Verbessern Sie Ihre Automatisierung und Orchestrierung mit Integration

Wie die jüngsten Angriffe, die für Schlagzeilen sorgen, zeigen, werden die Bedrohungen für die Cybersicherheit immer größer. Wie also können öffentliche und private Organisationen der Zeit voraus sein?

Eine bessere Integration von Technologien, Prozessen und vor allem Menschen kann der Schlüssel sein. Eine stärkere Integration ermöglicht eine bessere Orchestrierung der Sicherheit, was die Erkennung von Bedrohungen und die Reaktionszeiten verbessert. Die Integration ebnet aber auch den Weg für eine umfassendere Automatisierung von Sicherheitsprozessen - was den Mangel an qualifiziertem Cybersecurity-Personal ausgleichen kann, mit dem viele Unternehmen und Behörden zu kämpfen haben.

Sicherheitswerkzeug Orchestrierung und SOAR

Wenn es um die Verteidigung ihres Unternehmens geht, setzen CISOs nur ungern alles auf eine Karte, da eine einzige, groß angelegte Sicherheitssuite auch eine einzige, groß angelegte Schwachstelle darstellen könnte. Stattdessen versuchen sie, ihren Schutz durch den Einsatz mehrerer Tools und Lösungen zu schichten und diejenigen zu verwenden, die sich am besten für eine bestimmte Art der Cyberabwehr eignen.

Wenn diese Tools jedoch nicht integriert sind, arbeiten sie als warnende Inseln für sich, und die Menge der von ihnen erzeugten Daten kann ein Cybersecurity-Team schnell überfordern. Sicherheitsorchestrierung ist der Prozess der Integration einer Vielzahl von Technologien in eine einzige, mehrschichtige Sicherheitslösung, so dass die verschiedenen Komponenten zusammenarbeiten, um einen vollständigen Überblick über die Bedrohungslage zu erhalten und eine koordinierte Reaktion zu ermöglichen.

Die Methode, die am engsten mit der Orchestrierung verbunden ist, ist SOAR, die erstmals 2017 von der Analystenfirma Gartner eingeführt wurde und für Security Orchestration, Analysis and Response steht. [1] Eine SOAR-basierte Lösung zielt darauf ab:

• Koordinierung der Aktivitäten und Reaktionen der verschiedenen eingesetzten Sicherheitswerkzeuge, damit sie zusammenarbeiten, ohne sich gegenseitig zu behindern.
• Optimieren Sie die Arbeitsabläufe des Sicherheitssystems, so dass sich jedes Element des Schutzes der Organisation auf seine eigentliche Aufgabe konzentrieren kann.
• Exportieren Sie alle von diesen Tools erzeugten Daten in einer benutzerfreundlichen und organisierten Weise.
• Ermöglichen Sie es, diese Daten auf einer einzigen Konsole anzuzeigen und so darzustellen, dass die Analyse verdächtiger Aktivitäten klar und einfach ist.
• Halten Sie sich an klare, leicht zu befolgende Regeln und Protokolle für den Fall eines Zwischenfalls.

Automatisierung und Integration mit SIEM

Bevor es SOAR gab, gab es SIEM, ein weiterer Begriff von Gartner, der 2005 eingeführt wurde, um die damals neuartige Integration von Security Information Management (SIM) und Security Event Management (SEM) zu beschreiben. SIEM steht für Security Information and Event Management. [2]

Eine SIEM-Plattform sammelt und selektiert Daten, die von den verschiedenen Elementen der Sicherheitslösung eines Unternehmens erzeugt werden, wie z. B. Antivirus-, Firewall- und Intrusion Prevention-Programme. Das SIEM organisiert die von diesen Anwendungen erzeugten Daten und erstellt Berichte auf der Grundlage dieser Daten.

Wenn SOAR-Programme in das SIEM integriert sind, können sie automatisch auf Sicherheitswarnungen reagieren, die vom SIEM ausgelöst werden, und entsprechende Maßnahmen ergreifen. Je vollständiger die Integration ist, desto umfassender ist die Automatisierung und desto unmittelbarer die Reaktion. Dadurch wird die mit manuellen Eingriffen verbundene Verweildauer erheblich verkürzt und eine viel schnellere und umfassendere Reaktion auf einen Angriff ermöglicht, wodurch die Abwehrkräfte eines Unternehmens erheblich gestärkt werden.

Der Schlüssel zu all dem ist jedoch das Ausmaß, in dem SIEM, SOAR und die verschiedenen Sicherheitsanwendungen, aus denen sie bestehen, integriert sind. Ohne angemessene Integration verzögert sich die Reaktion auf Bedrohungen und ist unzusammenhängend, da die Mitarbeiter gezwungen sind, von einer Konsole zur anderen zu wechseln und Unmengen von oft widersprüchlichen Daten zu sichten - von denen viele für die unmittelbare Krise irrelevant sein können.

Anders sieht es aus, wenn das E-Mail-Gateway eines Unternehmens und andere Systeme durch eine sorgfältig integrierte Sicherheitsarchitektur miteinander verbunden sind. In diesem Fall kann ein Ereignis am Gateway automatisch ein SOAR-Playbook auslösen. Das System beschlagnahmt die verdächtige Datei automatisch und überprüft das gesamte Netzwerk, um sicherzustellen, dass die Datei vollständig gelöscht wurde. Wird eine App mit Malware identifiziert, folgt bei entsprechender Integration das gesamte erweiterte Sicherheitssystem denselben Regeln und löscht sie im gesamten Netzwerk gleichzeitig. Hunderte von Warnmeldungen werden vermieden und - was noch wichtiger ist - das Risiko für das Unternehmen wird erheblich verringert.

Kompensation des Mangels an Cyber-Fachkräften

Mit einer umfassenderen Integration lassen sich mehr Bedieneraufgaben automatisieren - und das kann für unterbesetzte Cybersicherheitsteams ein echter Segen sein. Laut dem ISACA-Bericht "State of Cybersecurity 2020" haben 62 % der Sicherheitsabteilungen in Unternehmen Schwierigkeiten, qualifizierte Mitarbeiter zu finden und einzustellen, und eine "erhebliche Unterbesetzung" hat ihre Fähigkeit untergraben, mit neuen Bedrohungen umzugehen. Darüber hinaus verzeichnet eine beträchtliche Minderheit (42 %) der Gruppen, die ihre offenen Stellen nicht besetzen konnten, eine erhöhte Anzahl von Angriffen. [3] Durch die Integration und Automatisierung von Teilen ihrer Arbeitsabläufe können Sicherheitsteams ihre Abwehrkräfte stärken und den Fachkräftemangel ausgleichen.

Best-of-Breed-Sicherheitslösungen können mithilfe von herstellerunabhängigen, auf offenen APIs basierenden Integrationen effektiv zu einer integrierten Sicherheitsarchitektur zusammengeführt werden. Diese ermöglichen es Ihren Sicherheitssystemen, ohne größere Konfigurations- oder Anpassungsprobleme zu kommunizieren und ihre Aktionen zu koordinieren. Zum Beispiel unterstützt Mimecast über 100 offene APIs und bietet Standardintegrationen mit über 60 führenden Sicherheitsanbietern. Wenn das E-Mail-Sicherheitsgateway also eine Bedrohung erkennt, kann es automatisch das SIEM zur Analyse, das SOAR zur Behebung und die Firewalls und Endpunkte zum Blockieren der Bedrohung auslösen. Jeder manuelle Eingriff wird auf ein Minimum reduziert.

Die Quintessenz

Die Verwendung von Standardintegrationen auf der Grundlage offener APIs zur Zusammenführung der besten Sicherheitsprogramme in einer hochintegrierten Cybersicherheitsplattform ermöglicht eine bessere Sicherheitsorchestrierung, wodurch sich die Erkennung von Bedrohungen und die Reaktionszeiten verbessern. Eine stärkere Integration ebnet auch den Weg für eine umfassendere Automatisierung von Sicherheitsprozessen, was ebenfalls die Reaktionszeiten verbessert und die Sicherheitsteams entlastet, die Schwierigkeiten haben, qualifiziertes Personal zu finden und einzustellen.

[1] " Die Entwicklung von SOAR-Plattformen ," SecurityWeek

[2] " Entwicklung von SIEM im Laufe der Jahre, " Logsign

[3] " Neue Forschungsergebnisse von ISACA zeigen, dass Unternehmen mit unbesetzten Cybersicherheitsrollen mehr Angriffen ausgesetzt sind, " ISACA