Alarmierende Untersuchungen zeigen den Stress und die Belastungen, denen ein durchschnittliches Cybersicherheitsteam täglich ausgesetzt ist. Nicht weniger als 70 % der Teams geben an, dass sie sich durch Sicherheitswarnungen emotional überfordert fühlen. Diese Warnungen kommen in einer solchen Menge, Geschwindigkeit und Intensität, dass sie zu einer extremen Stressquelle werden. Und zwar so extrem, dass das Privatleben der Menschen negativ beeinflusst wird. Die Überlastung mit Warnmeldungen ist schlecht für diejenigen, die im Bereich Cybersicherheit arbeiten. Aber noch schlimmer ist es für alle, die auf Cybersicherheit angewiesen sind.
Das ist ein riesiges Problem in der Branche, aber nur wenige erkennen es überhaupt an, geschweige denn, dass sie sich damit auseinandersetzen. Cynet will das in diesem Leitfaden (hier herunterladen) ändern, indem es zunächst die Ursache des Problems und das ganze Ausmaß seiner Folgen beleuchtet und dann ein paar Möglichkeiten aufzeigt, wie schlanke Sicherheitsteams ihre Analysten aus dem Meer der Falschmeldungen herausziehen und wieder an Land bringen können. Der Leitfaden enthält Tipps zur Verringerung von Warnmeldungen durch Automatisierung und gibt Hinweise für Unternehmen, die eine Auslagerung ihrer Managed Detection and Response (MDR) in Erwägung ziehen. Der Leitfaden zeigt auch, wie Sicherheitsteams das Netz der für die Automatisierung notwendigen Sicherheitstools entwirren können.
Die Überlastung mit Alarmen lösen
Sicherheitsteams jeder Größe müssen die Anzahl der Warnmeldungen reduzieren und die Reaktion auf Warnmeldungen verfeinern, um Maßnahmen zu ergreifen, bevor der Schaden entsteht. Im Folgenden werden Taktiken vorgestellt, die Sicherheitsteams, insbesondere schlanke Teams, anwenden können, um die Anzahl der Warnmeldungen zu reduzieren und auf Tausende von Warnmeldungen zu reagieren.
1 – Erwäge die Auslagerung an MDR: Die Auslagerung von Managed Detection and Response (MDR) ist eine gute Option, wenn du schnell skalieren musst und nicht über die nötigen Ressourcen verfügst. MDRs können helfen, Stress zu reduzieren und deinem Team Zeit zurückzugeben. Eine weitere Überlegung sind die Kosten. Du musst auch Zeit investieren, um einen MDR zu finden, der für dein Unternehmen geeignet ist. Wie der Leitfaden zeigt, kann Outsourcing durchaus eine Bereicherung sein. Aber es ist nie eine Komplettlösung.
2 – Strategie zur Reduzierung von Warnmeldungen: Es beginnt mit einer Strategie. Sieh dir deine vorhandene Technik an und stelle sicher, dass du ihre Einstellungen optimiert hast und deine Werkzeuge kalibriert sind. Letztendlich geht es nicht so sehr um die Reduzierung von Alarmen, sondern darum, wie du dein Team darauf einstellst.
Finde zum Beispiel Wege, um die Untersuchung von Alarmen zu beschleunigen, die du nicht eliminieren oder zusammenfassen kannst. Eine Möglichkeit besteht darin, Alarme mit bekannten Aktivitäten zu korrelieren, z. B. wenn eine geplante Patch-Installation Sicherheitstools in großen Mengen deaktiviert, während das System recycelt wird. Zu jedem anderen Zeitpunkt würde das Sicherheitsteam wissen wollen, dass die Sicherheitstools offline gehen, aber beim Patchen gibt es eine einfache Erklärung. Wenn du die Tools so kalibrierst, dass sie bei bekannten Ereignissen oder zu geplanten Zeiten „leise“ Alarm schlagen, hat das Sicherheitsteam mehr Zeit, sich auf die tatsächlichen Notfälle zu konzentrieren.
3 – Automatisierte Reaktionen einführen: Selbst die schlanksten Sicherheitsteams können Bedrohungen abwehren, wenn sie Automatisierung einsetzen. Die Automatisierung ermöglicht es den Sicherheitsteams, in großem Umfang und schnell auf Warnmeldungen zu reagieren. Aber eine der größten Herausforderungen bei der Automatisierung ist das Wissen, wie man sie überhaupt richtig einrichtet.
Einer der Nachteile der automatisierten Reaktion, die wir vermeiden müssen, ist, wenn eine automatisierte Reaktion, insbesondere wenn sie durch maschinelles Lernen gesteuert wird, sowohl bösartigen als auch legitimen Datenverkehr blockiert. Diese unvorhersehbaren Fälle können sowohl für das Sicherheitsteam als auch für die Nutzer/innen im Unternehmen ärgerlich sein. Außerdem können Probleme schwer rückgängig zu machen sein, wenn die von der Automatisierung durchgeführten Aktionen nicht sorgfältig dokumentiert wurden. Der Leitfaden schlägt neue Wege vor, um auch dieses Problem zu lösen.
4 – Verwende Tools, die die Automatisierung erleichtern: Die Einrichtung der Automatisierung ist kein Kinderspiel, denn es gibt eine Vielzahl von Sicherheits- und IT-Lösungen, die integriert werden müssen (z. B. IPS, NDR, EPP, Firewalls, DNS-Filterung usw.). Der Schlüssel liegt darin, all diese Tools an einem Ort zu vereinen – und der Leitfaden schlägt neue Wege vor, genau das zu tun.
Wenn du mehr erfahren möchtest und wissen willst, wie du die Alarmflut stoppen kannst, kannst du den Leitfaden hier herunterladen.