Tauchen Sie ein in die SecOps '23: Identität, Integration und mehr

Der Aufbau einer effektiven Organisation für Sicherheitsoperationen gleicht dem Lösen eines Puzzles. Cybersecurity-Führungskräfte müssen leistungsstarke Teams zusammenstellen, eine Vielzahl von Bedrohungen vorhersehen und auf sie reagieren und ihre Tools so einsetzen, dass sie die Informationen liefern, die sie zum Schutz ihrer Unternehmen benötigen. Das ist eine Herausforderung, ganz klar. 

Auf der Veranstaltung SecOps Virtual 2023 von Mimecast tauschten Führungskräfte und Branchenexperten ihre Erkenntnisse und Erfahrungen über einige der wichtigsten Trends aus, die Cyber-Führungskräfte beobachten, und über die Probleme, die sie nachts auf Trab halten. Während der virtuellen Veranstaltung wurden folgende Themen erörtert: das Gleichgewicht zwischen Zugänglichkeit und Sicherheit für die moderne Belegschaft, die Rolle der Identität als Cyber-Risiko und Cyber-Lösung, die Abwehr von Insider-Bedrohungen, die Herausforderung, Cyber-Sicherheitstalente zu finden und sie bei Verstand zu halten, sowie die Möglichkeiten (und Grenzen) der Automatisierung und Integration. Unterstützt durch praktische Ratschläge der strategischen Allianzpartner von Mimecast CrowdStrike, Exabeam, Okta, Netskope, Palo Alto Networks, Rapid7 und Secureworks, deckte die Veranstaltung eine Reihe von Best Practices für SecOps und darüber hinaus ab.

Risikomanagement: Umgang mit dem Unbekannten und Reaktion auf das Undenkbare

Gene Kranz, leitender Flugdirektor von Apollo 13, eröffnete die SecOps '23 mit einer inspirierenden und aufschlussreichen Keynote-Diskussion mit Thom Bailey, Senior Director of Strategy & Evangelism von Mimecast. Cybersecurity-Führungskräfte und -Experten, die für die Verwaltung unablässiger Risiken und hochsensibler Reaktionen verantwortlich sind, mögen ihre Herausforderungen im Vergleich zu dem, was Kranz durchlebte, als blass empfinden, aber die Parallelen sind eindeutig. 

"Wir sind im selben Geschäft", sagte Kranz den Teilnehmern, "dem Geschäft des Risikomanagements". 

Kranz war seit der Gemini-4-Mission für die Sicherheit der Besatzung und den Erfolg der Missionen verantwortlich. 1970 leitete er die Bemühungen, die Apollo-13-Besatzung nach der Explosion eines Sauerstofftanks sicher nach Hause zu bringen. Aber das war nicht die einzige Krise, die Kranz erfolgreich gemeistert hat. Er erzählte weniger bekannte Anekdoten aus drei gefährlichen Missionen sowie seine hart erkämpften Lektionen über den Umgang mit dem Unbekannten, Risikominderung, Entscheidungsfindung unter hohem Druck und die Bildung starker Teams. 

"Man muss eine Chemie aufbauen, die mit der Aufgabe zusammenhängt, bei der Menschen, die ähnliche Aufgaben erledigen, keine Individuen sind, sondern eine Person, die eine Funktion erfüllt", sagte Kranz. "Sie tun dies als Ergebnis dessen, was ich 'Aufgabenchemie' nenne. Dies wird noch verstärkt, wenn man die soziale und psychologische Chemie hinzunimmt. Plötzlich wird man von einer normalen Mannschaft über einen gewissen Zeitraum zu einer Dynastie.

Identitätsangriffe, Identitätslösungen

Die zunehmende Bedeutung der Identität für die Sicherheit steht bei den Verantwortlichen für Cybersicherheit in allen Branchen auf der Tagesordnung. Identitätsbasierte Bedrohungen - von über den Diebstahl von Anmeldedaten und das Ausfüllen von Anmeldedaten bis hin zu Man-in-the-Middle-Angriffen, Phishing und password spraying - sind heute für einen großen Teil der Cyberrisiken verantwortlich. Unternehmen, die zur Unterstützung ihrer hybriden und dezentralen Belegschaften ganz auf die Cloud setzen, sind besonders anfällig für identitätsbasierte Angriffe.

In dem Maße, in dem die Grenzen traditioneller Geschäfts- (und Technologie-) Umgebungen verschwinden, entwickelt sich die Identität zur neuen Grenze. John Grundy, Senior Strategic Alliance Manager beim Mimecast-Partner Okta, erläuterte in einer Breakout-Session, wie eine gemeinsame Identitätsplattform den kontinuierlichen Zugang für Mitarbeiter und den Schutz vor der wachsenden Bedrohung durch identitätsbasierte Angriffe gewährleisten kann.  

Während die COVID-19-Pandemie und letztlich die Umgestaltung des Arbeitsplatzes eine existenzielle Notwendigkeit darstellen, eröffnen die Fortsetzung der Fernarbeit und der hybriden Arbeit sowie die explosionsartige Zunahme neuer Technologien und Tools neue Wege für Cyberrisiken. Bailey von Mimecast brachte den CISO der ManpowerGroup, Randy Herold, und den Chief Security & Resilience Officer von Mimecast, Mick Paisley, mit, um darüber zu diskutieren, wie Unternehmen in sich entwickelnden Technologieumgebungen "geschützt arbeiten" können, und um das Thema Sicherheit mit den Bedürfnissen einer modernen Belegschaft zu verbinden. Herold sprach darüber, wie wichtig es ist, sich nicht nur auf die Ungewissheit vorzubereiten, sondern auch für sie zu üben. Herold, der mit dem Schutz einer Organisation betraut ist, die in mehr als 70 Ländern tätig ist, erzählte auch von seinen eigenen personellen Herausforderungen. 

"Wir haben ständig mit einem Mangel an Ressourcen zu kämpfen, sei es in Bezug auf die Qualifikation oder die Menge oder beides. Wir gehen damit auf zwei verschiedene Arten um", sagte Herold. "Erstens suchen wir nach Talenten, die von jedem Ort der Welt aus arbeiten können und jeden überall auf der Welt bedienen können. Der andere Teil ist, dass wir auch dann einstellen, wenn ich keine offenen Stellen habe, denn wenn wir gute Leute finden, können wir auch Arbeit für sie finden."

Insider-Bedrohungen: Innen und außen

Kompromittierte Anmeldedaten machen einen erheblichen Teil der Sicherheitsverletzungen aus, und eine zunehmende Anzahl dieser Verletzungen geschieht intern. Die Abwehr von Insider-Bedrohungen stand im Mittelpunkt von zwei SecOps '23-Sitzungen. 

Eine davon war Shawnee Delaney, die als Geheimdienstoffizierin für den Verteidigungsnachrichtendienst tätig war, die Beziehungen zwischen den Geheimdiensten für das Heimatschutzministerium koordinierte und Insider-Bedrohungsprogramme für Uber und Merck einrichtete. Das große Ganze: Sie ist von der Anwerbung bösartiger Insider zu deren Bekämpfung übergegangen. Delaney leitet jetzt ihr eigenes Beratungsunternehmen für Insider-Bedrohungen; sie sprach mit dem regionalen CISO von Mimecast, Neil Clauson, über die Insider-Bedrohung aus beiden Blickwinkeln. 

"Wenn Menschen für Sie arbeiten, haben Sie ein Insider-Risiko", sagte Delaney und erläuterte drei verschiedene Arten von Insider-Risiken - fahrlässige Insider, kompromittierte Insider und böswillige oder kriminelle Insider - und wie man sie eindämmen kann.

In der anderen Sitzung über die Abwehr von Insider-Bedrohungen wurde darauf hingewiesen, dass Handlungen von verärgerten Mitarbeitern oder böswilligen Akteuren mit gültigen Anmeldedaten allzu oft zu lange unentdeckt bleiben. 

"Insider-Bedrohungen können aus verschiedenen Quellen stammen", sagte Mike Moreno, Senior Product Marketing Manager beim Mimecast-Partner Exabeam, in einer Breakout-Session und merkte an, dass Entlassungen und Umstrukturierungen, Social Engineering und Phishing zu Insider-Bedrohungen führen können. "Sie als Sicherheitsanalytiker oder Direktor müssen wissen, was vor sich geht. 

Sie brauchen auch eine Strategie zur Eindämmung von Insider-Risiken. Moreno erläuterte die Möglichkeiten, die sich aus der Kombination von User and Entity Behavior Analysis (UEBA), künstlicher Intelligenz und Awareness-Training ergeben, um abnormales Verhalten zu erkennen, interne Bedrohungen abzuwehren und Reaktionen zu automatisieren und zu beschleunigen. 

Atomisierung und Integration: Wo soll man anfangen?

Die Reduzierung der Anzahl von Produkten und Anbietern im täglichen Gebrauch mit security integration kann ein wichtiger Schritt sein, um die Sicherheitskomplexität zu verringern und die Sicherheitslage eines Unternehmens zu verbessern. Ebenso kann eine verstärkte Automatisierung ähnliche Vorteile haben und knappes und überlastetes Sicherheitspersonal entlasten, damit es sich auf höherwertige Aufgaben konzentrieren kann. 

Ben Bryant, ein Spezialist für Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR) mit 20 Jahren Erfahrung in der IT-Branche, der derzeit als Lösungsarchitekt für die XDR-Lösung von Palo Alto Networks arbeitet, berichtete in der Breakout-Session "Wie Integration und Automatisierung fast alles möglich machen" über einige wertvolle Automatisierungsanwendungsfälle und Ergebnisse aus der Praxis. In einer weiteren Diskussionsrunde, "Automatisierung: Lohnt es sich, den Saft auszuquetschen?" Jeffrey Gardner, Leiter der Rapid7-Praxis, und Tyler Terenzoni, leitender Projektmanager bei SOAR, gaben praktische Ratschläge, wo und wie man mit der Automatisierung beginnt und wie man Fortschritte messen kann.

"Wir haben Organisationen und Angriffsflächen, die mit der Migration von Teams in die Cloud und der zunehmenden Komplexität der Infrastruktur wachsen. Dies hat dazu geführt, dass Sicherheitsteams eine Rekordzahl von Tools implementieren", so Terenzoni. "Das führt dazu, dass eine große Anzahl von Warnungen generiert wird, was die Ermüdung des Sicherheitsteams erhöht und es zusätzlich belastet. 

Da die Sicherheitsverantwortlichen auch mit wirtschaftlicher Unsicherheit konfrontiert sind, brauchen sie einen Kraftmultiplikator. "Dieser Kraftmultiplikator ist die Automatisierung", fügte Gardner hinzu.

Die Quintessenz

Die Mimecast-Veranstaltung SecOps Virtual 2023 ging weit über SecOps-Tipps und Best Practices hinaus und deckte ein breites Spektrum an relevanten Themen für die heutigen Cybersicherheitsverantwortlichen und ihre Teams ab. Zusätzlich zu den oben erwähnten Sitzungen gab es weitere Diskussionsthemen wie die Bedeutung der Wachsamkeit gegenüber "Survivor Bias",[1] Aufbau und Bindung von leistungsstarken Teams, Aufrechterhaltung der geistigen Gesundheit von dünn besetzten Cybersecurity-Fachleuten und die Trennung des Cyber-Risikosignals vom Rauschen. 

Besuchen Sie die Veranstaltungsseite Mimecast SecOps Virtual 2023 , um Aufzeichnungen dieser und anderer Sitzungen auf Abruf anzusehen. 

[1] "After a Ransomware Attack, 'Survivor Bias' May Conceal the Root Cause," Heller Search