzu: die Unterstützung durch kompetente Sicherheitsanalysten.