19. August 2015
Wie man mehr aus bestehenden Cybersicherheitstools herausholen kann, anstatt sie zu ersetzen
Mehr lesen
Die Fließbandarbeiter der Ford Motor Company wenden die Prinzipien des “Scientific Management” von Frederick Taylor an einer Automobilmontagelinie an.
Sie denken wie Frederick Taylor, nicht wahr? “Moment mal”, protestieren Sie. “Wer, was?” Der Name sagt Ihnen vielleicht nichts, aber seine Denkweise, die 1909 erstmals vorgestellt wurde, hat wahrscheinlich einen größeren Einfluss auf Ihr IT-Sicherheitsteam, als Ihnen bewusst ist.
Taylor gilt als Begründer des “wissenschaftlichen Managements”, das davon ausging, dass es nur einen “richtigen Weg” zur Ausführung einer Aufgabe gibt. Henry Ford, der Vater der Massenproduktion, war einer seiner größten Bewunderer.
“Der ”Taylorismus“ war der Vorläufer der heutigen Methoden zur Geschäftsprozessmodellierung. Er umfasste detaillierte Studien von Bewegung und Zeit, bei denen Wissenschaftler mit Stoppuhren Arbeiter bei der Ausführung ihrer Aufgaben beobachteten. Nach einer wissenschaftlichen Analyse empfahl der ”Zeitstudienexperte“ das korrekte Vorgehen, das niemals geändert werden durfte. Ob zum Guten oder zum Schlechten, wir leben noch immer in Taylors Welt.
IT-Sicherheits-Workflows
IT-Sicherheits-Workflows (ein Begriff, der auf den Taylorismus zurückgeht) basieren auf der Idee, dass jeder Prozessschritt eine bestimmte Zeit in Anspruch nehmen sollte. Im Alarmmanagement beispielsweise benötigt man einige Minuten für die Bedrohungsanalyse, eine Minute für die Ticketerstellung, eine Minute für den E-Mail-Versand usw. Je mehr Schritte erforderlich sind, desto mehr Zeit wird benötigt. Dauert die Bedrohungsanalyse fünf Minuten, kann ein Teammitglied etwa 12 Analysen pro Stunde durchführen. Bei 1.000 Bedrohungen pro Tag sind somit etwa 84 Personenstunden täglich für deren Bearbeitung erforderlich (d. h. ein Team von 10 Vollzeitkräften).
Wenn Sie, wie viele große Organisationen, täglich 10.000 Bedrohungen erhalten, werden Sie viele davon ignorieren müssen. Denn selbst wenn Sie über das Budget für 100 Sicherheitsmitarbeiter verfügen, ist es unwahrscheinlich, dass Sie 100 qualifizierte Mitarbeiter einstellen und halten können. Laut einer Analyse der Statistiken des Bureau of Labor Statistics durch die Peninsula Press aus dem Jahr 2015 gibt es derzeit tatsächlich … über 209.000 unbesetzte Stellen im Bereich Cybersicherheit in den USA. allein. Die Antwort auf vermehrte Sicherheitswarnungen kann nicht immer darin bestehen, mehr Personal einzustellen.
Effizienz im Bereich der Sicherheitsoperationen ist ein angemessener Ansatz des Taylorismus – allerdings mit gewissen Grenzen. Ein Prozess kann innerhalb eines bestimmten Zeitraums nur eine bestimmte Anzahl von Malen durchgeführt werden. Heutzutage haben wir Taylors Konzepte mit Formulierungen aus der Technologiebranche aktualisiert, wie etwa “Ich habe Bandbreite” oder “Mir gehen die Zyklen aus”.”
Automatisierte Störungsbehebung für manuelle, mühsame Aufgaben
Automatisierte Reaktion auf Vorfälle Und Sicherheitsorchestrierung Die Effizienz Ihres Sicherheitsteams lässt sich durch die Automatisierung mühsamer und zeitaufwändiger Sicherheitsmanagementaufgaben und die zentrale Datenzusammenführung aus verschiedenen Tools deutlich steigern. So kann Ihr Team bei Bedarf schnell fundierte Entscheidungen treffen. Das Sicherheitsteam kann nun seine Alarmreaktionsprozesse innerhalb der Software definieren, modellieren und automatisieren.
Mit automatisierter Reaktion auf Sicherheitsvorfälle kann Ihr Sicherheitsteam automatisch Folgendes tun:
- Tickets programmatisch öffnen und schließen
- E-Mails an wichtige Stakeholder senden
- Verdächtige E-Mail-Anhänge zur Analyse verarbeiten
- einen Sanierungsplan automatisch ausführen und/oder einen Vorfall zur weiteren Überprüfung kennzeichnen
| Wie besehen | Mit Automatisierung | |
|---|---|---|
| Zeit bis zur Verarbeitung der Benachrichtigung (Stunden) | 0.1 | 0.01 |
| Anzahl der verarbeiteten Benachrichtigungen pro Person/Schicht | 80 | 800 |
Das sind hervorragende Neuigkeiten für IT-Sicherheitsverantwortliche. Wie die Tabelle zeigt, lässt sich die Bearbeitungszeit von Warnmeldungen durch automatisierte Incident-Response und Sicherheitsorchestrierung von 0,1 auf 0,01 Stunden verkürzen. Dadurch erhöht sich die Kapazität des IT-Sicherheitspersonals zur Alarmbearbeitung um das Zehnfache. Die Effizienz des Sicherheitsbetriebs wird gesteigert, und ein Team von 10 Mitarbeitern kann nun 8.000 Warnmeldungen pro Tag bearbeiten.
Bessere Bedrohungsanalysen durch Kontext und Fokus
Die Automatisierung der Reaktion auf Sicherheitsvorfälle steigert die Leistung Ihres Teams – zumindest den reinen Zahlen nach. Frederick Taylor wäre stolz auf die zehnfache Effizienzsteigerung. Ein rein tayloristischer Ansatz im Bedrohungsmanagement vernachlässigt jedoch die mentale Belastung, die mit der Überwachung des Prozesses einhergeht.
Bei einem manuellen Alarmmanagementprozess ist die mentale Belastung enorm. Die Bearbeitung von Sicherheitsalarmen verläuft nicht linear. Vorfälle treten immer wieder auf und ab. Mitarbeiter werden konsultiert und Tickets im Laufe der Zeit angepasst. Die Anzahl der Details und Arbeitsschritte, die IT-Mitarbeiter im Blick behalten müssen, kann exponentiell steigen. Wenn jemand beispielsweise 100 Alarme verfolgt, von denen jeder fünf Bearbeitungsschritte umfasst und drei Stakeholder – beispielsweise mit Input – beteiligt sind, sind das 1.500 Details, die es zu berücksichtigen gilt.
Selbst mit Sicherheitsautomatisierung bleibt die mentale Belastung eine Herausforderung. Wenn jeder Ihrer Mitarbeiter nun 800 Warnmeldungen pro Tag bearbeitet, aber keine effektive Möglichkeit hat, die Vorgänge zu visualisieren oder Folgeprozesse zu verfolgen, werden sie verwirrt und gestresst und treffen Fehlentscheidungen auf Basis unvollständiger oder falscher Daten. Das ist nicht gut.
Einführung von Swimlane für die automatisierte Reaktion auf Sicherheitsvorfälle
Swimlane zentralisiert die Sicherheitsoperationsaktivitäten mit seinem Sicherheitsautomatisierung und -orchestrierung Swimlane bietet eine umfassende Lösung: Es erfasst alle Sicherheitsaufgaben im Unternehmen und integriert sich nahtlos in Ihre bestehenden Sicherheitsanwendungen, um Ihnen einen ganzheitlichen Überblick über Ihre gesamte Sicherheitslage zu ermöglichen. Sowohl Einzelpersonen als auch Teams erhalten zentralen Zugriff auf Fälle, Berichte, Dashboards und Kennzahlen. Dank dieser Zentralisierung und der visuellen Darstellung können Sicherheitsmitarbeiter eine Vielzahl von Warnmeldungen mit allen relevanten Kontextinformationen auf einen Blick verwalten und so fundierte Entscheidungen treffen – alles in einer einzigen Ansicht.
Darüber hinaus ermöglicht Swimlane die zentrale Steuerung all Ihrer Abwehrmaßnahmen, Reaktionen und Berichte. Durch die Arbeit mit Swimlane kann das Sicherheitsteam die Reaktionsgeschwindigkeit auf Bedrohungen beschleunigen, ohne überfordert zu werden.
Swimlane ist die zentrale, automatisierte Lösung für Incident Response und Security Orchestrierung mit einer intuitiven Benutzeroberfläche und flexibler, fortschrittlicher Integration. So bleibt der Alarmmanagementprozess auch bei häufigen Änderungen hochgradig automatisiert. Steigern Sie die Effizienz Ihrer Sicherheitsabläufe mit Swimlane und stellen Sie sicher, dass kein Alarm übersehen wird.
Um herauszufinden, ob Sicherheitsautomatisierung und -orchestrierung für Ihr Unternehmen hilfreich wären, kontaktieren Sie uns unter 1.844.SWIMLANE oder Demo vereinbaren.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español