Automatisierung: Der natürliche nächste Schritt im Sicherheitsbetriebsmanagement

Eine Frage an Sicherheitsanalysten und -manager: Wie oft schaffen Sie es, Ihren E-Mail-Posteingang aufzuräumen, alle Warnmeldungen Ihrer Überwachungstools zu entfernen, Prozesse zu aktualisieren und trotzdem noch Zeit zu haben, auf einige wenige offene Prüfungsfeststellungen zu reagieren?

Die meisten Sicherheitsexperten sind so stark ausgelastet, dass sie all diese Aufgaben an einem Tag nicht bewältigen können, geschweige denn Zeit für proaktive Projekte wie die Verbesserung von Schulungen zur Sensibilisierung für Sicherheitsthemen, die Weiterentwicklung eines Schwachstellenmanagementprogramms oder die Durchführung von Übungen zur Reaktion auf Sicherheitsvorfälle finden. Es gibt einfach zu viel zu tun und zu wenig Zeit dafür.

Der Wendepunkt für IT-Sicherheitsoperationen

Wie kam es dazu? Ende der 1980er-Jahre markierte die Einführung von Syslog einen Wendepunkt für die IT-Sicherheit. Erstmals ermöglichte Syslog die Zentralisierung und Standardisierung von Protokolldateien. Ab Mitte der 1990er-Jahre bis Anfang der 2000er-Jahre spielte die Automatisierung eine entscheidende Rolle in der IT-Sicherheit, da Unternehmen Plattformen entwickelten, die Protokolle automatisch zentralisierten und standardisierten. In den letzten Jahren haben wir den Aufstieg von Tools zur Vorfallserkennung und -verwaltung in Form von SIEM-Systemen und anderen Lösungen zur Bedrohungserkennung erlebt, die die Protokollprüfung, -korrelation und Alarmierung automatisieren.

Die Weiterentwicklung fortschrittlicher Bedrohungserkennungssysteme ist Fluch und Segen zugleich: Zwar decken diese Lösungen mehr potenzielle Bedrohungen auf, doch die dadurch entstehenden Warnmeldungen führen auch zu einer höheren Arbeitsbelastung für IT-Sicherheitsteams. Eine aktuelle Studie von Damballa, einem auf Bedrohungserkennung spezialisierten Sicherheitsunternehmen, ergab, dass ein durchschnittliches nordamerikanisches Unternehmen täglich 10.000 Warnmeldungen erhält – eine Zahl, die die manuelle Behebung jeder einzelnen Bedrohung unmöglich macht.

Die fortlaufende Weiterentwicklung der Bedrohungsreaktion

So wie die Automatisierung bei Zentralisierung, Standardisierung und Erkennung geholfen hat, wird sie auch bei der Weiterentwicklung der Bedrohungsabwehr eine Schlüsselrolle spielen. Insbesondere die Einführung einer SecOps-Automatisierung Eine Plattform, die die standardisierten Prozesse einer Organisation nutzt, um häufige, wenig komplexe Aufgaben – im Wesentlichen administrative Tätigkeiten – automatisch und ohne menschliches Eingreifen zu erledigen, entlastet das Sicherheitspersonal (um etwa 30 Prozent ihrer Arbeitszeit) und ermöglicht es ihm, sich komplexeren Bedrohungen zu widmen. Diese effizientere Ressourcennutzung durch Automatisierung wird es IT-Sicherheitsteams ermöglichen, künftig ein noch größeres Bedrohungsvolumen abzuwehren.

Neben der Erhöhung der Wahrscheinlichkeit, selbst die komplexesten und risikoreichsten Bedrohungen abzuwehren, kann die automatisierte Reaktion auf Sicherheitsvorfälle den zusätzlichen Vorteil bieten, die Arbeit im Bereich IT-Sicherheit angenehmer zu gestalten. Denn ganz ehrlich: Ich bin nicht in die IT-Sicherheit gegangen, um endlose Verwaltungsaufgaben zu erledigen – und ich wette, Ihnen geht es genauso.