Der Wert von Cybersecurity-Tools kann größer sein als die Summe ihrer Teile - aber nur, wenn sie gemeinsam auf integrierte Weise eingesetzt werden.

Wesentliche Punkte:

  • Umfassende Bedrohungsanalyse erfordert eine Vielzahl von Cybersecurity-Tools, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten.
  • Die Verwendung mehrerer Lösungen erzeugt jedoch Unmengen an fragmentierten Daten, die für Cybersicherheitsteams schwer zu interpretieren und zu verarbeiten sind.
  • Um den vollen Wert dieser Tools auszuschöpfen, müssen sie integriert werden, damit Sicherheitsexperten die Punkte miteinander verbinden und das Gesamtbild sehen können.

So viele Cybersicherheits-Tools, so wenig Zeit. Die Menge und Vielfalt der von diesen Tools generierten Daten kann überwältigend sein. Wie also sortieren die Sicherheitsteams von Unternehmen die Daten, um die wichtigsten Bedrohungen zu erkennen und zu priorisieren?

Die offensichtliche Antwort ist, all diese Daten zu integrieren, so dass alle Bäume als ein einziger Wald betrachtet werden können.

Das Ziel sollte es sein, eine einzige, umfassende Ansicht zu erhalten, die in Echtzeit analysiert werden kann und es dem Sicherheitspersonal ermöglicht, umsetzbare Erkenntnisse zu gewinnen, ohne sich im Unkraut zu verlieren.

Verteilte Bedrohungsdaten stören das Gesamtbild

No single cybersecurity tool can do everything, and comprehensive threat intelligence requires a diverse set of security tools to keep up with the ever-changing threat landscape. Yet a 2020 study by the Ponemon Institute found that making use of more tools placed an organization at a disadvantage, and that companies that used fewer threat detection tools were better able to detect and respond to an attack.[1] Less, however, did not always equate to more. The report also found that pooling data from discrete tools can help reduce reporting complexity, and 63% of the high-performing organizations surveyed said that sharing data among tools helped improve their ability to respond to threats.

Mit anderen Worten: Weitverbreitete, unzusammenhängende Daten stellen ein Problem dar, wenn sie nicht richtig integriert werden, und selbst die besten Bedrohungsdaten-Tools können eine Belastung darstellen, wenn sie als alarmgenerierende Inseln für sich allein behandelt werden.

Zu viele Alarme können sich als kostspielig erweisen

Eine steigende Anzahl von Alarmen ist für viele Sicherheitsteams eine belastende Realität. Es ist nicht ungewöhnlich, dass manche Organisationen mehr als 100 Alarme an einem Tag erhalten - oder sogar zehnmal so viele, wenn sie in einem großen Unternehmen arbeiten. [2] Und wie der Junge, der Wolf rief, werden sie bei so vielen Angriffsmeldungen leicht ignoriert.

Dieser Zustand kann sehr kostspielig sein. Eine weitere Studie von Ponemon aus dem Jahr 2015 ergab, dass Unternehmen durchschnittlich 1,27 Millionen US-Dollar pro Jahr verlieren, wenn sie auf ungenaue oder fehlerhafte Warnungen reagieren. [3] Dies ist zum Teil auf die Zeit zurückzuführen, die die Cybersecurity-Experten verschwenden, die damit beauftragt sind, das ganze Rauschen zu analysieren. In Ermangelung einer integrierten Lösung ist es, als würde man sie bitten, ein überdimensionales Puzzle zusammenzusetzen, ohne ein Gesamtbild zur Verfügung zu stellen, auf das sie sich beziehen können. Letztendlich werden sie es vielleicht schaffen - aber das Ergebnis ist weniger sicher, und sie werden sicherlich viel länger brauchen, um die Aufgabe zu bewältigen.

Selbst wenn alle aktuellen Bedrohungslösungen zur Verfügung stehen, ist es für Sicherheitsteams schwierig, den Finger am Puls der Zeit zu behalten, wenn die Daten durch einzelne Adern und nicht durch eine zentrale Arterie geleitet werden. Ohne einen zentralen Knotenpunkt, ein integriertes Dashboard oder einen ähnlichen Berichtsmechanismus haben die Teammitglieder keine andere Wahl, als von einem Bedrohungsdienst zum nächsten zu springen. Dadurch bleiben sie im Unkraut stecken und sind nicht in der Lage, ein Angriffsmuster zu erkennen oder herauszufinden, wie ein Eindringling mit dem nächsten zusammenhängen könnte. Auf auftretende Bedrohungen können sie nur reagieren - und sind nicht in der Lage, einen proaktiveren Ansatz zu verfolgen, der voraussieht, woher der nächste Angriff wahrscheinlich kommen wird.

Bessere Erkennung von Bedrohungen beruht auf Datenintegration

Angesichts der Tatsache, dass die durchschnittliche Zeit bis zur Erkennung eines Cyberangriffs erstaunliche 56 Tage beträgt, [4] besteht kaum ein Zweifel daran, dass bessere Informationen zur Erkennung von Bedrohungen benötigt werden. Hier kommen SIEMs, SOARs und APIs ins Spiel, die es ermöglichen, mehrere Threat Intelligence-Lösungen zu integrieren.

Security Information and Event Management (SIEM) bietet einen Rahmen, um die Eingaben von einzelnen Sicherheitstools in einem einzigen Feed zusammenzufassen. Durch die Aggregation und Korrelation dieser Daten können Ereignisse erkannt werden, die durch die individuelle Überwachung der einzelnen Tools nicht identifiziert werden können.

Security Orchestration, Automation and Response, kurz SOAR, steigert die Fähigkeiten eines SIEM-Frameworks durch die Automatisierung der Bedrohungsanalyse und der Reaktion auf Vorfälle. Aber die Fähigkeit von SOAR, programmatisch zu reagieren, beruht auf einer umfangreichen Datenintegration. Daher besteht ein Bedarf an APIs - insbesondere an offenen APIs -, die die Verschmelzung verschiedener Cybersecurity-Tools und ihrer Berichtssysteme beschleunigen können.

Mithilfe von Softwaretechnologien wie SIEMs, SOARs und offenen APIs können Sicherheitsexperten die kollektive Leistung der besten verfügbaren Threat Intelligence-Tools nutzen und so den Blick von den Bäumen auf den Wald lenken.

Was lässt sich daraus schließen?

Angesichts der sich ständig verändernden Cyber-Bedrohungslandschaft ist die Fülle an Tools zur Erkennung von Bedrohungen ein notwendiges Übel. Einzeln verwendet, können diese Tools zu einer Belastung werden, da sie Cybersecurity-Teams dazu zwingen, von einem Berichtssystem zum nächsten zu wechseln und dabei oft das große Ganze zu übersehen. Durch die Integration dieser Tools mit Ansätzen wie SIEM, SOAR und offenen APIs können Sicherheitsexperten jedoch die Punkte miteinander verbinden und Bedrohungsmuster erkennen, die sich ansonsten der Erkennung entziehen würden.

Wenn Sie mehr über die Optimierung Ihres Sicherheits-Stacks erfahren möchten, nehmen Sie an der Mimecast SecOps Virtual teil, einer kostenlosen halbtägigen Veranstaltung mit Keynotes und Breakout-Sessions, die am 26. und 27. Januar stattfindet.

[1] Die 2020 Cyber Resilient Organization Studie , Das Ponemon Institute

[2] "56% der großen Unternehmen bearbeiten täglich mehr als 1.000 Sicherheitswarnungen," DarkReading

[3] Die Kosten der Malware-Eindämmung, Das Ponemon Institut

[4] "FireEye Mandiant M-Trends 2020 Report Reveals Cyber Criminals Are Increasing to Ransomware as a Secondary Source of Income," FireEye

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Crowdstrike-Mimecast Integration Boosts Enterprise Cybersecurity

Organizations need deep email threat int…

Organizations need deep email threat intelligence that is in… Read More >

Debra Donston-Miller

von Debra Donston-Miller

Mitwirkender Verfasser

Verfasst am 27. Oktober, 2020

Integration Can Help Your Cyber Resilience SOAR

Open APIs help today’s advanced SO…

Open APIs help today’s advanced SOAR systems deliver t… Read More >

Bill Camarda

von Bill Camarda

Mitwirkender Verfasser

Posted Sep 01, 2020

Reduce Dwell Time by Integrating Security Controls Via Open APIs

You can’t prevent every intrusion.…

You can’t prevent every intrusion. But you can recogni… Read More >

Bill Camarda

von Bill Camarda

Mitwirkender Verfasser

Posted Aug 13, 2020