Gartner-Einblicke in das Incident-Response-Management

Wenn Sie diesen Blog in den letzten Monaten regelmäßig besucht haben, wissen Sie, dass wir die Informationssicherheit an einem entscheidenden Wendepunkt sehen. Jahrelang haben sich Unternehmen stark auf Erkennungslösungen verlassen, die zwar effektiv sind, aber für die meisten Security Operations Center (SOCs) zu viele Warnmeldungen generieren, um sie manuell zu bearbeiten; unweigerlich geht dabei etwas durch. Daher sind wir überzeugt, dass Unternehmen sich nur dann effektiv schützen können, wenn sie sich stärker auf das Incident-Response-Management konzentrieren.

Wie sich herausstellt, stehen wir mit unserer Sichtweise nicht allein da. Auch Gartner, das weltweit führende IT-Marktforschungsunternehmen, plädiert nun für einen umfassenderen Ansatz in der Cybersicherheit. Im vergangenen Jahr veröffentlichten die Gartner-Analysten Neil MacDonald und Peter Firstbrook eine Studie mit dem Titel “Designing an Adaptive Security Architecture for Protection From Advanced Attacks”, in deren Zusammenfassung Folgendes festgehalten wurde:

“Unternehmen verlassen sich zu stark auf Blockierungs- und Präventionsmechanismen, deren Wirksamkeit gegen fortgeschrittene Angriffe abnimmt. Umfassender Schutz erfordert einen adaptiven Schutzprozess, der prädiktive, präventive, detektive und Reaktionsfähigkeiten integriert.” ¹

Der Trend hin zu einem effektiven Incident-Response-Management lässt sich auch bei einem Blick auf die Agenda der bevorstehenden Firmenveranstaltung beobachten. Gipfeltreffen für Sicherheit und Risikomanagement. Es listet zahlreiche Themen im Zusammenhang mit der Reaktion auf Sicherheitsvorfälle auf – einige davon haben wir bereits in diesem Blog behandelt – darunter:

• Nutzung von Bedrohungsinformationen zur Reaktion
• Wie die Internet der Dinge wird sich auf die Informationssicherheit auswirken
• Der Bedarf an neuen Sicherheitsarchitekturen, die den Informationssicherheitslebenszyklus vervollständigen

Da ein angesehenes Unternehmen wie Gartner das Incident-Response-Management befürwortet, werden in den nächsten Jahren zweifellos zahlreiche Automatisierungstools und -lösungen für diesen Bereich auf den Markt kommen. Bevor CIOs oder CISOs jedoch in solche Tools investieren, sollten sie genau wissen, wie ihre SOCs aktuell funktionieren – welche Prozesse ihre Experten zur Reaktion auf Warnmeldungen nutzen, welche Kennzahlen für sie am wichtigsten sind und wo die größten Probleme liegen. Nur mit diesen Informationen können Entscheidungsträger sicherstellen, dass sie in ein Tool investieren, das ihre spezifischen Anwendungsfälle löst.

An diesem Punkt können CIOs und CISOs eine faktenbasierte Entscheidung darüber treffen, welche Lösung ihren Anforderungen an die Reaktion auf Sicherheitsvorfälle am besten entspricht, und zuversichtlich in die Zukunft blicken.

¹ Gartner, Entwurf einer adaptiven Sicherheitsarchitektur zum Schutz vor fortgeschrittenen Angriffen, Neil MacDonald, Peter Firstbrook, 12. Februar 2014, aktualisiert am 19. November 2014