Automatisierte Sicherheitsoperationen für Managed Security Service Provider (MSSP)

Während sich die Diskussion um Sicherheitsautomatisierung im Allgemeinen auf Security Operations Center (SOC) von Unternehmen und Behörden konzentriert, gehören die folgenden Gruppen zu den größten, die von der Automatisierung profitieren können: Anbieter von verwalteten Sicherheitsdienstleistungen (MSSP). MSSPs stehen vor vielen ähnlichen Herausforderungen wie traditionelle SOCs, darunter Fachkräftemangel, enorme Datenmengen, Datenaggregation, Fallmanagement und Reporting. Allerdings ist das Ausmaß dieser Herausforderungen für Laien kaum vorstellbar, sofern man nicht selbst in diesem Umfeld gearbeitet hat.

Anders als in einem typischen SOC betreut ein Sicherheitsanalyst bei einem MSSP gleichzeitig mehrere Kunden – jeder mit seiner eigenen Sicherheitsplattform und seinem eigenen Runbook. Das bedeutet, dass der Analyst während einer einzigen Schicht zahlreiche Warnmeldungen von verschiedenen Tools erhält, die gemäß den individuellen Anforderungen der Kunden behoben werden müssen. Service Level Agreements (SLA). Diese Komplexität kann Analysten vor große Herausforderungen stellen: “Sollte ich mitten in der Nacht Kunde A anrufen oder war es Kunde A, der sich über meinen Anruf mitten in der Nacht ärgerte?” Die ständigen Aufgabenwechsel – in diesem Fall “Kundenwechsel” – können für Sicherheitsanalysten von Managed Security Service Providern (MSSPs) äußerst verwirrend sein. Diese Verwirrung birgt das Risiko erheblicher menschlicher Fehler, operativer Ineffizienz und unvorhergesehener Verzögerungen. Und die Verwirrung verstärkt sich mit jedem zusätzlichen Prozess in den Betriebshandbüchern der Kunden.

Du denkst Alarmmüdigkeit Wie sieht es in Ihrem Unternehmen aus? Stellen Sie sich vor, Sie müssten Alarme für 20, 50, 100 oder mehr einzelne Kunden überwachen. Die Kombination aus Endpunkten, Netzwerkkonfigurationen und Anwendungssicherheitslösungen sowie deren jeweiligen Bedrohungsdatenquellen, Korrelationsmechanismen und Analyseregeln stellt eine große Herausforderung dar. Ist So überwältigend es auch klingen mag: Die Vielzahl unterschiedlicher Ereignistypen und kundenspezifischer Hardware-/Softwarekonfigurationen kann selbst für die besten Betriebsteams die zeitnahe Behebung von Warnmeldungen erschweren. Dies ist einer der Hauptgründe, warum MSSPs (Managed Security Service Provider) ausgefeiltere Fallmanagement-, Workflow- und Automatisierungsoptionen in Betracht ziehen.

Beim Entwerfen, Bauen und Betrieb eines MSSP Für ein erfolgreiches Serviceangebot ist die Standardisierung von entscheidender Bedeutung. Sicherheitsexperten scheuen sich zwar vor starren Vorgaben, wissen aber auch, dass ihre Konkurrenz ständig Innovationen vorantreibt. Eine operative Standardisierung ist daher unerlässlich, damit ein MSSP innovativer agieren kann. Das mag paradox klingen, doch der Einsatz von Technologie zur Standardisierung und Optimierung der sich wiederholenden, umfangreichen und manuellen Aufgaben, die ein Betriebsteam stark beanspruchen, schafft Freiräume für innovativere und wettbewerbsfähigere Projekte. Die Optimierung, Effizienzsteigerung und die Entwicklung neuer Erkennungsmethoden tragen maßgeblich zur Erreichung der Ziele eines Serviceanbieters bei. Erstens: Durch Automatisierung werden sie effizienter und können mit potenziell weniger Personal mehr Kunden und Anwendungsfälle betreuen. Aus betriebswirtschaftlicher Sicht bedeutet dies höhere Rentabilität. Zweitens: Sie sichern sich institutionelles Wissen, das dem MSSP im Umgang mit der unvermeidlichen Mitarbeiterfluktuation zugutekommt. Institutionelles Wissen stellt sicher, dass neue Mitarbeiter nicht bei null anfangen müssen und sich schneller einarbeiten können.

Die Automatisierung von MSSP-Aktivitäten ist ein Gewinn für beide Seiten – sowohl für MSSPs als auch für deren Kunden. MSSPs können dadurch voraussichtlich mehr Kunden betreuen. niedrigere Betriebskosten, und gleichzeitig ein höheres Serviceniveau bieten. MSSPs profitieren, Kunden profitieren und die Welt wird sicherer.