Security Orchestration: Sicherheitssymphonie gegen Hacker

Ein Artikel von Tim Bandos, Chief Information Security Officer bei Digital Guardian | 20.09.2021 - 11:12
Dirigent conductor-5157153_1920 artesitalia auf Pixabay.jpg

© artesitalia @Pixabay

Mit Hilfe von Sicherheitsorchestrierung können Unternehmen ihre Incident-Response-Maßnahmen für Cyber-Bedrohungen optimieren, indem langsame und manuelle Prozesse durch schnelle und maschinengesteuerte Techniken ersetzt werden.

Beispielsweise meldet ein Mitarbeiter einen vermeintlich bösartigen Link an das Security Operations Center (SOC). Die Analysten verifizieren den Link, indem sie entweder seine URL-Reputation prüfen oder ihn in einer Sandbox ausführen. Wenn er bösartig ist, wird er zerstört. All diese Prozesse können manuell für einen Link durchgeführt werden. Doch wenn ein Unternehmen täglich mit Tausenden von Links arbeitet (einschließlich derer, die per E-Mail eingehen), ist selbst mit einem großen Sicherheitsteam ein manueller Prozess nicht praktikabel. Security Orchestration kann diesen Prozess automatisieren.

Vorteile der Security Orchestration

Im Folgenden ein Blick auf die wichtigsten Vorteile, die Unternehmen durch die Implementierung von Sicherheitsorchestrierung erzielen können:

  • Rationalisierung der IT-Prozesse: Die Verwaltung der Sicherheitssysteme in einem Unternehmen ist für IT-Teams oft eine Herausforderung. Mit Tools zur Sicherheitsorchestrierung können sie die unterschiedlichen Systeme und Tools miteinander verbinden und sich wiederholende Prozesse automatisieren.
  • Reaktion auf Datenverletzungen: Zudem können Unternehmen nicht nur die Sicherheitsprozesse automatisieren, sondern erhalten auch eine erste Verteidigungslinie im Falle eines Cyberangriffs. Denn mit automatisierten Routine-Untersuchungsprozessen können Sicherheitsverletzungen schneller und mit größerer Genauigkeit erkannt werden. Außerdem können im Falle einer Verletzung die richtigen Maßnahmen eingeleitet und Daten korreliert werden, um Muster und verdächtige Aktivitäten aufzuspüren.
  • Steigerung der Effizienz: Security Orchestration kann auch die Effizienz der Mitarbeiter steigern. Durch den Einsatz dieser Technologie verfügen Sicherheitsteams schneller über Informationen und können so Probleme und Schwachstellen rascher beheben. Zudem lassen sich Bugs auf der Grundlage früherer Probleme automatisch erkennen und beheben.

Neben den oben genannten drei Hauptvorteilen gibt es noch viele weitere wie etwa:

  • Automatisierung der Malware-Analyse
  • Automatisierung der Bedrohungssuche
  • Automatisierung der IOC-Anreicherung
  • Automatisierung von VPN-Prüfungen
  • Automatisierung der Zuweisung von Schweregraden zu Vorfällen
  • Reaktion auf Phishing-Versuche
  • Automatisierung des Schwachstellenmanagements

Best Practices für die Auswahl der passenden Security-Orchestration-Lösung

Tim Bandos, CISO at Digital Guardian.jpg

Autor: Tim Bandos, CISO von Digital Guardian. Die aus der Cloud bereitgestellte Data Protection Platform von Digital Guardian wurde speziell entwickelt, um Datenverluste durch Insider-Bedrohungen und externe Angreifer auf den Betriebssystemen Windows, Mac und Linux zu verhindern.

Folgende wesentliche Punkte sollten Unternehmen bei der Evaluierung von Security-Orchestration-Lösungen berücksichtigen:

  • Skalierbarkeit: Wenn das Unternehmen wächst, sollten auch seine Sicherheitslösungen mitwachsen. Daher sollte eine skalierbare Security-Orchestration-Lösungen eingesetzt werden.
  • Benutzerfreundlichkeit: Das Durchsuchen großer Logs kann für Sicherheitsteams zeitaufwändig sein. Die Daten sollten daher so angeordnet sein, dass sie einen gute Gesamtübersicht geben, aber auch bei Bedarf einen tieferen Einblick ermöglichen.
  • Vielseitigkeit: Die Lösung sollte das/die vom Unternehmen verwendete(n) Betriebssystem(e) und Programme unterstützen. Außerdem sollte sie mit der gesamten verwendeten Sicherheitssoftware zusammenarbeiten können.
  • Konformität: Die Lösung sollte den Standards und Vorschriften entsprechen, die das Unternehmen einhalten muss.
  • Reaktionszeit: Die Software sollte es IT-Teams ermöglichen, schnell auf Bedrohungen zu reagieren.
  • Analysefunktionen in Echtzeit: Am besten sollten Unternehmen auf eine Software setzen, die Aktivitäten in Echtzeit ermöglicht, damit das Sicherheitsteam stets weiß, was im Moment passiert.
  • Indikatoren für die Bedrohungsanalyse: Die Lösung sollte es auch ermöglichen, schnell zu erkennen, ob eine Bedrohung für die Datensicherheit vorliegt.
  • Verfügbarkeit: Während Cloud-basierte Plattformen einfacher zu skalieren sind, bevorzugen einige Unternehmen die volle Kontrolle über die Umgebung und entscheiden sich daher für On-Premises-Lösungen.

Da sich immer mehr Unternehmen auf eine Vielzahl von Tools und Technologien verlassen, um ihre sensiblen Daten zu schützen, ist Security Orchestration eine wesentliche Maßnahme, um das Sicherheitsmanagement zu optimieren und eine robuste Sicherheitslage aufrechtzuerhalten. Denn sie sorgt dafür, dass alle eingesetzten Sicherheitslösungen zusammenarbeiten, ohne die Prozesse der anderen zu behindern, und sie gewährleistet effiziente Arbeitsabläufe des Sicherheitsteams.