Vier Gründe, warum SecOps nach wie vor ziemlich schwierig ist
Autor/Redakteur: Andy Schneider, Field-CISO bei Lacework/gg
Cybersicherheitsexperten hatten es schon immer mit böswilligen Hackern zu tun, die es auf sensible Daten abgesehen haben, um daraus Profit zu schlagen. Doch dann kam die Cloud – und die Cybersicherheit wurde um ein Vielfaches schwieriger. Denn von nun an konnte jeder, der über einen Internetanschluss verfügte, von überall auf der Welt auf sensible Daten zugreifen. SecOps-Teams sind nun mehr denn je rund um die Uhr damit beschäftigt, Risiken zu beseitigen und potenzielle Verstöße zu untersuchen. Im Laufe der Jahre haben neue Cloud-Sicherheitstools den Teams zwar geholfen, das Chaos einzudämmen. Dennoch scheinen viele Sicherheitsteams immer noch überfordert zu sein.
Laut einer von der Enterprise Strategy Group (ESG) durchgeführten Umfrage zum Thema Cloud Detection and Response (CDR) gaben 51 Prozent der Befragten an, dass SecOps heute genauso kompliziert oder sogar noch komplizierter sei als vor 24 Monaten. Dabei wurden vier wesentliche Gründe angeführt:
1. Keine Automatisierung für komplexe Aufgaben
Die Skalierbarkeit der Cloud ist zwar ihre große Stärke, kann aber ohne die richtigen Tools und Prozesse auch Probleme herbeiführen. Cyberkriminelle nutzen immer ausgefeiltere Techniken, um Angriffe schnell durchzuführen. Ausgeklügeltes Social Engineering, Spear Phishing, Ransomware und Zero-Day-Exploits erfordern komplexe Cybersicherheitstools und -Prozesse und machen es für die SecOps-Teams zugleich immer schwieriger, Bedrohungen manuell zu erkennen und darauf zu reagieren. Hinzu kommt die schiere Menge an täglichen Warnungen. Laut einer Studie erhalten Sicherheitsteams 500 oder mehr Warnmeldungen pro Tag, die von verschiedenen Sicherheitstools ausgelöst werden. Die Analyse und schnelle Entscheidung, auf welche Warnmeldungen reagiert werden muss, ist mit einem manuellen Ansatz nicht skalierbar. Ohne Automatisierung, die bei der Analyse der Datenmenge und der Priorisierung hilft, kann diese Herausforderung zur Erschöpfung der SecOps-Teams führen.
2. Die Angriffsfläche ist gewachsen und ändert sich ständig
Eine weitere Komponente, mit der sich Sicherheitsteams im modernen Cloud Computing konfrontiert sehen, ist eine sich ständig verändernde und wachsende Angriffsfläche. Nicht zuletzt aufgrund der relativ niedrigen Einstiegshürde für die Einrichtung von Cloud-Umgebungen mangelt es an Transparenz bei der Absicherung von Cloud-Umgebungen. Dabei ist nicht zu unterschätzen, dass es alles andere als einfach ist, eine Umgebung zu schützen, die sich ständig verändert. Dies kann rasch zu einer Überforderung der SecOps-Teams führen. Allerdings geht hier das größte Risiko nicht von der Technologie selbst aus, sondern von den Menschen, die sie nutzen. Laut Statista lag die Zahl der Internetnutzenden bis Oktober Jahr 2023 weltweit bei 5,3 Milliarden. Damit sind bereits zwei Drittel der Weltbevölkerung vernetzt. Doch wo Menschen sind, können selbst bei den besten Absichten leicht Missgeschicke passieren. Wenn Mitarbeitende beispielsweise eine nicht autorisierte Anwendung herunterladen, Opfer einer Phishing-E-Mail oder eines Social-Engineering-Angriffs werden oder einen einfachen Fehler bei der Konfiguration der Cloud machen, kann dies zu Sicherheitsverletzungen führen, die von den Sicherheitsteams rund um die Uhr behoben werden müssen.
3. Mehr Sicherheitstools können auch mehr Risiko bedeuten
Um den ausgefeilten Angriffen von Hackern und den vielen Einfallstoren und Schwachstellen begegnen zu können, ist eine Vielzahl von Sicherheitstools und -Prozessen erforderlich. Doch gerade diese Menge an vorrangig inkonsistenten Werkzeugen und Vorgängen kann eine der Hauptursachen für Probleme im Bereich SecOps sein. Studien zeigen, dass Unternehmen im Durchschnitt dreißig oder mehr Sicherheitstools einsetzen, um ihre Daten zu schützen. Diese Menge ist vor allem darauf zurückzuführen, dass Hacker immer neue Wege finden, neue Technologien auszunutzen, und dies in extrem kurzer Zeit. Wenn neue Angriffsvektoren auftauchen, wird der Markt in Folge mit Lösungen überschwemmt, die dieses eine Problem lösen sollen. Ehe man sich versieht, verfügen Unternehmen über eine zweistellige Anzahl von Sicherheitstools, die nur lose integriert sind. Bei der Untersuchung von Vorfällen sind SecOps-Teams jedoch gezwungen, die Informationen aus all diesen verschiedenen Schnittstellen manuell zusammenzutragen. Und wie die Daten der ESG-Umfrage zu CDR zeigen, sind Unternehmen selbst mit mehreren Lösungen nicht in der Lage, Bedrohungen oder Angriffe rechtzeitig zu erkennen oder darauf zu reagieren. Um diesem Dilemma effizient entgegenzuwirken und Lücken zu schließen, benötigen Unternehmen eine Sicherheitsstrategie, die von allen Beteiligten – IT, Entwicklung, Betrieb und Sicherheit – getragen wird. Ohne die Abstimmung von Werkzeugen und Prozessen, die Informationen austauschen, werden die Sicherheitsteams weiterhin überfordert sein. Mit der richtigen Sicherheitsüberwachung können SecOps-Teams jedoch Risiken priorisieren, effektiv teamübergreifend kommunizieren und die Kontrolle über Cloud-Umgebungen übernehmen.
4. Keine Zeit für Regeln
Eine weitere Herausforderung, mit der sich Sicherheitsteams in Cloud-Umgebungen konfrontiert sehen, besteht in der Schwierigkeit, Sicherheitsregeln zeitnah zu entwickeln. Traditionell mag die Abhängigkeit von Vorschriften und Signaturen gut funktioniert haben, aber um in der Cloud effektiv zu sein, müssen Regeln für Bedrohungen ständig angepasst und gepflegt werden. Dies erfordert einen immensen Zeitaufwand – ein Luxus, den sich SecOps-Teams nicht leisten können. Darüber hinaus sind Regeln sehr begrenzt, insbesondere wenn es sich um eine sich ständig weiterentwickelnde Angriffsfläche handelt. Regelbasierte Erkennungstools überwachen leidglich bekannte Angriffe oder suchen nach Aktivitätsmustern, die auf bekannte Angriffe hindeuten. Sie sind jedoch nicht in der Lage, sich weiterentwickelnde Bedrohungen zu erkennen, die auf Cloud-Infrastrukturen und -Anwendungen abzielen, wie beispielsweise Cloud-Ransomware und bösartiges Kryptomining. Selbst wenn die Sicherheitsteams genügend Zeit für die Pflege der Regeln hätten, müssen sich die Verantwortlichen fragen, ob dies eine effiziente Nutzung der Zeit ist. Dies gilt insbesondere angesichts der Einschränkungen, die mit der Verfolgung von Bedrohungen durch Regeln und Signaturen verbunden sind. Für die einfache Handhabung der Herausforderungen hat Lacework die Polygraph Data Platform entwickelt. Mit deren Hilfe können SecOps-Teams Tools konsolidieren, Lücken beseitigen, Sicherheitsoperationen problemlos vergrößern oder verkleinern und sogar Regeln überflüssig machen.