{"id":26361,"date":"2024-03-27T10:44:09","date_gmt":"2024-03-27T09:44:09","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=26361"},"modified":"2024-03-19T11:09:41","modified_gmt":"2024-03-19T10:09:41","slug":"das-soc-der-zukunft-so-koennen-unternehmen-die-eigene-it-sicherheit-steigern","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=26361","title":{"rendered":"Das SOC der Zukunft: So k\u00f6nnen Unternehmen die eigene IT-Sicherheit steigern"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.kuppingercole.com\/watch\/das-automatisierte-soc\">Thomas Maxeiner, Cortex Area Sales Executive bei Palo Alto Networks<\/a>\/gg<\/p>\n\n\n\n<p>Das IT-Sicherheitsrisiko f\u00fcr Unternehmen ist heutzutage so gro\u00df wie noch nie. Gerade durch den Einsatz von k\u00fcnstlicher Intelligenz (KI) und maschinellem Lernen (ML) werden Online-Angriffe zahlreicher und raffinierter. Diese Beobachtungen untermauert der<a href=\"https:\/\/start.paloaltonetworks.com\/unit-42-network-threat-trends-report-malware-2023.html\"> \u201e2023 Unit 42 Network Threat Trends Research Report\u201c<\/a> von Palo Alto Networks. Cyberkriminelle greifen erfolgreicher an: Im Vergleich zu 2021 nahm die Zahl der Sicherheitsvorf\u00e4lle durch ausgenutzte Schwachstellen zuletzt um 55 Prozent zu. W\u00e4hrend Angreifer fr\u00fcher durchschnittlich 44 Tage f\u00fcr den Datenklau ben\u00f6tigten, dauert es heute nur noch wenige Stunden. Die Bedrohungslage erfordert also gezieltes Handeln.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"1021\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2024\/03\/Thomas-Maxeiner-002-1024x1021.webp\" alt=\"\" class=\"wp-image-26363\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2024\/03\/Thomas-Maxeiner-002-1024x1021.webp 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2024\/03\/Thomas-Maxeiner-002-300x300.webp 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2024\/03\/Thomas-Maxeiner-002-150x150.webp 150w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2024\/03\/Thomas-Maxeiner-002-768x765.webp 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2024\/03\/Thomas-Maxeiner-002-120x120.webp 120w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2024\/03\/Thomas-Maxeiner-002.webp 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Thomas Maxeiner ist Cortex Area Sales Executive bei Palo Alto Networks. (Quelle: Palo Alto Networks)<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Die Anforderungen an die Resilienz einer IT-Infrastruktur liegen nun deutlich h\u00f6her. Zwar haben Unternehmen bereits viele Bereiche modernisiert, doch ein wichtiges Element, das in einer Reihe von Security-Konzepten vorkommt, wurde bisher oft str\u00e4flich vernachl\u00e4ssigt: das Security Operations Center (SOC) \u2013 eine Art Leitzentrale f\u00fcr Sicherheitsma\u00dfnahmen. Seine Ma\u00dfnahmen beruhen \u00fcblicherweise auf SIEM-Modellen (Security Information and Event Management), die vor 20 Jahren entwickelt wurden und damit nicht mehr alle Anforderungen erf\u00fcllen. Was bedeutet das f\u00fcr Unternehmen? Und wie k\u00f6nnen sie sich zuverl\u00e4ssig vor jeder Sicherheitsbedrohung sch\u00fctzen?<\/p>\n\n\n\n<p><strong>Ein genauer Blick auf den Stand der SIEM-L\u00f6sungen<\/strong><\/p>\n\n\n\n<p>F\u00fcr den R\u00fcckgang der Effektivit\u00e4t der SOCs gibt es mehrere Gr\u00fcnde. Zun\u00e4chst einmal wurden die dort verwendeten SIEM-L\u00f6sungen oft vor \u00fcber einem Jahrzehnt entwickelt. H\u00e4ufig basieren sie auch auf veralteten IT-Architekturen und das schr\u00e4nkt ihre Anpassungsf\u00e4higkeit ein. Gerade auf die neuen Sicherheitsbedrohungen k\u00f6nnen die L\u00f6sungen nicht angemessen reagieren. Sie kennen einige der aktuellen Gefahren schlicht nicht und daher bleiben Warnungen aus.<\/p>\n\n\n\n<p>Hinzu kommt, dass Integration und Management dieser SIEM-L\u00f6sungen \u00fcberaus komplex sind. Die meisten Unternehmen haben die L\u00f6sungen an ihre individuellen Bed\u00fcrfnisse angepasst und kennen sie deshalb genau. Viele Sicherheitstools sind dadurch allerdings oft voneinander abh\u00e4ngig, und das erschwert eine Anpassung an aktuelle Anforderungen. Zudem d\u00fcrfen gesetzliche Vorschriften und Compliance-Richtlinien nicht vergessen werden. Viele Unternehmen verwenden SIEM-L\u00f6sungen, um sich gesetzlich abzusichern. Wenn sie diese allerdings modifizieren, kann das rechtliche Auswirkungen haben.<\/p>\n\n\n\n<p><strong>Aktuelle Herausforderungen f\u00fcr die IT-Sicherheit<\/strong><\/p>\n\n\n\n<p>Moderne IT-Infrastrukturen sind komplex und bieten Hackern eine gro\u00dfe Angriffsfl\u00e4che \u2013 zumal sich viele Anwendungen, Microservices und Workloads in der Cloud befinden. Das f\u00fchrt dazu, dass t\u00e4glich zahlreiche Warnmeldungen generiert werden. Sicherheitsteams kommen mit der Reaktion kaum noch hinterher und k\u00f6nnen dieses gewaltige Volumen an Benachrichtigungen nur schwer bew\u00e4ltigen. Insgesamt stellt das eine sehr aufwendige Arbeit dar, die durch manuelle Prozesse zudem noch fehleranf\u00e4llig ist.<\/p>\n\n\n\n<p>Die korrekte Analyse potenzieller Bedrohungen setzt zahlreiche Schritte voraus. Das umfasst zum Beispiel die Durchsicht von Protokolldaten und deren manuelle Vergleiche. Sicherheitsteams m\u00fcssen auch Informationsl\u00fccken ausfindig machen und diese beseitigen, damit sie stets \u00fcber alles Bescheid wissen. St\u00e4ndig m\u00fcssen die Experten \u00fcberpr\u00fcfen, ob neue Warnungen auf tats\u00e4chliche Risiken hinweisen oder sogenannte False Positives sind. Diese Schritte kosten Zeit und erfordern in einem traditionellen SOC mehrere Tools. Das Resultat: Analysten k\u00f6nnen sich nur auf die Alarmmeldungen mit der h\u00f6chsten Priorit\u00e4t konzentrieren.<\/p>\n\n\n\n<p>Das stellt jedoch ein gro\u00dfes potenzielles Risiko dar, denn immer wieder stecken hinter Warnmeldungen mit niedrigerer Priorit\u00e4t Bedrohungen, die Teil eines gr\u00f6\u00dferen Angriffs sind. Dar\u00fcber hinaus verf\u00fcgen die f\u00fcr die Einstufung der Warnungen verantwortlichen Sicherheitsanalysten oft nicht \u00fcber gen\u00fcgend Kontext, um die tats\u00e4chliche Gefahr eines Angriffs zu erkennen. In vielen Unternehmen dauert die Identifizierung und Beseitigung von Bedrohungen daher zu lange. Die Unternehmen k\u00f6nnen dabei noch nicht einmal s\u00e4mtliche relevanten Informationen verarbeiten. Sie sind also nicht in der Lage, die gro\u00dfen Mengen an Informationen effektiv f\u00fcr ihre Verteidigung zu nutzen.<\/p>\n\n\n\n<p><strong>Wie sollte eine moderne SIEM-L\u00f6sung f\u00fcr ein SOC aussehen?<\/strong><\/p>\n\n\n\n<p>Heutzutage arbeiten die meisten SOC-Teams mit begrenzten und \u00fcber mehrere Systeme verteilten Daten. H\u00e4ufig fehlt auch ein umfassender \u00dcberblick \u00fcber die genutzten Cloud-L\u00f6sungen, die bereits in mehr als ein Drittel der Sicherheitsverletzungen involviert sind. Zwar bieten die bestehenden Sicherheitsl\u00f6sungen in der Cloud durchaus einen zuverl\u00e4ssigen Schutz, sie werden aber in der Regel unabh\u00e4ngig von den SOCs betrieben. F\u00fcr ein SOC-Team kommt es deshalb darauf an, Funktionen f\u00fcr die zentrale \u00dcberwachung der End-to-End-Sicherheit zu erhalten, um Sicherheitsvorf\u00e4lle rund um die Cloud verhindern und gegebenenfalls untersuchen zu k\u00f6nnen.<\/p>\n\n\n\n<p>Die SIEM-L\u00f6sungen, die derzeit in Verwendung sind, wurden jedoch mit Blick auf andere Sicherheitsrisiken entwickelt. Sie dienen lediglich dazu, Ereignisse zu protokollieren und eingehende Warnungen zu verwalten. Weitergehende Analysen oder gar eine Automatisierung von Reaktionen gibt es kaum, sodass sogenannte Threat Hunter die Ursachen von Alerts manuell herausfinden m\u00fcssen. Heutige Bedrohungen verlangen eine andere Vorgehensweise und daf\u00fcr m\u00fcssen SIEM-L\u00f6sungen optimiert werden.<\/p>\n\n\n\n<p>Ein SOC sollte seine neue Sicherheitsarchitektur mit einer SIEM-L\u00f6sung aufbauen, die den Anforderungen einer zeitgem\u00e4\u00dfen IT-Umgebung entspricht. Eine flexible und skalierbare L\u00f6sung eignet sich besonders gut, um auf Ver\u00e4nderungen in der Bedrohungslandschaft angemessen reagieren zu k\u00f6nnen. Idealerweise verf\u00fcgt ein SOC zuk\u00fcnftig \u00fcber eine zentrale Plattform, die mit den besten Funktionen aus anderen Bereichen ausgestattet ist: Threat Intelligence Management, SIEM, ASM (Attack Surface Management), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), SOAR (Security Orchestration, Automation and Response) und UEBA (User and Entity Behavior Analytics). Zudem hilft eine intelligente Automatisierung dabei, die Reaktion auf Cyberangriffe zu verk\u00fcrzen und Fehler zu vermeiden.<\/p>\n\n\n\n<p><strong>Smart Security durch k\u00fcnstliche Intelligenz<\/strong><\/p>\n\n\n\n<p>Die ideale SIEM-L\u00f6sung innerhalb moderner SOCs liefert eine umfassende Datenbasis f\u00fcr alle Sicherheitsma\u00dfnahmen eines Unternehmens. Ein solches System sammelt hinsichtlich der IT-Sicherheit kontinuierlich Telemetriedaten, bereitet diese automatisch auf und reichert sie an. Das sorgt f\u00fcr mehr Transparenz und bietet die Grundlage f\u00fcr proaktives Handeln. Zugleich erm\u00f6glicht die umfassende Datenbasis den Einsatz von KI und ML.<\/p>\n\n\n\n<p>Bei vielen Sicherheitsma\u00dfnahmen k\u00f6nnen KI-Tools unterst\u00fctzen \u2013 beispielsweise bei der Verhaltensanalyse. Mit passenden Algorithmen lassen sich Anomalien im Verhalten von Nutzern und Systemen deutlich einfacher und schneller erkennen. Ebenso kann KI historische Daten analysieren, um die Muster potenzieller Bedrohungen in der Gegenwart zu erkennen und sie proaktiv zu beseitigen. Dank der Automatisierung durch die KI ist ein SOC bestens vorbereitet und kann in Echtzeit auf Bedrohungen reagieren, ohne dass bei vielen Prozessen menschliches Eingreifen erforderlich ist.<\/p>\n\n\n\n<p><strong>Fazit: Auf die richtige L\u00f6sung kommt es an<\/strong><\/p>\n\n\n\n<p>Die Probleme bisheriger SOCs sind zahlreich: veraltete Datenbankarchitekturen, die Komplexit\u00e4t des IT-Managements und begrenzte Anpassungsf\u00e4higkeit. Das Ergebnis dieser \u00fcberholten IT-Infrastruktur sind massive Sicherheitsrisiken, also Ma\u00dfnahmen und Tools, die den aktuellen Bedrohungen nicht mehr gewachsen sind. Eine Unterst\u00fctzung durch fortschrittliche KI- und ML-Technologien ist dringend notwendig, um gesch\u00e4ftskritische Daten zuverl\u00e4ssig zu sch\u00fctzen. Effektive Sicherheitsabl\u00e4ufe erfordern einen neuen Ansatz, bei dem Vereinfachung, KI und Automatisierung im Mittelpunkt stehen.<\/p>\n\n\n\n<p>Ein modernes SOC konsolidiert mehrere Tools. Es zentralisiert, skaliert und automatisiert die Datenerfassung. Dabei senkt ein SOC auch die Entwicklungs- und Betriebskosten. Au\u00dferdem lernt das Team kontinuierlich aus neuen Informationen und passt seine Prozesse entsprechend an, um die Genauigkeit und Effektivit\u00e4t der genutzten Plattform im Laufe der Zeit zu verbessern. Wichtig ist in diesem Zusammenhang aber auch, dass die IT-Sicherheitsbeauftragten sich mit den M\u00f6glichkeiten und Grenzen der verf\u00fcgbaren innovativen Technologien besch\u00e4ftigen. Denn nur so wissen die Experten, auf welche Schwachstellen sie in ihrer IT-Infrastruktur besonders achten m\u00fcssen und wie sie diese neuen Werkzeuge bestm\u00f6glich zum Schutz des eigenen Unternehmens verwenden k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das IT-Sicherheitsrisiko f\u00fcr Unternehmen ist heutzutage so gro\u00df wie noch nie. Gerade durch den Einsatz von k\u00fcnstlicher Intelligenz (KI) und maschinellem Lernen (ML) werden Online-Angriffe zahlreicher und raffinierter. Diese Beobachtungen untermauert der \u201e2023 Unit 42 Network Threat Trends Research Report\u201c von Palo Alto Networks. Cyberkriminelle greifen erfolgreicher an: Im Vergleich zu 2021 nahm die Zahl der Sicherheitsvorf\u00e4lle durch ausgenutzte Schwachstellen zuletzt um 55 Prozent zu. W\u00e4hrend Angreifer fr\u00fcher durchschnittlich 44 Tage f\u00fcr den Datenklau ben\u00f6tigten, dauert es heute nur noch wenige Stunden. Die Bedrohungslage erfordert also gezieltes Handeln.<\/p>\n","protected":false},"author":81,"featured_media":26363,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[17681,6257,6785,6260,2735,1426,16795,1411,9716,11701],"class_list":["post-26361","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-asm","tag-cloud","tag-edr","tag-management","tag-palo-alto-networks","tag-siem","tag-soar","tag-soc","tag-ueba","tag-xdr"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=26361"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26361\/revisions"}],"predecessor-version":[{"id":26364,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26361\/revisions\/26364"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/26363"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=26361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=26361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=26361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}