Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
www lanline de LANline 10 2022 37 Security ren dass sich Cyberkriminelle in der Masse der Alerts verstecken und Unternehmen so das Gegenteil von dem erreichen was sie eigentlich bezwecken wollten Um dies zu verhindern ist es notwendig die gesammelten Daten aus allen Security-Sensoriklösungen auf einer Metaebene auszuwerten Im obigen Beispiel wäre eine solche Lösung imstande aus einem vorher in der Sandbox als bösartig verifizierten E-Mail-Anhang Rückschlüsse für weitere Aktionen zu ziehen Erhält ein Angestellter etwa eine E-Mail mit einem solch bösartigen Anhang leitet das System diese sofort in die Sandbox um Bekommt erneut jemand eine solche E-Mail unterbindet das System sofort im laufenden Betrieb die Ausführung des schädlichen Anhangs da die Analysedaten aus der Sandbox bereits vorliegen Jede verifizierte Gefahr macht also das System für zukünftige Angriffe sicherer Eine solche intelligente und proaktiv reagierende Software bezeichnet man als SOAR-Lösung Der Vorteil dieses Systems liegt besonders darin riesige Datenmengen zu verarbeiten und gleichzeitig miteinander in Verbindung zu setzen Es greift dabei auf verschiedene externe und interne Threat-Intelligence-Quellen Threat Intelligence Informationen über Bedrohungen zurück und eliminiert so einen Großteil der Fehlalarme So erhalten Security-Mitarbeiter schnell das komplette Bild eines Angriffsvektors Dadurch kann das System das Netzwerk im aktiven Betrieb auf ähnliche Angriffe scannen und die Reaktionen auf ähnliche Vorfallsmuster mittels sogenannter Playbooks automatisieren Externe Dienstleister liefern diese entweder vordefiniert mit oder aber das Unternehmen erstellt sie selbst SOAR reduziert somit die Anzahl der Alerts massiv Dies entlastet die IT-Abteilung und beschleunigt die Reaktion auf Vorfälle Dem IT-Fachkräftemangel begegnen Warum zögern aber so viele Unternehmen bei der SOAR-Einführung? Der ausschlaggebende Grund ist meist der Fachkräftemangel Oft fehlt ein dediziertes Team das Daten aus SIEM und SOAR nach der Implementierung analysiert und Maßnahmen ableitet Wenn IT-Abteilungen diese Aufgabe nicht stemmen können empfiehlt sich die Zusammenarbeit mit einem MDR-Provider der hier Entlastung bietet Er bindet Logquellen und Datenbanken an und kümmert sich darum das SOAR-System stets aktuell zu halten Zudem beobachtet er das Bedrohungsgeschehen informiert bei Handlungsbedarf das Anwenderunternehmen und liefert nicht zuletzt wirksame Unterstützung für Gegenmaßnahmen Die Verpflichtung eines MDR-Providers zieht das Unternehmen aber nicht vollkommen aus der Verantwortung Denn der Provider benötigt einen Ansprechpartner mit dem er eng zusammenarbeitet um die Reaktion auf Angriffe sowie Verantwortlichkeiten für den Ernstfall zu definieren Nur wenn diese Schnittstelle reibungslos funktioniert gelingt es Angriffe zu stoppen bevor sie Schaden anrichten Den Unternehmen ist längst klar dass die Abwehr von Cyberkriminalität absolut geschäftskritisch ist Doch eine Installation von verschiedenen Sicherheitssystemen die per Autopilot laufen während die IT-Abteilung mühsam hinterherschnauft ist kaum zweckdienlich Für eine erfolgreiche Abwehr müssen Unternehmen die Logs aus den verschiedenen Security-Sensoren intelligent korrelieren und analysieren In Anbetracht des Fachkräftemangels in der IT-Welt ist es ratsam auf externe Partner und Anbieter von Managed Detection and Response MDR zurückzugreifen Die Security-Fachleute implementieren Schnittstellen und integrieren die Logfiles vorhandener Sensoriksysteme als Logquellen auf einer zentralen MDR-Plattform von der aus SOC-Teams Security Operations Center alles mittels aktueller SOAR-Technik auswerten Dieser umfangreiche Schutz macht es Cyberkriminellen – gleichgültig ob mit oder ohne Sturmhaube – schwer in das Unternehmensnetzwerk einzudringen Wolfgang Kurz wg Wolfgang Kurz ist Geschäftsführer und Gründer von Indevis MODULARES UNIVERSAL-MESSGERÄT UMG 806 KOMPAKTES MESSGERÄT MIT DIFFERENZSTROM-MESSUNG UND ETHERNET MODUL Energiemanagement | Differenzstromüberwachung | Spannungsqualität www janitza de