Erreichen von Cyberresilienz durch Situationsbewusstsein

Unvollständige Informationen können ein Hindernis für effektive Cybersicherheit darstellen. Beispielsweise erhält ein Security-Operations-Team (SecOps) eine Warnung von einer Firewall, kann aber nicht ohne Weiteres feststellen, ob es sich um einen bedeutungslosen Ping oder den Beginn eines schwerwiegenden Vorfalls handelt. Dies kann insbesondere zu Beginn schwierig sein. Fehlentscheidungen können sehr kostspielig sein. Gleichzeitig bindet die zu hohe Investition von Energie in Fehlalarme unnötig Ressourcen.

Situationsbewusstsein bietet eine Lösung für dieses Dilemma. Situationsbewusstsein bedeutet, zeitnah und präzise über verschiedene Informationsströme im Zusammenhang mit einem potenziellen Vorfall informiert zu sein. Dies kann die Koordination zwischen Sicherheitssystemen erfordern. Ein ausgeprägtes Situationsbewusstsein hilft dem Team, sich nicht in Fehlalarmen zu verlieren und gleichzeitig ernsthafte, aber verborgene Bedrohungen im Blick zu behalten. Es ermöglicht der Organisation, Cyberangriffen widerstandsfähig zu begegnen.

Cybersicherheitsexperten sind sich einig, dass Cyberresilienz höchste Priorität hat.

Eine kürzlich abgehaltene Podiumsdiskussion mit Regierungsbeamten im Bereich der Cybersicherheit zeigte, wie führende Cybersicherheitsexperten auf die aktuelle Bedrohungslage im Cyberraum reagieren. An der Veranstaltung nahmen Vertreter des Büros des Direktors des Nationalen Nachrichtendienstes, der Transportsicherheitsbehörde (TSA) und weiterer Institutionen teil.

Cyberresilienz ist wohl ihr wichtigstes Ziel. Im Alltag bedeutet Resilienz, sich schnell von Rückschlägen wie Verletzungen erholen zu können. Die Diskussionsteilnehmer beschrieben Cyberresilienz als “die Nutzung von Situationsbewusstsein, um einen Angriff frühzeitig abzuwehren oder nach einem Sicherheitsvorfall schnell wieder zum Normalzustand zurückzukehren”. Ziel ist es laut der Expertenrunde, “auf alle Ereignisse entlang der Cyber-Kill-Chain vorbereitet zu sein – von der Erkennung einer Bedrohung bis hin zu möglichen Schäden oder Datenverlusten”.”

Resilienz ist ganzheitlich. Sie geht über die in Service-Level-Agreements (SLAs) definierte Standard-Wiederherstellungszeitvorgabe (RTO) hinaus. RTOs sind zwar notwendig und wichtig, stellen aber im Grunde nur Datenpunkte dar, die definieren, wie gut ein bestimmtes System geschützt ist.

Resilienz spiegelt die gesamte Sicherheitslage einer Organisation wider, ihre Fähigkeit, einen Angriff zu überstehen und abzuwehren – oder besser noch, ihn ganz zu vermeiden. Resilient zu sein bedeutet, das große Ganze im Blick zu haben – situationsbewusst zu sein.

In diesem Sinne ist Lagebewusstsein sowohl lokal als auch global. Cybersicherheitsmanager müssen sich ihrer spezifischen Situation bewusst sein, aber auch der Gesamtheit der Cyberbedrohungen. Dies kann die Kommunikation mit anderen Organisationen und den strukturierten Austausch von Sicherheitsinformationen erfordern.

SecOps-Teams benötigen sowohl ein lokales als auch ein globales Lagebewusstsein im Bereich der Cybersicherheit.

Wie führende Cybersicherheitsexperten der Bundesregierung Lagebewusstsein aufbauen

Situationsbewusstsein muss schnell und möglichst zeitnah erfolgen. Die Diskussionsteilnehmer erörterten, wie sie eine schnelle Reaktion ermöglichten.

Wally Coggins, Direktor des Intelligence Community Security Coordination Center im Büro des Direktors des Nationalen Nachrichtendienstes, geht die schnelle Reaktion durch Lagebewusstsein auf drei Arten an:

1. Er automatisiert den Datenfluss zwischen seinem Sicherheitskoordinierungszentrum und denen anderer Behörden. Ziel ist es, alle Beteiligten so schnell wie möglich über Schwachstellenmanagement, Endpunktsicherheit und Sicherheitsvorfälle zu informieren.
2. Er bringt Menschen mit unterschiedlichem Hintergrund und aus verschiedenen Bereichen der Nachrichtendienste zusammen, um sich auf Cybersicherheit zu konzentrieren. Beispielsweise vernetzt er Experten für Spionageabwehr und Cybersicherheit in einer analytischen “Zelle”, die gemeinsam Insiderbedrohungen aufdeckt.
3. Er führt Übungen zur Cybersicherheit durch. Dazu gehören beispielsweise Cyber-“Kriegsspiele”, um die Reaktionszeiten und Fähigkeiten der Cybersicherheitsmitarbeiter zu verbessern.

Ziel dieser Schritte ist der Aufbau einer Cyberabwehrfähigkeit, die durch ein umfassendes Lagebild im Bereich der Cybersicherheit für Resilienz sorgt.

Sicherheitsautomatisierung und -orchestrierung (SAO) und Cybersicherheitslagebewusstsein

Schnelle Reaktionsfähigkeit ist eine wesentliche Voraussetzung für Cyberresilienz durch Lagebewusstsein. Dies gilt auch für die Orchestrierung und Automatisierung von Sicherheitsprozessen. Eine zu starke Abhängigkeit von manuellen Maßnahmen zur Reaktion auf Sicherheitsvorfälle beeinträchtigt das Lagebewusstsein. Dies unterstreicht die Notwendigkeit einer Lösung wie Sicherheitsautomatisierung und -orchestrierung (SAO).

Automatisierung

Alle Regierungsbeamten im Gremium nutzen irgendeine Art von SAO-Tool. Diese Lösungen automatisieren die traditionell langsamen, manuellen Analystentätigkeiten und Notfallpläne. Die Lösungen können Sicherheitsfallmanagementaufgaben über mehrere Systeme, Personen und Organisationen hinweg orchestrieren. Sie ersetzen manuelle Prozesse durch blitzschnelle Entscheidungsfindung.

Detektion und Analyse

Eine SAO-Lösung optimiert die Bedrohungserkennung und -analyse. Sie kann beispielsweise so konfiguriert werden, dass sie automatisch auf Warnmeldungen eines Intrusion-Detection-Systems reagiert. Nach Eingang der Warnmeldung kann die SAO-Lösung die Details automatisch an ein Threat-Intelligence-System übermitteln, ein Ticket in einem System wie JIRA erstellen und E-Mails an relevante Stakeholder senden.

Bedrohungsanalyse

Größer Bedrohungsanalyse verbessert das Lagebewusstsein im Bereich Cybersicherheit und die Widerstandsfähigkeit gegenüber Bedrohungen. Da die SAO-Lösung automatisch auf Warnmeldungen reagiert, hält sie das Sicherheitsteam stets über seine Aktivitäten informiert. So kann das Team die Lage stets im Blick behalten und schnell auf Bedrohungen reagieren. Die Lösung kann darüber hinaus weitere Aufgaben übernehmen, die für ein umfassendes Lagebewusstsein notwendig sind. Dazu gehören die Datenerfassung, Standardisierung und Workflow-Analyse. Einige SAO-Lösungen können lernen, die Vorgehensweisen des Sicherheitsteams bei verschiedenen Bedrohungsreaktionen zu emulieren. Das Tool erfasst das Wissen und die bewährten Verfahren des Sicherheitsteams. Diese Funktion nutzt die Kompetenzen des Teams optimal und gibt ihm mehr Zeit, sich auf komplexe Fragestellungen anstatt auf wiederkehrende administrative Aufgaben zu konzentrieren.

Protokolle und Berichte

SAO-Lösungen erstellen Protokolle ihrer Aktivitäten. Diese Protokolle können anschließend analysiert und zwischen Teams und Organisationen geteilt werden. Durch die Auswertung der Protokolle und vergangener Fallbearbeitungshistorien lassen sich Aspekte des Sicherheitsmanagements verbessern, die das Lagebewusstsein, die Reaktionsgeschwindigkeit und die Resilienz erhöhen.

Verbessern Sie das Lagebild im Bereich Cybersicherheit mit Swimlane

Swimlane liefert Sicherheitsautomatisierung Und Orchestrierung Es dient der Verbesserung des Lagebewusstseins und der Anreicherung der den Analysten präsentierten Lageinformationen. Es ist einfach zu implementieren, zu verwenden, zu verwalten und zu skalieren und nutzt objektorientierte Methoden, die es einem Sicherheitsteam ermöglichen, die Fähigkeiten seiner bestehenden Sicherheitslösungen optimal zu nutzen.

Möchten Sie mehr darüber erfahren, wie Sicherheitsautomatisierung und -orchestrierung Ihrem Unternehmen helfen können? Laden Sie unser E-Book herunter – 8 Anwendungsfälle aus der Praxis für Sicherheitsorchestrierung, -automatisierung und -reaktion.