Illustration: Geralt Absmeier

Die Ereignisse der letzten Monate haben die CISOs und die IT-Sicherheitsteams unter enormen Druck gesetzt, nach einer Ausweitung der Fernarbeit ihre Netzwerke angemessen zu schützen. Für Unternehmen, die bereits Maßnahmen für die Heimarbeit ihrer Belegschaft eingeführt haben, stellt dies möglicherweise keine Herausforderung dar. Für andere, die daran gewöhnt sind, Maschinen zu überwachen, zu steuern und die relative Sicherheit eines Vor-Ort-Netzwerks zu gewährleisten, ist dies eine grundlegende Veränderung.

Da die Ressourcen unter außerordentlichem Druck stehen, müssen die CISOs sicherstellen, dass sie in der Lage sind, ihre Netzwerke weiterhin zu schützen. Gleichzeitig gilt es, die Budgets klug einzusetzen, wenn man bedenkt, dass der Cashflow vieler Unternehmen beeinträchtigt wurde. Angesichts so vieler verschiedener Risiken, mit denen sie zu kämpfen haben, werden die CISOs versuchen, so viele wie möglich davon abzuschwächen. Dies macht eine Reihe von Sicherheitstechnologien wie die Verwaltung von Privilegienzugang, Cloud- und Netzwerküberwachung, Endpunktschutz und Perimeterverteidigung erforderlich.

»Durch mehr Kooperation können Anbieter von Cybersicherheitslösungen dieses Problem angehen, indem sie ihre Lösungen in die Lösungen anderer Anbieter integrieren«, erklärt Andreas Müller, Director DACH bei Vectra AI, einem Anbieter von IT-Sicherheit auf Basis künstlicher Intelligenz.

Der Bedarf an umfassender Sicherheit

Da Angreifer eine ganze Reihe von Attacken versuchen werden, um ein IT-Netzwerk zu infiltrieren, werden Unternehmen ihre IT-Sicherheitslösungen so umfassend wie möglich gestalten wollen. Geschieht dies nicht, würden große Defensivlücken entstehen, die Kriminelle ausnutzen könnten. So ist es denkbar, dass Exploits, die unterhalb des Betriebssystems auf der Firmware-Ebene eines Geräts operieren, die Endpunkt-Erkennungs- und Reaktionslösungen (EDR) schwächen. Beobachtet wurde dies, den Berichten des der NSA nahestehenden Cyberspionage-Teams Equation Group zufolge, im Zusammenhang mit dem Datenklau durch das Hackerkollektiv Shadow Brokers. Eine Network Detection and Response (NDR)-Lösung könnte jedoch solche Malware erkennen und darauf reagieren.

Um eine umfassende Lösung zu schaffen, wählen CISOs sehr oft verschiedene Anbieter aus, damit bestimmte Funktionen innerhalb der Sicherheitsarchitektur des Unternehmens abgedeckt sind. Durch den separaten Kauf von Elementen des Sicherheitstechnologie-Stacks können Unternehmen auch dafür sorgen, dass sie für eine bestimmte Sicherheitsanforderung das »Best-of-Breed« oder die Lösung erhalten, die für sie besser funktioniert. Das Sicherheitsportfolio eines einzelnen Anbieters enthält zum Beispiel eine ausgezeichnete Next-Generation-Firewall-Lösung (NGFW), aber eine unzureichende Endpoint Protection Platform (EPP). Der separate Kauf einer NGFW-Lösung und einer EPP-Lösung von den jeweiligen Spezialisten bedeutet jedoch, dass beide wahrscheinlich genau das bieten, was das Unternehmen sucht und die Spezialisten die spezifischen Bedürfnisse erfüllen können.

Herausforderungen bei der Verbindung der Punkte

Ein potenzieller Nachteil beim Aufbau eines Sicherheitssystems, das verschiedene Komponenten verwendet, besteht darin, dass diese nicht unbedingt miteinander kohärent zusammenarbeiten. Beispielsweise muss sich das Sicherheitsteam möglicherweise in getrennte Systeme einloggen, um Informationen zu korrelieren, die helfen könnten, einen Angriff zu identifizieren. Von einem System zum anderen wechseln zu müssen, nimmt wertvolle Zeit in Anspruch, die IT-Sicherheitsteams kaum verschwenden können. Jeden Tag erhalten sie möglicherweise viele Tausende von Warnungen, die sie untersuchen müssen. Wenn sie alle manuell durchgehen und sich bei verschiedenen Teilen ihres Sicherheitssystems anmelden müssen, fungiert das Sicherheitsteam oft als »menschliche Middleware«. Einige Vorfälle könnten unweigerlich übersehen werden. Eindringlinge könnten unentdeckt bleiben oder durch das Netz schlüpfen, bevor das Sicherheitsteam Eindämmungsmaßnahmen ergreift.

»Eine Antwort auf dieses Problem besteht darin, die Art und Weise zu verbessern, wie unterschiedliche Technologielösungen nahtlos zusammenarbeiten. So lässt sich ein automatisierter Prozess umsetzen, der in der Lage ist, Ergebnisse aus verschiedenen Quellen zu vergleichen, um potenzielle Bedrohungen zu identifizieren«, erklärt Andreas Müller von Vectra. »Diese Verantwortung liegt bei den Anbietern, die Lösungen schaffen sollten, die gut mit anderen Lösungen zusammenarbeiten. Dazu gehört eine gemeinsame Anwendungsprogrammierschnittstelle, um die Interoperabilität zu gewährleisten. APIs sind jedoch nicht die einzige oder vollständige Lösung, denn sie erfordern die Orchestrierung von Interaktionen und den Aufbau von Verbindungen, was zeitaufwändig und ineffizient sein kann.«

Kooperation in Aktion

Bei der Suche nach Lösungen für die Integration müssen die Anbieter den Markt im Auge behalten und überlegen, was gut funktioniert und was einen Mehrwert darstellen könnte. Dann ist es von entscheidender Bedeutung, mit dem Aufbau von Allianzen mit potenziellen Partnern zu beginnen, um sicherzustellen, dass die Partnerschaft für beide Seiten vorteilhaft ist. Beispielsweise hat Vectra seine NDR-Lösung so angepasst, dass sie sich gut in andere Endpoint-Detection-and-Response-Lösungen (EDR) wie die von CrowdStrike, Microsoft und Cybereason integrieren lässt. Diese Partnerschaft ist für beide Kundenstämme von Vorteil, da beide Lösungen eine Perspektive bieten, wenn es darum geht, auf einen Vorfall zu reagieren oder nach einer Bedrohung zu suchen, die der andere nicht bewältigen kann. So gilt es vor allem, einen vollständigen Überblick über die Unternehmensnetzwerke zu erhalten.

Einige mögen denken, dass der Kauf einer kompletten Sicherheitslösung, die von NDR und EDR bis hin zu Bedrohungsaufklärung und PAM alles abdeckt, Kompatibilitätsprobleme lösen könnte. Dies ist jedoch nicht immer der Fall. Sehr oft wurden diese Angebote aus bereits existierenden Produkten zusammengestellt, die der Anbieter nach verschiedenen Übernahmen oder Aufkäufen besitzt. Dies kann zu schwerwiegenden Interoperabilitätsproblemen führen, die der Anbieter noch nicht gelöst hat.

Durch den Einsatz verschiedener Lösungen, die zusammenarbeiten können, können CISOs die Messwerte verschiedener Komponenten vergleichen, um festzustellen, ob es sich lediglich um eine Anomalie oder einen tatsächlichen Angriff handelt. Beispielsweise liefert das SOC-Visibility-Triad-Modell eine vollständige Sichtbarkeit von On-Premises-Umgebung, Cloud-Ressourcen und SaaS. Gleichzeitig nutzt es die Verhaltensmodelle von Angreifern, um bekannte und unbekannte Bedrohungen zu erkennen. Eine ausgezeichnete SOC-Sichtbarkeit ermöglicht es Sicherheitsteams, agil zu sein und so das Risiko zu verringern, dass sich ein Bedrohungsakteur unentdeckt im Netzwerk versteckt. Letztlich kann dies den Unterschied zwischen einem gravierenden Ereignis und einem eingedämmten Sicherheitsvorfall ausmachen.

Die Zukunft von Integration und Kooperation

Die Integration verschiedener Lösungen hat in den letzten Jahren große Fortschritte gemacht, muss aber noch weiter vorangetrieben werden, indem mehr Anbieter noch besser zusammenarbeiten. Durch die Schaffung einer größeren Interoperabilität zwischen den Produkten können die Sicherheitsanbieter ihren Kunden einen Mehrwert bieten. Dieser besteht darin, dass sie ausgewogene Sicherheitssysteme schaffen, die mehr Schutz bieten und für weniger Stress sorgen. Dies wären Lösungen, die es den Teams ermöglichen, intelligenter arbeiten zu können – statt noch härter arbeiten zu müssen.

1806 Artikel zu „Zusammenarbeit Sicherheit“

NEWS | IT-SECURITY | AUSGABE 9-10-2019 | SECURITY SPEZIAL 9-10-2019

Zusammenarbeit bei Sicherheit und Datenschutz – Sicherheit (managen) ist keine One-Man-Show

25. Oktober 2019

Das Thema Sicherheit muss ganzheitlich betrachtet und umgesetzt werden. Die Lösung ist ein kooperativer Ansatz, um Sicherheit und Datenschutz in Organisationen zu verwirklichen.