04.03.2022 – Moderne Security-Systeme ermöglichen automatisierte Detection- und Response-Prozesse. Doch Automatisierung ist nach Ansicht des Managed Security Service Provider (MSSP) indevis nicht die Lösung aller Sicherheitsprobleme. Ohne menschliches Know-how lasse sich die Tragweite mancher Entscheidungen einfach (noch) nicht ermessen. Eine Kombination von automatisierten Abläufen und Expertenentscheidungen sei indevis zufolge der Erfolgsweg zur anhaltenden Cybersecurity.
Security Automation ist die Zukunft – aber zum heutigen Zeitpunkt noch mit Vorsicht zu genießen
Große Konzerne betreiben in den meisten Fällen eigene Security Operations Center (SOCs). Hier fokussieren sich die Mitarbeiter darauf, wie sie ihre Daten und Prozesse vor Manipulationen von außen schützen können. Die Mittelständler würden hier gerne mithalten. Doch selbst wenn sie die finanziellen Mittel dafür aufbringen, macht ihnen der Fachkräftemangel und der sehr Ressourcen-intensive Aufbau eines SOCs meist einen Strich durch die Rechnung.
Stand der Technik auf dem Cybersecurity-Markt bilden Systeme und Verfahren zur Security Orchestration, Automation and Response, kurz SOAR. Sie bieten Werkzeuge für die Analyse von Cyber-Bedrohungen sowie Unterstützung bei der aktiven Bekämpfung von Sicherheitsvorfällen. Darüber hinaus ermöglichen sie, wie der Buchstabe R für „Response“ signalisiert, automatisierte Gegenmaßnahmen.
Die moderne Technik suggeriert, dass im Falle eines Security-Vorfall automatisch und dynamisch-implementierte Regeln greifen und den Angriff schneller stoppen, als ein menschlicher Spezialist jemals reagieren könnte. Blitzschnelle automatisierte Gegenmaßnahmen halten angeblich den Angreifer in Schach und das Fehlen von IT-Security-Experten fällt offensichtlich kaum ins Gewicht. Aber wenn etwas zu schön klingt, um wahr zu sein, ist es meist nicht wahr – zumindest nicht uneingeschränkt. Sich allein auf automatische Reaktionen zu verlassen, ist indevis zufolge in der Praxis meist nicht empfehlenswert.
Sicherheitsmaßnahmen können Schäden verursachen
Dazu ein Beispiel: Tatsächlich ist eine SOAR-Lösung in der Lage, aus den Ergebnissen der Bedrohungsentdeckung („Detection“) eine Anpassung der Firewall-Regeln abzuleiten – und sie automatisch zu implementieren. Das bedeutet aber eine Operation am offenen Herzen: Während des laufenden Geschäfts würde massiv in den Netzbetrieb eingegriffen. Dabei kann es leicht passieren, dass wichtige Services plötzlich nicht mehr zur Verfügung stehen oder ein kompletter Produktionsstandort ohne Vorwarnung gekappt wird. Der so entstandene Schaden ist unter Umständen größer als der durch den Cyberangriff.
Kleinere Betriebe sind im Nachteil
Die Idee eines automatisierten Gegenschlags mit einer Detection & Response-Lösung ist nach Ansicht von indevis sicher nicht falsch. Aber die Bedingungen, unter denen er geschieht, und die Maßnahmen, die dabei angewendet werden, müssten sorgfältig abgewogen werden. Die Hoffnung, menschlichen Sachverstand gänzlich durch automatisierte Prozesse zu ersetzen, werde über kurz oder lang enttäuscht. Nach wie vor sind erfahrene Expertinnen und Experten gefragt, die Gefahrensituationen abschätzen können, geeignete (Re-)Aktionen vorschlagen und die Unternehmensführung miteinbeziehen. Ob ein System vom Netz genommen werden soll, entscheidet in den meisten Fällen dann das Topmanagement.
Wer ein SOC betreibt, wird sich sicher früher oder später mit einer SOAR-Lösung beschäftigen und diese in den SOC-Betrieb integrieren. In letzter Konsequenz wird man auch versuchen, automatische Gegenmaßnahmen zu implementieren. Dabei wird aber in den allermeisten Fällen die Funktion vor Sicherheit gehen. Mit der aktuellen Technik kann das SOC-Team entlastet aber nicht ersetzt werden.
Technik und menschliches Know-how kombinieren
Doch auch mittelständische Betriebe können von einer solchen Lösung profitieren. Immer mehr Unternehmen nutzen die Dienste eines Managed Security Services Providers (MSSP), der ein virtuelles SOC bereitstellt und Managed Detection and Response, kurz MDR, offeriert. Er übernimmt den Betrieb der SOAR-Umgebung und verknüpft sie mit den kundenspezifischen Log-Quellen. Zudem stellt er die notwendigen IT-Security-Experten und entwickelt Playbooks, an denen sich eine automatisierte Cyberbekämpfung orientiert.
Weil ein MSSP viele Kunden bedient, hat er laut dem Cybersecurity-Anbieter indevis meist einen guten Überblick über die aktuelle Bedrohungslandschaft und kann im Ernstfall schnell entscheiden, ob und in welcher Form ein Eingreifen sinnvoll ist. Ein solcher Security-Provider wisse die optimierten Automatisierungsprozesse zu nutzen, verlässt sich aber nicht alleine darauf, sondern zieht zu gegebenem Zeitpunkt Spezialisten, beispielsweise IT-Forensiker, hinzu. Vor allem aber stimmt er alle Maßnahmen mit den Kunden ab. Im Wechselspiel von Automatisierung und menschlichem Know-how soll der bestmögliche Schutz bereitgestellt werden. (ds)