Aktuelles, Branche - geschrieben von cp am Montag, März 11, 2019 22:10 - noch keine Kommentare
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr
Zentrale Aufgabe ist Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen
[datensicherheit.de, 11.03.2019] Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto Networks berichtet.
Mehrschichtiger Ansatz
Dieser Ansatz beinhaltet den Einsatz mehrerer Technologien wie Endpoint Detection and Response (EDR), User and Entity Behavioral Analytics (UEBA) sowie Network Traffic Analysis (NTA), um die Transparenz in der gesamten Umgebung zu erhöhen. Darüber hinaus verwenden Sicherheitsteams in der Regel Warn- und Protokoll-Aggregationstechnologien wie SIEM-Tools (Security Information Event Management), um Richtlinien festzulegen, Ereignisse zu korrelieren und Probleme zu priorisieren. Schließlich ist es notwendig, die mit den Daten erzeugten Warnmeldungen irgendwie zu verknüpfen, um Bedrohungen schneller zu untersuchen und unschädlich zu machen.
Flut an Warnungen kann manuell nicht mehr bewältigt werden
Die mehrschichtige Prävention gehe jedoch zu Lasten von Zeit und Expertise. Viele Sicherheitsteams sind nicht in der Lage, die oftmals sehr große Anzahl von Warnungen zu verarbeiten. Herkömmliche Sicherheitsinfrastrukturen sind gekennzeichnet durch eine Überflutung mit Ereignismeldungen. Das durchschnittliche SOC (Security Operations Center) kann 174.000 Warnungen pro Woche erhalten. Mit einem personell begrenzten Team kann die Rechnung nicht aufgehen.
Sicherheitsteams können auf mehr als 40 eng fokussierte Tools angewiesen sein, um Angriffe zu untersuchen und zu entschärfen. Daten aus Netzwerk, Endpunkten und Cloud werden manuell erfasst. Untersuchungen werden zunehmend komplex und unüberschaubar. Die Identifizierung und Isolierung von Sicherheitsbedrohungen zieht sich dadurch in die Länge. So dauert es 197 Tage, um einen Sicherheitsvorfall innerhalb eines Netzwerks zu erkennen, und 69 Tage, um darauf zu reagieren. Kein Wunder, dass Vorfälle dieser Art immer wieder in die Schlagzeilen kommen. Die durchschnittlichen Kosten einer Sicherheitsverletzung in den USA lagen 2018 bei geschätzten 7,91 Millionen US-Dollar.
Fachkräftemangel erfordert alternativen Ansatz
Durch die Überlastung entsteht ein Laufradeffekt, der dazu führt, dass die Sicherheitsteams fast ihre gesamte Arbeitszeit damit verbringen, Daten zusammenzufügen und auf Warnmeldungen zu reagieren, anstatt proaktiv zu sein und Angriffe von vornherein zu verhindern. Selbst wenn Unternehmen ihre Sicherheitsteams aufstocken wollen, scheitert dies daran, dass das gesamte IT-Umfeld und insbesondere die IT-Sicherheit von chronischem Fachkräftemangel betroffen ist. Bis 2023 soll einer Studie zufolge die Zahl der unbesetzten Stellen auf weltweit 1,8 Millionen steigen.
Daher ist nach Meinung von Palo Alto Networks nun ein besserer Ansatz gefragt, damit kleine, schlagkräftige Teams effizienter und effektiver werden. Es geht darum, die Komplexität und Grenzen von Silo-Tools wie EDR, UEBA und NTA zu umgehen. Gesucht ist eine ganzheitliche, integrierte Lösung, die die bisherigen Silos aufbricht und in der Lage ist, das Sicherheitsteam in allen Phasen zu unterstützen: bei der Erkennung von Anomalien, Alarmverfolgung, Untersuchung von Vorfällen und Bedrohungssuche. Eine solche Lösung sorgt für Sichtbarkeit, ist integrierbar mit anderen Tools, nutzt Analytik in großem Stil und vereinfacht investigative Aufgaben. Dadurch reduziert sich die Zeit für die Erkennung und Reaktion auf Bedrohungen. Sicherheitsteams können durchatmen – und proaktiv statt reaktiv arbeiten.
XDR statt DER – mehr Produktivität durch Automatisierung
Diesen neuen Ansatz gibt es nach Angaben des Unternehmens bereits: Gegenüber EDR bedeutet XDR eine deutliche Abkehr von der herkömmlichen Vorgehensweise der Erkennung und Reaktion. Das „X“ steht für jede Datenquelle, sei es Netzwerk, Endpunkt oder Cloud. XDR kombiniert Daten aus diesen verschiedenen Quellen mit allgemeinen Bedrohungsinformationen. Dadurch werden unterschiedliche Aspekte zusammengeführt, um ein weitaus umfassenderes Bild eines Angriffs zu liefern. Dank der integrierten Analysefunktionen kann der Angriff schneller erkannt und besser abgewehrt werden. Zudem ist das System in der Lage, bösartigen Traffic zurückzuverfolgen und einen Angriff zu rekonstruieren. Der Fokus von XDR liegt auf der Vervielfachung der Produktivität jedes Mitglieds im Sicherheitsteams durch Automatisierung. Das ultimative Ziel ist es, die durchschnittliche Zeit für die Erkennung und Reaktion auf Bedrohungen verkürzen, ohne den Aufwand an anderer Stelle im Team zu erhöhen.
Weitere Informationen zum Thema:
Palo Alto Networks
Redefine Security Operations with XDR
datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner
datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren