ArtikelSecurity

Das SOC der Zukunft: So können Unternehmen die eigene IT-Sicherheit steigern

Autor/Redakteur: Thomas Maxeiner, Cortex Area Sales Executive bei Palo Alto Networks/gg

Das IT-Sicherheitsrisiko für Unternehmen ist heutzutage so groß wie noch nie. Gerade durch den Einsatz von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) werden Online-Angriffe zahlreicher und raffinierter. Diese Beobachtungen untermauert der „2023 Unit 42 Network Threat Trends Research Report“ von Palo Alto Networks. Cyberkriminelle greifen erfolgreicher an: Im Vergleich zu 2021 nahm die Zahl der Sicherheitsvorfälle durch ausgenutzte Schwachstellen zuletzt um 55 Prozent zu. Während Angreifer früher durchschnittlich 44 Tage für den Datenklau benötigten, dauert es heute nur noch wenige Stunden. Die Bedrohungslage erfordert also gezieltes Handeln.

Thomas Maxeiner ist Cortex Area Sales Executive bei Palo Alto Networks. (Quelle: Palo Alto Networks)

Die Anforderungen an die Resilienz einer IT-Infrastruktur liegen nun deutlich höher. Zwar haben Unternehmen bereits viele Bereiche modernisiert, doch ein wichtiges Element, das in einer Reihe von Security-Konzepten vorkommt, wurde bisher oft sträflich vernachlässigt: das Security Operations Center (SOC) – eine Art Leitzentrale für Sicherheitsmaßnahmen. Seine Maßnahmen beruhen üblicherweise auf SIEM-Modellen (Security Information and Event Management), die vor 20 Jahren entwickelt wurden und damit nicht mehr alle Anforderungen erfüllen. Was bedeutet das für Unternehmen? Und wie können sie sich zuverlässig vor jeder Sicherheitsbedrohung schützen?

Ein genauer Blick auf den Stand der SIEM-Lösungen

Für den Rückgang der Effektivität der SOCs gibt es mehrere Gründe. Zunächst einmal wurden die dort verwendeten SIEM-Lösungen oft vor über einem Jahrzehnt entwickelt. Häufig basieren sie auch auf veralteten IT-Architekturen und das schränkt ihre Anpassungsfähigkeit ein. Gerade auf die neuen Sicherheitsbedrohungen können die Lösungen nicht angemessen reagieren. Sie kennen einige der aktuellen Gefahren schlicht nicht und daher bleiben Warnungen aus.

Hinzu kommt, dass Integration und Management dieser SIEM-Lösungen überaus komplex sind. Die meisten Unternehmen haben die Lösungen an ihre individuellen Bedürfnisse angepasst und kennen sie deshalb genau. Viele Sicherheitstools sind dadurch allerdings oft voneinander abhängig, und das erschwert eine Anpassung an aktuelle Anforderungen. Zudem dürfen gesetzliche Vorschriften und Compliance-Richtlinien nicht vergessen werden. Viele Unternehmen verwenden SIEM-Lösungen, um sich gesetzlich abzusichern. Wenn sie diese allerdings modifizieren, kann das rechtliche Auswirkungen haben.

Aktuelle Herausforderungen für die IT-Sicherheit

Moderne IT-Infrastrukturen sind komplex und bieten Hackern eine große Angriffsfläche – zumal sich viele Anwendungen, Microservices und Workloads in der Cloud befinden. Das führt dazu, dass täglich zahlreiche Warnmeldungen generiert werden. Sicherheitsteams kommen mit der Reaktion kaum noch hinterher und können dieses gewaltige Volumen an Benachrichtigungen nur schwer bewältigen. Insgesamt stellt das eine sehr aufwendige Arbeit dar, die durch manuelle Prozesse zudem noch fehleranfällig ist.

Die korrekte Analyse potenzieller Bedrohungen setzt zahlreiche Schritte voraus. Das umfasst zum Beispiel die Durchsicht von Protokolldaten und deren manuelle Vergleiche. Sicherheitsteams müssen auch Informationslücken ausfindig machen und diese beseitigen, damit sie stets über alles Bescheid wissen. Ständig müssen die Experten überprüfen, ob neue Warnungen auf tatsächliche Risiken hinweisen oder sogenannte False Positives sind. Diese Schritte kosten Zeit und erfordern in einem traditionellen SOC mehrere Tools. Das Resultat: Analysten können sich nur auf die Alarmmeldungen mit der höchsten Priorität konzentrieren.

Das stellt jedoch ein großes potenzielles Risiko dar, denn immer wieder stecken hinter Warnmeldungen mit niedrigerer Priorität Bedrohungen, die Teil eines größeren Angriffs sind. Darüber hinaus verfügen die für die Einstufung der Warnungen verantwortlichen Sicherheitsanalysten oft nicht über genügend Kontext, um die tatsächliche Gefahr eines Angriffs zu erkennen. In vielen Unternehmen dauert die Identifizierung und Beseitigung von Bedrohungen daher zu lange. Die Unternehmen können dabei noch nicht einmal sämtliche relevanten Informationen verarbeiten. Sie sind also nicht in der Lage, die großen Mengen an Informationen effektiv für ihre Verteidigung zu nutzen.

Wie sollte eine moderne SIEM-Lösung für ein SOC aussehen?

Heutzutage arbeiten die meisten SOC-Teams mit begrenzten und über mehrere Systeme verteilten Daten. Häufig fehlt auch ein umfassender Überblick über die genutzten Cloud-Lösungen, die bereits in mehr als ein Drittel der Sicherheitsverletzungen involviert sind. Zwar bieten die bestehenden Sicherheitslösungen in der Cloud durchaus einen zuverlässigen Schutz, sie werden aber in der Regel unabhängig von den SOCs betrieben. Für ein SOC-Team kommt es deshalb darauf an, Funktionen für die zentrale Überwachung der End-to-End-Sicherheit zu erhalten, um Sicherheitsvorfälle rund um die Cloud verhindern und gegebenenfalls untersuchen zu können.

Die SIEM-Lösungen, die derzeit in Verwendung sind, wurden jedoch mit Blick auf andere Sicherheitsrisiken entwickelt. Sie dienen lediglich dazu, Ereignisse zu protokollieren und eingehende Warnungen zu verwalten. Weitergehende Analysen oder gar eine Automatisierung von Reaktionen gibt es kaum, sodass sogenannte Threat Hunter die Ursachen von Alerts manuell herausfinden müssen. Heutige Bedrohungen verlangen eine andere Vorgehensweise und dafür müssen SIEM-Lösungen optimiert werden.

Ein SOC sollte seine neue Sicherheitsarchitektur mit einer SIEM-Lösung aufbauen, die den Anforderungen einer zeitgemäßen IT-Umgebung entspricht. Eine flexible und skalierbare Lösung eignet sich besonders gut, um auf Veränderungen in der Bedrohungslandschaft angemessen reagieren zu können. Idealerweise verfügt ein SOC zukünftig über eine zentrale Plattform, die mit den besten Funktionen aus anderen Bereichen ausgestattet ist: Threat Intelligence Management, SIEM, ASM (Attack Surface Management), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), SOAR (Security Orchestration, Automation and Response) und UEBA (User and Entity Behavior Analytics). Zudem hilft eine intelligente Automatisierung dabei, die Reaktion auf Cyberangriffe zu verkürzen und Fehler zu vermeiden.

Smart Security durch künstliche Intelligenz

Die ideale SIEM-Lösung innerhalb moderner SOCs liefert eine umfassende Datenbasis für alle Sicherheitsmaßnahmen eines Unternehmens. Ein solches System sammelt hinsichtlich der IT-Sicherheit kontinuierlich Telemetriedaten, bereitet diese automatisch auf und reichert sie an. Das sorgt für mehr Transparenz und bietet die Grundlage für proaktives Handeln. Zugleich ermöglicht die umfassende Datenbasis den Einsatz von KI und ML.

Bei vielen Sicherheitsmaßnahmen können KI-Tools unterstützen – beispielsweise bei der Verhaltensanalyse. Mit passenden Algorithmen lassen sich Anomalien im Verhalten von Nutzern und Systemen deutlich einfacher und schneller erkennen. Ebenso kann KI historische Daten analysieren, um die Muster potenzieller Bedrohungen in der Gegenwart zu erkennen und sie proaktiv zu beseitigen. Dank der Automatisierung durch die KI ist ein SOC bestens vorbereitet und kann in Echtzeit auf Bedrohungen reagieren, ohne dass bei vielen Prozessen menschliches Eingreifen erforderlich ist.

Fazit: Auf die richtige Lösung kommt es an

Die Probleme bisheriger SOCs sind zahlreich: veraltete Datenbankarchitekturen, die Komplexität des IT-Managements und begrenzte Anpassungsfähigkeit. Das Ergebnis dieser überholten IT-Infrastruktur sind massive Sicherheitsrisiken, also Maßnahmen und Tools, die den aktuellen Bedrohungen nicht mehr gewachsen sind. Eine Unterstützung durch fortschrittliche KI- und ML-Technologien ist dringend notwendig, um geschäftskritische Daten zuverlässig zu schützen. Effektive Sicherheitsabläufe erfordern einen neuen Ansatz, bei dem Vereinfachung, KI und Automatisierung im Mittelpunkt stehen.

Ein modernes SOC konsolidiert mehrere Tools. Es zentralisiert, skaliert und automatisiert die Datenerfassung. Dabei senkt ein SOC auch die Entwicklungs- und Betriebskosten. Außerdem lernt das Team kontinuierlich aus neuen Informationen und passt seine Prozesse entsprechend an, um die Genauigkeit und Effektivität der genutzten Plattform im Laufe der Zeit zu verbessern. Wichtig ist in diesem Zusammenhang aber auch, dass die IT-Sicherheitsbeauftragten sich mit den Möglichkeiten und Grenzen der verfügbaren innovativen Technologien beschäftigen. Denn nur so wissen die Experten, auf welche Schwachstellen sie in ihrer IT-Infrastruktur besonders achten müssen und wie sie diese neuen Werkzeuge bestmöglich zum Schutz des eigenen Unternehmens verwenden können.