{"id":15770,"date":"2020-03-10T11:42:00","date_gmt":"2020-03-10T10:42:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=15770"},"modified":"2020-03-03T09:48:15","modified_gmt":"2020-03-03T08:48:15","slug":"zusammen-stark-wie-secops-und-it-ops-gemeinsam-fuer-mehr-cloud-security-sorgen-koennen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=15770","title":{"rendered":"Zusammen stark: Wie SecOps und IT-Ops gemeinsam f\u00fcr mehr Cloud Security sorgen k\u00f6nnen"},"content":{"rendered":"\n

Autor\/Redakteur: Ronnen Brunner, Technology Evangelist\u00a0bei\u00a0ExtraHop<\/a>\/gg<\/p>\n\n\n\n

Lange Zeit war es die Aufgabe von Network Operations (NetOps), daf\u00fcr zu sorgen, dass das Netzwerk schnellst- und bestm\u00f6glich funktioniert. Security Operations (SecOps) stellten wiederum sicher, dass das Netzwerk vor allen Arten von Hacks, Schwachstellen und Cyber-Bedrohungen gesch\u00fctzt war. In dieser Zeit entstand eine gro\u00dfe Kluft zwischen den beiden Disziplinen \u2013 sie interagierten auf Distanz und ohne gegenseitigen Bezug. Dieser Umstand hat auch zu einem Verlust des \u00fcbergeordneten, strategischen Blicks auf die Interessen des Unternehmens gef\u00fchrt, der aber entscheidend f\u00fcr ein gemeinsames Vorankommen ist.<\/p>\n\n\n\n

\"\"
Bild: ExtraHop<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Bei\neiner Umfrage des SANS SOC im Jahr 2019 gaben fast 50 Prozent der Befragten an,\ndass NetOps und SecOps kaum direkt kommunizieren. Die Unterscheidung der beiden\nKonzepte ist aber veraltet: Die Erosion des traditionellen Netzwerkumfangs und\nder Anstieg von Cloud, Virtualisierung und Everything-as-a-Service machen es\nimmer schwieriger, ihre Trennung zu rechtfertigen. <\/p>\n\n\n\n

Tool-Redundanz f\u00fchrt eher zu Chaos\nanstatt Transparenz <\/strong><\/p>\n\n\n\n

NetOps\nund SecOps erf\u00fcllen oftmals die gleichen Aufgaben wie beispielsweise die\nNetzwerkanalyse oder die Erkennung neuer Ger\u00e4te. Da sie jedoch getrennt\nvoneinander existieren, sind ihre Werkzeuge oft doppelt vorhanden. <\/p>\n\n\n\n

Wenn\nin funktionell identische Tools in zwei verschiedenen Abteilungen Budgets und\nKapazit\u00e4ten investiert werden, verschwendet das Unternehmen nicht nur Geld und\nZeit, sondern verpasst auch eine wichtige Gelegenheit: Die Tool-Konsolidierung\nk\u00f6nnte die Zusammenarbeit zwischen den beiden Abteilungen entscheidend\nverbessern.<\/p>\n\n\n\n

Im\nAllgemeinen verf\u00fcgen IT-Abteilungen \u00fcber mehr Tools, da das Team gr\u00f6\u00dfer und\nsein Aufgabenbereich breiter ist. Aber der \u00dcberfluss an Visualisierungs-Tools\nschafft ironischerweise Transparenzl\u00fccken. IT-Teams k\u00f6nnen zwar alles sehen,\naber sie wissen nicht immer, was es bedeutet, und dies gilt insbesondere in\nSachen Sicherheit. <\/p>\n\n\n\n

Daten-Verschwendung durch doppelte\nErfassung<\/strong><\/p>\n\n\n\n

Die\nInformationen, auf die sich SecOps verl\u00e4sst, kommen oft zuerst bei NetOps an.\nUnd doch wird die Information erst verwertbar, wenn SecOps sie aufgegriffen\nhat. Allein auf technischer Ebene verschwendet ein Netzwerk, das Datenpakete\nzweimal erfassen und speichern muss, eine enorme Menge an Energie. <\/p>\n\n\n\n

IT-Teams verf\u00fcgen tendenziell \u00fcber mehr Visualisierungsinstrumente, die ihnen einen breiteren \u00dcberblick \u00fcber das Netzwerk geben sollen, aber nicht unbedingt \u00fcber einen Plan, diese Tools auch f\u00fcr sicherheitsorientierte Ziele zu nutzen. Tats\u00e4chlich sind Sicherheitsteams bei ihren Analysen h\u00e4ufig auf Daten von IT-Teams angewiesen. Dar\u00fcber hinaus kennen die IT-Teams ihre Maschinen genau und sind sich potenziell mehr dar\u00fcber im Klaren, was abnormales Verhalten ist und was nicht. Aber sie sehen es m\u00f6glicherweise nicht als ihre Verantwortung an, dieses Wissen auch f\u00fcr Sicherheitszwecke zu nutzen. Wenn das Unternehmen die IT und die Sicherheitsabteilung nicht zu einer engeren Zusammenarbeit anregt, wird dieses Wissen verschwendet.<\/p>\n\n\n\n\n\n\n\n

In der Praxis fehlen oft Talente und\n\u201eCross-Training\u201c <\/strong><\/p>\n\n\n\n

Gute\nSicherheitsleute sind schwer zu finden, was auch daran liegen mag, dass f\u00fcr\ndiese Spezialisierung wenig Qualifizierungsm\u00f6glichkeiten existieren. Es gibt in\nder Regel weitaus mehr Generalisten oder anderweitig spezialisierte\nIT-Mitarbeiter als Sicherheitsfachleute, die dann auch noch mit mehr Werkzeugen\nausgestattet werden, um die Art von Fragen zu beantworten, die SecOps stellen. <\/p>\n\n\n\n

Echte\nSicherheitsexpertise ist Mangelware. Die Personalkosten sind dar\u00fcber hinaus\nsehr hoch. Diese Kompetenzl\u00fccke wird \u2013 trotz aller unternommenen Anstrengungen\n\u2013 noch eine ganze Weile lang bestehen bleiben. Besonders NetOps-Mitarbeiter\nk\u00f6nnten von einem \u201eCross-Training\u201c f\u00fcr den Sicherheitsbereich sehr profitieren\nund langfristig daraus neue Generationen von Sicherheitsanalysten hervorgehen. <\/p>\n\n\n\n

Aktuell\nsind weder NetOps noch SecOps in der Lage, von den F\u00e4higkeiten und Fertigkeiten\ndes anderen vollumf\u00e4nglich zu profitieren. NetOps kann nicht aus dem Fachwissen\nund der Erfahrung von SecOps sch\u00f6pfen und SecOps f\u00e4llt es schwer, auf die Gr\u00f6\u00dfe\nund St\u00e4rke der traditionellen IT zur\u00fcckzugreifen. Eine Verschmelzung w\u00fcrde das\nLeben beider Teams einfacher und ihre Rollen effektiver machen. <\/p>\n\n\n\n

Kommunikation als Schl\u00fcssel f\u00fcr mehr\nTransparenz zwischen SecOps und NetOps<\/strong><\/p>\n\n\n\n

Die\nbeschriebene Kluft bedeutet letztlich, dass keine der beiden Abteilungen ihr\nvolles Potenzial aussch\u00f6pfen kann. SecOps und NetOps f\u00fchren eine Vielzahl von\nAufgaben aus, die eine Zusammenarbeit erfordern. Ein gutes Beispiel daf\u00fcr ist\ndie Einhaltung von Richtlinien. SecOps-Teams erstellen Richtlinien,\nNetOps-Teams m\u00fcssen diese dann umsetzen \u2013 die Trennung der Abteilungen f\u00fchrt\naber zu einer laschen Interpretation und schlechten Ausf\u00fchrung. <\/p>\n\n\n\n

Gleiches\ngilt f\u00fcr die Eind\u00e4mmung von Vorf\u00e4llen und ihrer Schadensbegrenzung. Wenn es zu\neiner Sicherheitsverletzung kommt, gibt die Security oft Anweisungen, wie\nnotwendige \u00c4nderungen durchgef\u00fchrt werden k\u00f6nnen, aber die Grundlagen daf\u00fcr\nliegen oft bei den NetOps-Teams. Ohne angemessene Kommunikation k\u00f6nnen wichtige\n\u00c4nderungen an den Sicherheitseinstellungen wiederum schlecht umgesetzt werden.<\/p>\n\n\n\n

Dies wirkt sich besonders auf die Transparenz aus. SecOps k\u00f6nnen oft nicht sehen, was NetOps k\u00f6nnen: Aspekte mangelnder Sicherheitshygiene, wie beispielsweise schwache Verschl\u00fcsselungen oder anf\u00e4llige Ports, sind f\u00fcr sie nicht ohne weiteres erkennbar. Dar\u00fcber hinaus ben\u00f6tigen SecOps Daten von NetOps, um ihre Arbeit zu erledigen, wodurch ein \u00fcberm\u00e4\u00dfig b\u00fcrokratischer Austausch entsteht, durch den das Zeitfenster der Verwundbarkeit nur vergr\u00f6\u00dfert wird. <\/p>\n\n\n\n\n\n\n\n

Cloud-Migration hinsichtlich\nSicherheit oft besonders kritisch <\/strong><\/p>\n\n\n\n

Am\nBeispiel der Cloud wird deutlich, dass auch der Zeitfaktor eine immer\nentscheidendere Rolle spielt. Denn mit ihr ist das Modell der geteilten\nVerantwortung entstanden: Im Allgemeinen k\u00fcmmern sich Cloud-Anbieter um die\nSicherheit der Cloud selbst, und Kunden k\u00fcmmern sich um die Sicherheit ihrer\nDaten und Anwendungen. Die gro\u00dfe Mehrheit der sogenannten \u201eCloud Breaches“\ngeschieht jedoch auf der Seite des Kunden, nicht auf der Seite des Cloud-Providers.<\/p>\n\n\n\n

Die\nCloud-Migration ist einer der wichtigsten Schritte bei der Modernisierung des\nUnternehmens. Ein allzu h\u00e4ufiges Problem, mit dem sich Unternehmen konfrontiert\nsehen, ist jedoch der sogenannte \u201eGreat Stall“ \u2013 der Moment, in dem nach\neiner Periode erfolgreicher Bewegung in die Cloud die Migration pl\u00f6tzlich\naufh\u00f6rt. Tats\u00e4chlich bleiben 70 Prozent der Daten nach 15 bis 20 Prozent der\nMigrationen stehen und 20 Prozent erholen sich danach nie wieder. <\/p>\n\n\n\n

Bei\ndiesem Str\u00f6mungsabriss geht es vor allem um die Transparenz. Die Einf\u00fchrung\ndieser neuen Umgebung hat weitere Sichtbarkeitsl\u00fccken geschaffen. Jetzt k\u00f6nnen\nSecOps nicht nur nicht sehen, was NetOps sieht, sondern beide haben Probleme,\ndie Cloud einzusehen. <\/p>\n\n\n\n

K\u00fcnftige\nHerausforderung ist auch TLS 1.3, das verschl\u00fcsselten Cloud-Verkehr zur Norm\nmachen wird. Die NetOps-Teams m\u00fcssen diesen Datenverkehr weiterhin \u00fcberwachen,\num die Leistung eines Netzwerks zu optimieren. Die SecOps-Teams wissen, dass\ndie meisten Angriffe jetzt im verschl\u00fcsselten Datenverkehr versteckt sind \u2013 sie\nm\u00fcssen also auch in diesen Datenverkehr Einsicht erhalten. <\/p>\n\n\n\n

Angesichts\ndieser Herausforderung gibt es keine bessere Gelegenheit, sich endlich\nzusammenzuschlie\u00dfen. Teams k\u00f6nnten physisch in denselben Arbeitsbereich gesetzt\nwerden oder NetOps in die Pentests und \u00dcbungen des Red-Teams einbezogen werden,\num eine engere Zusammenarbeit zu f\u00f6rdern. Meistens m\u00fcssen sie sich gegenseitig\naustauschen, daher sollten Unternehmen Tools und Plattformen entwickeln, die\nvon beiden Seiten genutzt werden k\u00f6nnen, um in den Cloud-Verkehr zu blicken.\nGefordert sind Daten, die gemeinsam genutzt werden k\u00f6nnen, und Workflows, an\ndenen sie zusammenarbeiten. <\/p>\n\n\n\n

Au\u00dferdem\nsollten NetOps als Sicherheitsexperten eingesetzt werden. Die\nSicherheitshygiene ist f\u00fcr alle Beteiligten von enormer Bedeutung, und\nNetOps-Teams sind aufgrund ihrer tiefen Kenntnis des Netzwerks dazu besonders\nbef\u00e4higt. W\u00e4hrend SecOps sein Fachwissen zur Verf\u00fcgung stellt, tut NetOps das\nGleiche mit seinen F\u00e4higkeiten. SecOps braucht die Netzwerktransparenz, die\nNetOps besitzt, und NetOps braucht dringend Anweisungen, wie Bedrohungen in\nihrem Keim erstickt werden k\u00f6nnen. <\/p>\n\n\n\n

Das\nNetzwerk so zu behandeln, als w\u00e4re es noch immer nur auf die Zentrale des\nUnternehmens beschr\u00e4nkt, kann ein schwerwiegender Irrtum sein, da viele Teams\nheute ortsunabh\u00e4ngig verteilt arbeiten. Eine solche Herangehensweise k\u00f6nnte\neifrigen Cyberkriminellen T\u00fcr und Tor \u00f6ffnen und das Risiko erh\u00f6hen, das von\nfalsch konfigurierten Diensten, schlecht geschulten Mitarbeitern mit\nunzureichender Sicherheitshygiene oder unentdeckten kritischen Bestandteilen\nvon Unternehmensdaten ausgeht.<\/p>\n\n\n\n

Jede\n\u201eCloud-First“-Sicherheitsstrategie muss diese hybride Angriffsfl\u00e4che\nber\u00fccksichtigen. Die neue Erkennung muss alle Aspekte der IT-Infrastruktur\neines Unternehmens einbeziehen, das Know-how von SecOps und NetOps nutzen und einen\nEinblick in jeden Teil dieses vielf\u00e4ltigen, amorph-hybriden Unternehmens\nerm\u00f6glichen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Lange Zeit war es die Aufgabe von Network Operations (NetOps), daf\u00fcr zu sorgen, dass das Netzwerk schnellst- und bestm\u00f6glich funktioniert. Security Operations (SecOps) stellten wiederum sicher, dass das Netzwerk vor allen Arten von Hacks, Schwachstellen und Cyber-Bedrohungen gesch\u00fctzt war. In dieser Zeit entstand eine gro\u00dfe Kluft zwischen den beiden Disziplinen \u2013 sie interagierten auf Distanz und ohne gegenseitigen Bezug. Dieser Umstand hat auch zu einem Verlust des \u00fcbergeordneten, strategischen Blicks auf die Interessen des Unternehmens gef\u00fchrt, der aber entscheidend f\u00fcr ein gemeinsames Vorankommen ist.<\/p>\n","protected":false},"author":3,"featured_media":15772,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6257,11982,13398,8445,11790],"class_list":["post-15770","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-cloud","tag-extrahop","tag-it-ops","tag-netops","tag-secops"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15770","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15770"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15770\/revisions"}],"predecessor-version":[{"id":15774,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/15770\/revisions\/15774"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/15772"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15770"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15770"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15770"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}