Drei schwerwiegende Fehler bei Sicherheitsoperationen

In einem kürzlich abgehaltenen Webinar sprach Swimlane-Gründer und CEO Cody Cornell über vier Hauptursachen Nicht nachhaltige Sicherheitsmaßnahmen sind die Folge einer beispiellosen Anzahl von Angriffen, der Überlastung durch Alarme, veralteter Reaktionswerkzeuge und eines Mangels an qualifiziertem Cybersicherheitspersonal. Um diesen Herausforderungen zu begegnen, haben Unternehmen verschiedene Sicherheitsmethoden ausprobiert – einige davon sind wirksam, andere können sogar mehr schaden als nutzen.

Im Webinar mit dem Titel “Automatisierung von Sicherheitsoperationen,Cornell untersuchte drei Fehler, die Organisationen im Allgemeinen bei ihren Methoden zur Bewältigung dieser Herausforderungen machen, und diese werden im Folgenden erläutert.

1. Fokus auf die Priorisierung von Warnmeldungen anstatt auf 100 Prozent aller Warnmeldungen

Viele Unternehmen nutzen Priorisierungsmethoden, um festzulegen, welche Alarme bearbeitet werden müssen und in welcher Reihenfolge. Das Problem dabei ist jedoch, dass angesichts der enormen Anzahl eingehender Alarme die manuelle Bearbeitungsmöglichkeiten begrenzt sind. Dadurch bleiben zahlreiche Alarme unbeantwortet. Abgesehen davon, dass dies ein allgemeiner Fehler ist, da unbehandelte Ereignisse im Netzwerk unbeachtet bleiben, birgt dies Risiken für Audits und kann zu vielen unbeabsichtigten Folgen für Unternehmen führen.

Wie Cornell erklärte, vergeht in Organisationen, die sich endlich mit ihren Warnmeldungen niedriger Priorität befassen, eine extrem lange Zeit. Anders ausgedrückt: Die Zeitspanne zwischen der Erkennung verdächtiger Netzwerkaktivitäten und der Reaktion auf die Warnmeldung ist viel zu lang. Dies verringert die Fähigkeit der Organisation, die Bedrohung frühzeitig einzudämmen.

“Um die steigende Anzahl an Warnmeldungen zu bewältigen und die Reaktionsfähigkeit unserer Teams zu erhöhen, suchen wir nach Möglichkeiten, die Reaktion von Organisationen auf alle Sicherheitsereignisse und -aktivitäten zu verbessern, zu optimieren und zu rationalisieren”, sagte Cornell. Eine einfache Priorisierung von Warnmeldungen reicht derzeit nicht mehr aus.

2. Die Hälfte des Sicherheitsbetriebslebenszyklus – die Reaktion auf Sicherheitsvorfälle – wird ignoriert.

Organisationen nutzen heutzutage eine Reihe moderner Erkennungstechnologien, um Sicherheitsalarme, Aktivitäten und Aufgaben zu identifizieren – von der Verhaltensanalyse der Benutzer über Security Information and Event Management (SIEM) und Endpoint Detection and Response (EDR) bis hin zu Threat Intelligence Tools.

Viele Organisationen haben in den letzten Jahrzehnten massiv in solche Erkennungstools investiert; aktuell zeichnet sich jedoch ein Paradigmenwechsel ab: Organisationen erkennen zunehmend, dass der Backend-Bereich – die Reaktion auf Sicherheitsvorfälle – weiterentwickelt werden muss. Organisationen, die die Notwendigkeit ausgefeilter Backend-Sicherheitsmaßnahmen ignorieren oder nicht erkennen, müssen mit gravierenden Folgen rechnen.

3. Verwendung veralteter und/oder manueller Antworttools

Es ist nicht ungewöhnlich, dass Organisationen zur Bedrohungsabwehr immer noch veraltete Reaktionswerkzeuge wie Textdokumente, Tabellenkalkulationen oder alte Ticketsysteme verwenden. Manche Organisationen greifen auch weiterhin bei jeder Warnmeldung auf Befehlszeilenaktionen zurück.

Diese Instrumente und Mechanismen sind in diesen Organisationen nach wie vor vorhanden, einfach weil ihre Mitarbeiter an vorderster Front darauf trainiert sind, dies zu wissen und zu tun. Forschungen haben gezeigt, dass Unternehmen bearbeiten im Durchschnitt über 10.000 Sicherheitsvorfälle pro Tag, was einem Arbeitsaufwand von bis zu 333 Stunden täglich entsprechen könnte. Manuelle und veraltete Prozesse sind daher unrealistisch und richten mehr Schaden als Nutzen an.

Gleichzeitig ist die Anzahl der Personen, die Sicherheitswarnungen und -aufgaben sachgemäß bearbeiten können, gering, und die Einstellung solcher Fachkräfte kann für Unternehmen kostspielig sein. Es ist offensichtlich, dass dies für Unternehmen heutzutage eine enorme Herausforderung darstellt.

Möchten Sie mehr über Best Practices im Bereich Sicherheitsmaßnahmen oder eine effektive Alternative zu diesen potenziell gefährlichen Methoden erfahren? Dann schauen Sie sich das aktuelle Webinar von Swimlane an.“Automatisierung von Sicherheitsoperationen.”