ArtikelSecurity

Warum Unternehmen „Best of Breed“ schleunigst in Rente schicken sollten

Autor/Redakteur: Richard Werner, Business Consultant bei Trend Micro/gg

In der IT-Security galt der „Best of Breed“-Ansatz für lange Zeit als geeignetste Methode, um Cyber-Krimineller Herr zu werden. Der Anstieg der Zahl der Ransomware-Attacken hat jedoch mittlerweile die zahlreichen Schwächen der alten Strategie offengelegt. Es braucht nun schleunigst ein Umdenken in der IT-Security-Branche, damit Unternehmen vor modernen Cyber-Angriffen geschützt werden.

Bild: Trend Micro

Bei Best of Breed geht es darum, die Lösungen und Tools unterschiedlicher Security-Dienstleister zu bündeln. Eine komplexere Abwehr – so die Logik – verwirrt Angreifer und schreckt ab. Es ist fraglich, ob das jemals so funktioniert hat. In der Vergangenheit haben Hacker seltener Unternehmen angegriffen – und auch nicht mit solch brachialen Auswirkungen wie Ransomware – weshalb man dieses Konzept als wirksam angesehen hat.

Die Komplexität von Best of Breed nützt den Angreifern – nicht den Verteidigern

Im Ernstfall eines Angriffs heißt es: Bedrohungen schnell erkennen und agieren. Durch die Komplexität des Best-of-Breed-Ansatzes wird die Verteidigung sehr unübersichtlich. Sie führt zu Silos, die es erschweren, sicherheitsrelevante Informationen im Zusammenhang zu betrachten. Die einzelnen Systeme loggen zwar zuverlässig jeden verdächtigen Vorfall, doch im Wust der Daten und verschiedenen Lösungen können diese selten als eindeutig gut oder böse identifiziert werden. Um ein tatsächlich vernünftiges Gesamtbild zu erhalten, muss man möglichst viele Daten aus unterschiedlichen Sicherheitsebenen wie Puzzleteile zusammensetzen. Erst dann kann die IT-Security harmlose Vorfälle von bösartigen Angriffen unterscheiden.

Eine solche Korrelation über mehrere Ebenen fällt im Best-of-Breed-Kontext schwer. Das liegt zum einen daran, dass die Sicherheitsstrategie vorrangig auf die Abwehr ausgerichtet ist. Zum anderen sind die Lösungen der verschiedenen Hersteller oft nicht aufeinander abgestimmt. Dadurch kommt es zu Überschneidungen und auch zu Löchern in der Abdeckung der Daten. Das wiederum bedeutet Zeitverlust bei der Analyse und Fehlinterpretationen.

Auch automatisierte Systeme wie SIEM und SOAR brauchen menschliche Übersicht

Um die genannten Herausforderungen zu bewältigen, setzen viele Unternehmen mittlerweile auf SIEM- (Security Information and Event Management) und SOAR-Lösungen (Security Orchestration, Automation and Response). Doch diese Systeme scheitern ebenfalls oft an der Qualität der Daten. Ein SIEM sammelt zwar die Informationen angeschlossener Überwachungssysteme, kann diese aber in der Regel nicht zu einem übersichtlichen Gesamtbild zusammenführen. Das führt zu einer Flut von irrelevanten Warnmeldungen, die nur den Überblick erschweren. Dieser Daten- und Alertdschungel generiert zudem unnötige Kosten, denn ein SIEM wird üblicherweise nach Events pro Sekunde lizensiert. Datenquellen anzubinden und zu integrieren, erweist sich als weiteres Problem im Best of Breed-Umfeld. Diese fällt in der Regel äußerst aufwendig aus – egal ob bei SIEM oder SOAR.

Der Vorteil einer SOAR-Lösung liegt darin, Sicherheitsprozesse bis zu einem gewissen Grad automatisieren zu können. Im Ernstfall ist dennoch menschliche Entscheidungskraft erforderlich. Sollte etwa der Stecker zum Serverraum gezogen werden oder reicht es, das betroffene System zu isolieren? Solche Entscheidungen können in der Hitze des Gefechts nur Menschen treffen. Aber selbst Spezialisten hadern in einem Best-of-Breed-Umfeld damit, sich ein Lagebild zu verschaffen. Oft fehlt Expertise für bestimmte Security-Lösungen. Die Hersteller wiederum liefern nur Aussagen über die eigenen Produkte.

Weg vom Best-of-Breed-Dschungel hin zur dedizierten Extended Detection & Response (XDR)  

Die Komplexität von Best-of-Breed erschwert also die Übersicht und behindert rechtzeitige Abwehrmaßnahmen. Die Flexibilität zu erhöhen und zusätzliche Security-Layer aufzusetzen erweist sich dabei in einer Best-of-Breed-Architektur als ein teures und sehr aufwendiges Verfahren. Was kann die IT-Security also tun, um das Unternehmen vor den komplexen Angriffen der modernen Cyberkriminellen zu schützen?

Unternehmen müssen zunächst die Anzahl ihrer Security-Hersteller konsolidieren. Zudem sollten sie eine Drittanbieterintegration über Schnittstellen ermöglichen oder einheitliche Datenstandards durch eine übergreifende Plattform-Strategie garantieren. Nur unter diesen Voraussetzungen ist es möglich, eine moderne, agile und wirksame XDR in die bestehenden Systeme zu implementieren. Im Gegensatz zu Best of Breed handelt es sich bei einer XDR-orientierten Architektur um sorgfältig aufeinander abgestimmte Sicherheitslösungen eines dedizierten Herstellers. Optionale Service-Angebote unterstützen bei Fachkräftemangel in den Unternehmen und greifen beim Ernstfall unter die Arme.

Fazit 

Die Zahl der Cyber-Angriffe auf Unternehmensstrukturen nimmt stark zu – die Methodiken werden dabei immer cleverer und durchdachter und die Tools ausgefeilter. Ein zukunftsfähiges Sicherheitskonzept sollte sich daher schleunigst von einem behäbigen, überkomplexen Best-of-Breed-Ansatz lösen. Stattdessen ist eine agile Detection & Response zu empfehlen. Im Ernstfall hilft nur eine hohe Flexibilität. Unternehmen können dabei mit Hilfe einer umfassenden Cybersecurity-Plattform die Komplexität reduzieren und Interoperabilität zwischen den einzelnen Verteidigungspunkten garantieren.  Managed-Service-Angebote sind diesbezüglich wegweisend, da Unternehmen dadurch rund um die Uhr von externen Security-Experten Unterstützung erhalten. So sind sie tatsächlich vor Cyberangriffen mit modernen Tools und Methoden geschützt und das ineffiziente „Best of Breed“-Modell kann dann endlich ein für alle Mal in Rente geschickt werden.