Es ist kein Geheimnis, dass die Arbeit der SOC-Teams immer schwieriger wird. Der zunehmende Umfang und die Raffinesse der Angriffe führen dazu, dass die unterfinanzierten Teams mit Fehlalarmen und einem Burnout der Analysten konfrontiert werden.
Doch wie viele andere Branchen beginnt auch die Cybersicherheit, sich auf die Fortschritte der Automatisierung zu stützen und davon zu profitieren, um nicht nur den Status quo zu erhalten, sondern bessere Sicherheitsergebnisse zu erzielen.
Automatisierung über mehrere Phasen des SOC-Workflows
Die Notwendigkeit der Automatisierung liegt auf der Hand, und es ist offensichtlich, dass sie für die Branche zur Selbstverständlichkeit wird. IBM schätzt, dass 62 % aller Unternehmen, die im Bereich Cybersicherheit tätig sind, Automatisierungs-, KI- und maschinelle Lernwerkzeuge und -prozesse eingesetzt haben.
Bisher konzentrierte sich ein Großteil dieser Automatisierungsfortschritte auf die Reaktion, wobei SOAR- und Incident-Response-Tools eine entscheidende Rolle bei der Bewältigung der dringendsten Phase des SOC-Workflows spielten.
Wenn wir uns jedoch nur auf die Reaktion konzentrieren, behandeln wir die Symptome, anstatt die Ursache der Krankheit zu bekämpfen. Wenn man den SOC-Workflow in Phasen unterteilt, erkennt man schnell, wo Automatisierung die Geschwindigkeit und Effizienz von Sicherheitsteams verbessern kann.
Zu den vier Phasen, in denen die Automatisierung erweitert werden kann, gehören:
- Datenerfassung und -normalisierung: Die Automatisierung der Datenerfassung und -normalisierung kann Teams in die Lage versetzen, riesige Datenmengen aus verschiedenen Quellen zu verarbeiten und so die Grundlage für weitere automatisierte Prozesse zu schaffen.
- Erkennung: Durch die Auslagerung der Erstellung eines Großteils der Erkennungsregeln können Sicherheitsanalysten Zeit gewinnen, um sich auf die Bedrohungen zu konzentrieren, die für ihr Unternehmen oder Marktsegment typisch sind.
- Erkundung: Manuelle und langwierige Arbeit wird ausgelagert, um Untersuchungs- und Triageprozesse zu verkürzen
- Reaktion: Automatisches Reagieren auf bekannte und entdeckte Bedrohungen für eine schnelle und präzise Schadensbegrenzung
Daten: Das Fundament für die Automatisierung legen
Die Aufnahme großer Datenmengen mag für viele Sicherheitsteams überwältigend klingen. In der Vergangenheit war es für die Teams schwierig, Datenquellen miteinander zu verbinden, oder sie mussten die Datenmengen, die sie nicht bewältigen konnten, einfach ignorieren, weil die Kosten für die alten Tools, die nach der Menge der gespeicherten Daten berechnet werden, zu hoch waren.
Da die Welt immer mehr in die Cloud abwandert, ist es unerlässlich, dass Sicherheitsteams nicht vor großen Datenmengen zurückschrecken. Stattdessen müssen sie Lösungen einführen, die ihnen helfen, diese zu verwalten und im Gegenzug bessere Sicherheitsergebnisse zu erzielen, indem sie einen besseren Überblick über die gesamte Angriffsfläche erhalten.
Security Data Lakes haben einen Paradigmenwechsel in der Sicherheitspraxis herbeigeführt. Sie unterstützen die Aufnahme großer Datenmengen und -vielfalt mit der Geschwindigkeit der Cloud und ermöglichen es Sicherheitsplattformen, darauf Analysen mit geringerer Komplexität und zu vorhersehbaren Kosten durchzuführen.
Erkennung: Die 80% automatisieren
Je mehr Daten erfasst werden, desto mehr Alarme werden entdeckt. Auch dies mag für überlastete Sicherheitsteams einschüchternd klingen, aber automatisierte Prozesse, wie z. B. sofort einsatzbereite Erkennungsregeln für alle Angriffsvektoren, sind ein weiteres perfektes Beispiel dafür, dass Automatisierung zu einer Verbesserung der Abdeckung führen kann.
Im Allgemeinen gibt es viele Ähnlichkeiten in der Art und Weise, wie Netzwerke angegriffen werden, denn etwa 80 % der Bedrohungssignale sind in den meisten Unternehmen gleich.
Eine moderne SOC-Plattform bietet sofort einsatzbereite Erkennungsregeln, die diese 80 % abdecken, indem sie auf Bedrohungsdaten, Open-Source-Wissensdatenbanken, soziale Medien oder Dark-Web-Foren zurückgreifen, um eine Logik zu erstellen, die vor den häufigsten Bedrohungen schützt. Durch die Kombination dieser Regeln mit zusätzlichen Regeln, die von internen Sicherheitsteams geschrieben werden, sind die Plattformen in der Lage, sich über Bedrohungsmethoden auf dem Laufenden zu halten und diese automatisch zu erkennen.
Nachforschungen: Trenne das Signal vom Rauschen
Die Untersuchungsphase des SOC-Workflows ist eine Phase, die nicht oft mit Automatisierung in Verbindung gebracht wird. Sie wird traditionell durch zahlreiche Tools und manuelle Untersuchungen behindert, was die Effizienz und Genauigkeit der Sicherheitsteams einschränkt.
Zu den Prozessen, die durch Automatisierung in der Ermittlungsphase unterstützt werden können, gehören:
- Bedrohungszentrierte Bündelung von Warnmeldungen: Sicherheitstools geben Tausende von Warnungen aus, aber in Wirklichkeit handelt es sich nur um einige wenige Bedrohungen. Im großen Maßstab wird dies zu einem enormen Ressourcenverbrauch. Wenn die Warnungen automatisch nach ihrem Bedrohungskontext gruppiert werden, können Sicherheitsanalysten einzelne Vorfälle leichter verstehen und darauf reagieren, anstatt Hunderten von Warnungen und Fehlalarmen nachzugehen.
- Anreicherung: Durch die automatische Anreicherung der Entitäten, die mit jedem Signal oder Alarm verbunden sind, mit zusätzlichen Informationen aus vielen verschiedenen Datenquellen, erhalten die Teams den gesamten verfügbaren Kontext, um das Risiko des Alarms zu verstehen.
- Korrelation: Die automatische Korrelation von Ereignissen führt zu einem besseren Einblick in den Weg der Angreifer im Netzwerk des Unternehmens.
- Visualisierung: Nach der Korrelation können die „Geschichten“ der Angreifer in einer übersichtlichen Zeitleiste dargestellt werden, so dass Analysten und andere Stakeholder einen besseren Einblick erhalten.
Zusammen bieten diese automatisierten Aufgaben den Analysten schnelle Hinweise darauf, welche Vorfälle höchste Priorität haben und weiter untersucht werden müssen. Dies ist eine drastische Verbesserung im Vergleich zu Altsystemen, bei denen die Analysten ständig Vorfälle überprüfen und erneut überprüfen, Redundanzen untersuchen und Ereignisse manuell zusammensetzen müssen.
Die automatisierte Untersuchung kann in Verbindung mit der manuellen Suche dazu führen, dass mehr echte Vorfälle untersucht, eingeordnet und besser verstanden werden.
Reaktion: Schnell und souverän handeln
Sobald eine Bedrohung erkannt wurde, ist der nächste Schritt die Reaktion darauf. Wie bereits erwähnt, leisten SOARs gute Arbeit bei der Automatisierung der Reaktionsphase auf bekannte Bedrohungen.
Die Effizienz dieser Automatisierung hängt jedoch stark von Daten ab, die von anderen Quellen bereitgestellt werden, d.h. wenn frühere Phasen des SOC-Workflows brauchbare und zuverlässige Ergebnisse liefern, die an eine Reaktionssoftware gesendet werden können.
Durch die Integration genauerer Daten, die durch eine fachmännisch entwickelte Automatisierung normalisiert und untersucht wurden, werden die Reaktionswerkzeuge viel zuverlässiger und effektiver.
Natürlich können nicht alle Reaktionen automatisiert werden, da die Angreifer ihre Methoden ständig weiterentwickeln. In vielen Fällen ist es notwendig, dass Analysten Vorfälle gründlich untersuchen und manuell reagieren. Aber wie bei den anderen Phasen des Arbeitsablaufs gilt auch hier: Je mehr diese Aufgaben automatisiert werden können, desto mehr Zeit haben die Sicherheitsteams, um sich um komplexere Angriffe zu kümmern.
Warum nutzen also nicht mehr Unternehmen die Automatisierung?
Viele Teams wissen, dass Automatisierung ihre Produktivität steigern wird, aber die Änderung von Prozessen und Software ist aus verschiedenen Gründen oft schwierig:
- Das Ersetzen von Altsoftware ist zeitaufwändig, teuer und potenziell riskant.
- Die Zustimmung der Interessengruppen für größere Implementierungen ist schwierig und langsam
- Die Einarbeitung von Analysten in die neue Software erfordert Zeit und Ressourcen
- Sich ständig weiterentwickelnde Angriffstechniken halten die Sicherheitsteams mit dem „Hier und Jetzt“ beschäftigt.
Diese Hindernisse, die sich zu dem extremen Personalmangel gesellen, können die Aufgabe entmutigend erscheinen lassen.
Da die Automatisierung jedoch immer mehr in den Mittelpunkt rückt, wird die Branche auch in Zukunft eine deutliche Reduzierung der Gesamtbetriebskosten (TCO), der mittleren Zeit bis zur Erkennung/Reaktion (MTTD/MTTR), des Burnouts von Analysten und der Frustration von CISOs erleben.
SOC-Plattformen als Retter in der Not
Wenn mehrere Teile des SOC-Workflows kombiniert und automatisiert werden, lösen sich die Last und der Druck des normalen Arbeitspensums langsam auf. Analysten können sich davon verabschieden, stundenlang von Tool zu Tool zu springen, False Positives zu jagen oder einfach nur traditionelle SIEM-Lösungen zu warten.
Die neue Generation von SOC-Plattformen hat in jeder Phase des SOC-Workflows eine Menge zu bieten. Da sie in der Cloud entstanden sind, können SOC-Plattformen moderne Datenarchitekturen nutzen, um leichter zusätzliche Funktionen und Verbesserungen zu entwickeln. Dies und der Vorteil, dass sie alle Sicherheitsdaten zu einem Bruchteil der Kosten älterer Tools aufnehmen können, hat zu einem Trend hin zu mehr Automatisierung geführt.
| Ein Beispiel für eine Zusammenfassung der Auto-Untersuchung auf der Hunters SOC-Plattform zeigt die wichtigsten Elemente eines Alarms, der generiert wurde, nachdem sich ein Benutzer von einem nicht überwachten Gerät ohne aktiven EDR-Agenten in die Okta-Webkonsole eingeloggt hat, sowie den damit verbundenen Risiko-Score |
Ein Beispiel dafür ist die Untersuchung von Bedrohungen: Die meisten Analysten wissen, dass dies eine langwierige, manuelle Aufgabe ist, bei der man sich durch endlose Falschmeldungen wühlen muss. Die heutigen SOC-Plattformen haben jedoch eine Automatisierung eingeführt, die den Untersuchungsprozess erheblich verbessert. Verbesserungen wie automatische quellenübergreifende Korrelationen, ML-Modelle und integrierte Datenabfragen helfen den Analysten bei den sich wiederholenden und mühsamen Aufgaben der Bedrohungsanalyse.
Jetzt ist es an der Zeit, die Automatisierung zu nutzen, denn sie wird die Branche weiter verändern. Teams, die diese Innovationen nicht aktiv nutzen, werden den Anschluss verlieren und ihre Organisationen angreifbar und ihre Mitarbeiter überfordert machen.
Erfahre mehr darüber, wie die Hunters SOC-Plattform dein SOC unterstützen kann: www.hunters.ai