Kommentar: Die Security Operations Center sind unter Druck. Im Durchschnitt verbringen österreichische SecOps-Mitarbeiter ein Viertel ihrer Zeit damit, sich mit diesen Fehlalarmen zu beschäftigen. Das hat ernsthafte Auswirkungen auf das Wohlbefinden der Analysten, warnt Richard Werner.
Foto: Trend Micro
Der Autor Richard Werner ist Business Consultant bei Trend Micro
Sicherheitslücken sind unvermeidlich, es kommt nur darauf an, wie man auf sie reagiert. Diese Erkenntnis ist nicht neu, es hat jedoch einige Zeit gedauert, bis sie sich bei einem Großteil der Unternehmen durchgesetzt hat. In letzter Zeit führt sie dazu, dass sich Sicherheitsverantwortliche verstärkt auf die Erkennung und Bekämpfung von Angriffen (Detection and Response) konzentrieren und immer häufiger Security Operations Center (SOCs) einrichten.
Diese Entwicklung ist in der Theorie uneingeschränkt zu begrüßen – in der Praxis gibt es jedoch regelmäßig ein Problem: Ohne die richtigen Tools können Security-Analysten – innerhalb wie außerhalb des SOC – einem extremen Druck ausgesetzt sein, der sich auf ihre Produktivität, ihre Arbeitszufriedenheit und ihre psychische Gesundheit auswirkt. Technologie ist sicher nicht die alleinige Lösung. Doch in eine Plattform zu investieren, die diesen Analysten hilft, Alarme effektiv zu priorisieren, kann ein guter Ausgangspunkt sein.
Immer ausgefeiltere Angriffstechniken haben dazu geführt, dass der traditionelle „Burg- und Burggraben-Ansatz“ für die Sicherheit weitgehend unhaltbar geworden ist. Es ist sinnlos, alle Cybersecurity-Tools lediglich auf die Verteidigung des Unternehmensnetzwerks auszurichten, wenn Cyberkriminelle über gestohlene, gefälschte oder geknackte Anmeldeinformationen ganz einfach ins Innere gelangen können. Schon ein kurzer Blick auf Dark-Web-Marktplätze zeigt, dass es heute einfacher denn je ist, an solche Log-Ins zu gelangen. Wenn sie erst einmal drin sind, verwenden dieselben Bedrohungsakteure legitime Tools wie Cobalt Strike, PSExec und Mimikatz, um unter dem Radar zu bleiben, während sie sich lateral im Netz zu bewegen. Dies macht es für herkömmliche Sicherheitssysteme noch schwieriger, sie zu entdecken.
Das alte Modell der Perimetersicherheit hat ebenfalls sein Verfallsdatum überschritten, denn der Perimeter, wie wir ihn früher kannten, ist längst verschwunden. Heute umfasst er eine verteilte Umgebung aus Remote-Arbeitsplätzen, Cloud-Apps und -Infrastruktur, IoT-Geräten und vielem mehr. Der moderne Perimeter ist fließend, durchlässig und reicht weit über die Grenzen des traditionellen Unternehmensnetzwerks hinaus. Dadurch wird die Nachlässigkeit der Mitarbeiter ein größeres Risiko, da diese immer häufiger von verschiedenen Orten arbeiten, auf potenziell unsicheren Geräten, die sie mit anderen Mitgliedern ihres Haushalts teilen. Ablenkungen und riskanteres Verhalten zu Hause machen es wahrscheinlicher, dass Firmenlogins im Dark Web landen.
All dies hat dazu geführt, dass Detection & Response und Security Operations (SecOps) viel stärker in den Fokus gerückt sind. Aber egal, ob Unternehmen ein SOC betreiben oder ein Team von Analysten innerhalb ihrer IT-Sicherheitsabteilung haben, es gibt ein Problem: Sie haben in den letzten Jahren eine große Anzahl verschiedener Sicherheitstools angehäuft. Die Herausforderung besteht darin, dass diese Einzellösungen täglich große Mengen an Alarmen ausspucken. SIEMs (Security Information and Event Management) erfüllen nicht immer ihre Aufgabe, die Nadel in diesem Heuhaufen zu finden. Und tatsächlich wird es angesichts der Zahl an Angriffen zunehmend eher das Problem, die Nadel im „Nadelhaufen“ zu finden, welches Security-Experten belastet.
Das Ergebnis ist eine Überlastung mit Alarmen. Eine neue Studie von Trend Micro zeigt, dass dies zu ernsthaften Problemen für SecOps-Teams führt. Wir befragten mehr als 2.300 IT-Sicherheitsentscheider weltweit aus Unternehmen aller Größenordnungen, davon 100 aus Österreich. Wir mussten dabei feststellen, dass 62 Prozent der befragten Österreicher (51 Prozent weltweit) das Gefühl hat, dass ihre Teams von der Zahl der Alarme überfordert ist.
57 Prozent (weltweit 55 Prozent) von ihnen gaben zu, dass sie nicht in der Lage sind, Prioritäten zu setzen oder auf diese Warnungen angemessen zu reagieren. Das bedeutet, dass einige Meldungen versehentlich durchrutschen, ohne richtig untersucht zu werden (False Negatives). Viele weitere werden hingegen weiterverfolgt, obwohl es sich um Fehlalarme handelt, wodurch die Zeit der Analysten verschwendet wird. Im Durchschnitt verbringen österreichische SecOps-Mitarbeiter ein Viertel (global 27 Prozent) ihrer Zeit damit, sich mit diesen Fehlalarmen zu beschäftigen.
Leider hat dies auch ernsthafte Auswirkungen auf das Wohlbefinden der Analysten. 62 Prozent der Befragten aus Österreich (70 Prozent aller Befragten) sagten uns, dass sie sich durch ihre Arbeit emotional beeinträchtigt fühlen. Viele sind nicht in der Lage, sich aufgrund von Stress zu entspannen, können ihre Freizeit nicht genießen, weil sie nicht abschalten können, und reagieren gegenüber Freunden und Familie leicht gereizt.
Viele andere geben an, dass der Druck dazu geführt hat, dass sie die Benachrichtigungen ganz abschalten, ihren Computer vorübergehend einfach verlassen, weil sie sich überfordert fühlen, oder die Benachrichtigungen komplett ignorieren. Es versteht sich von selbst, dass ein solches Verhalten die Wahrscheinlichkeit eines schwerwiegenden Vorfalls deutlich erhöht. Bei moderner Ransomware besteht das Risiko von lähmenden IT-Ausfällen und dem Diebstahl von besonders geschützten (zum Beispiel personenbezogenen) Daten. Selbst gezahltes Lösegeld ist keine Garantie dafür, den Angriff zu beenden. Untersuchungen haben ergeben, dass Angreifer ihr Versprechen, keine gestohlenen Daten weiterzugeben, nach Zahlung häufig brechen.
Doch wie lässt sich das Problem der Überlastung lösen? SecOps-Teams verfügen zwar über eine Vielzahl von Sicherheitstools, aber was vielen fehlt, ist eine Plattform, mit der sie Alarme über mehrere Ebenen der IT-Infrastruktur hinweg priorisieren und korrelieren können. Indem sie dies über E-Mail, Netzwerke, Cloud-Server und Endpunkte hinweg tun, können sie produktiver arbeiten, sich auf die wirklich wichtigen Signale konzentrieren und das Rauschen herausfiltern.
Die Chancen sind enorm: Bedrohungen werden schneller erkannt, bevor sie das Unternehmen beeinträchtigen können. Und nicht nur das: Ohne Überlastung können SecOps-Analysten produktiver und mit geringerem Stress arbeiten - und zufriedenere Mitarbeiter verlassen das Unternehmen seltener. Sicher nicht unerheblich in einem Bereich, in dem massiver Fachkräftemangel herrscht. Vielleicht ebenso wichtig ist die Idee der proaktiven Sicherheit als „Enabler“. Mit der Gewissheit, dass auch schwerwiegende Vorfälle schnell erkannt und behoben werden können, sind Entscheider eher dazu bereit, in neue digitale Initiativen zu investieren, um Innovation und Wachstum zu fördern. Das ist genau das, was Unternehmen brauchen, wenn sie nach der Pandemie auf Erfolgskurs kommen und bleiben möchten.
