Fünf Fragen an Sigrid Maier, Contoso

Mehr Messdaten bringen mehr Sicherheit – das stimmt zwar grundsätzlich, doch die Teams der Security Operations Center (SOC) ertrinken in einer Flut von Daten und Warnmeldungen. Eine neue Studie von ESG erkundet Auswege aus dieser Situation.  

Dank Cloud Computing und der Dezentralisierung der Arbeit ist die IT-Infrastruktur eines Unternehmens nicht mehr allein in seinem Rechenzentrum und seinem Bürogebäude zu finden, sondern über mehrere Standorte verteilt. Gleichzeitig ist die Infrastruktur in den letzten Jahren immer diverser geworden. Mehr Knotenpunkte in einem Netz bedeuten allerdings auch mehr potenzielle Einfallstore für Hacker und mehr Möglichkeiten, diese Punkte anzugreifen. Kein Wunder also, dass IT-Sicherheit inzwischen eine hochkomplexe Wissenschaft geworden ist.

Sicherheitsverantwortliche haben ihre liebe Mühe, mit dieser Entwicklung Schritt zu halten. Speziell für die Teams in Security Operations Centern (SOCs) wird es langsam unübersichtlich: Die schiere Menge und die Vielfalt an Warnmeldungen ist für sie kaum noch zu handhaben. 

Noch mehr Daten auswerten – nur wie?

Eine neue Studie von ESG zeichnet sehr deutlich das Dilemma auf, in dem sich die Unternehmen momentan befinden: Rund 80 Prozent von ihnen analysieren mehr als zehn verschiedene Datenquellen, um ihre aktuelle Sicherheitssituation zu beurteilen. Und obwohl bereits jetzt die Auswertung dieser Daten einen beträchtlichen Aufwand darstellt, möchten sie künftig noch mehr Datenquellen heranziehen. Sie haben gesehen, wie viel das Aggregieren, Normalisieren, Korrelieren und Kontextualisieren dieser Daten beiträgt, um bessere Sicherheitsmaßnahmen treffen zu können. 

Eine personelle Erweiterung der Sicherheitsteams, um den zusätzlichen Aufwand zu schaffen, ist nicht ganz einfach: 81 Prozent der in der ESG-Studie befragten Unternehmen sagten, dass ihnen der Fachkräftemangel im Security-Bereich zu schaffen macht. Zugleich ist ihnen klar, dass der Zugang zu weiteren Datenquellen ohne die Ressourcen, um richtig damit arbeiten zu können, eher kontraproduktiv sein könnte. Schon heute ist es für jedes dritte Unternehmen so, dass die Security-Teams durch Warnungen und Sicherheitsvorfälle überlastet sind und kaum Zeit haben, um sich mit strategischen Themen und Prozessoptimierungen zu beschäftigen.

Höhere Security-Budgets

„Anstatt proaktiv nach komplexen Bedrohungen und Evasive Threats in der Infrastruktur zu suchen, können SOC-Analysten derzeit nur auf Notfälle reagieren“, erklärt Yuliya Andreeva, Senior Product Manager bei Kaspersky. „Die Reduzierung der Anzahl an Warnungen, die Automatisierung ihrer Konsolidierung und Korrelation in Vorfallketten sowie die Verkürzung der Gesamtreaktionszeit sollten für Unternehmen im Mittelpunkt stehen, um die Leistungsfähigkeit ihres SOC zu verbessern.

Was könnte der Ausweg aus diesem Dilemma sein? Die Modernisierung der Security Operations Center ist eine der Optionen, die Unternehmen ernsthaft in Betracht ziehen. So wollen 88 Prozent der von ihnen in diesem Jahr die Ausgaben für den Sicherheitsbetrieb erhöhen, damit sich ihre SOC-Teams in naher Zukunft weiteren Bereichen der IT-Sicherheit widmen können. Dazu gehört die Verbesserung der Operationalisierung von Bedrohungsdaten, die Integration von Asset-Management-Daten in das SOC, die Verbesserung der Risiko- und Warnungspriorisierung, der Ausbau der Definition und Verwaltung von SOC-KPIs sowie die Automatisierung allgemeiner Sicherheitsaufgaben konzentrieren. 

XDR und Managed Service stehen hoch im Kurs

All das wird nicht ohne eine (zumindest teilweise) Automatisierung der Sicherheitsprozesse gehen können. Hierfür ist in den meisten Unternehmen die Anschaffung entsprechender Tools vorgesehen. Auch externe Dienste stehen momentan hoch im Kurs. Mehr als die Hälfte (55 Prozent) der Befragten der ESG-Studie sieht den Hauptgrund für die Nutzung von Managed Services darin, ihrem Personal mehr Raum zu geben, um sich auf strategischere Initiativen zu konzentrieren, anstatt Zeit mit Security-Operations-Aufgaben zu verbringen.

XDR-Dienste (Extended Detection & Response) spielen hierbei eine Schlüsselrolle, denn sie stellen einen einheitlichen und vernetzten Ansatz für die Erkennung und die Reaktion auf Cyberbedrohungen dar. Über den XDR-Ansatz werden automatisch Daten auf mehreren Sicherheitsebenen – E-Mail, Endpunkt, Server, Cloud-Workload und Netzwerk – erfasst und korreliert. Dies ermöglicht eine schnellere Erkennung von Bedrohungen und verbesserte Untersuchungs- und Reaktionszeiten durch Sicherheitsanalysen.

Mehr über die Modernisierung des Security Operations Centers und die Rolle von XDR erfahren Sie in der ESG-Studie selbst. Sie können sie über den Fragebogen auf der rechten Spalte herunterladen.  


Erfahren Sie in der Studie „SOC Modernization and the Role of XDR“ der Enterprise Strategy Group im Auftrag von Kaspersky:

https://evm.digitale-agenda.blog/event.php?eh=887f00719a52ad153a55&status=teilnehmer&src=WP&webcastgate=&page=