CYCLONEPROJECT - Fotolia

RTSI: Das SOC von morgen schafft Sicherheit in Echtzeit

Unternehmen brauchen moderne Cyber-Defence-Zentren. Simultane Analytik und Erkennung von Unregelmäßigkeiten in Echtzeit sind gefordert.

Datendiebstahl, Erpressung, Manipulationen, Sabotage und Spionage – Cyberattacken in all ihren Facetten nehmen stetig zu. Oft mit gravierenden Folgen. Zur Abwehr ist eine Sicherheitsintelligenz nötig, die Angriffe in Echtzeit entdeckt und wirksam eindämmt.

Cyberangriffe sind häufig sehr komplex gestaltet und langanhaltend. Zudem erfolgen sie auf mehreren Ebenen gleichzeitig. Die Geschädigten entdecken sie, wenn überhaupt, oft erst sehr spät. Gerade die zunehmende Vernetzung der Industrie öffnet Angreifern Tür und Tor. Unternehmen, die sich zuverlässig gegen die mannigfaltigen Bedrohungen aus dem Web schützen wollen, müssen gezielt spezialisierte Kompetenzteams aufbauen und fördern. 

Kompetenzzentren für Cybersicherheit aufbauen

Größere Unternehmen verfügen heute häufig über ein sogenanntes Security Operation Center, kurz SOC. Dieses gilt es zu einem Cyber-Defence-Zentrum auszubauen. Hier realisieren und koordinieren Spezialisten alle Aktivitäten, mit denen Firmen Cyberangriffe rechtzeitig erkennen, um ihnen vorzubeugen oder zumindest wirksam zu begegnen.

Ein solches Zentrum aufzubauen ist jedoch weder einfach noch günstig. IBM hat hierzu Best-Practice-Regeln aufgestellt, die anderen Unternehmen bei der Implementierung helfen können: Zunächst müssen die Mitarbeiter im Cyber-Defence-Zentrum bei der Frage nach den Risiken nicht mehr die Technik in den Vordergrund stellen, sondern die Business-Perspektive einnehmen. Welche geschäftskritischen Werte gilt es besonders zu schützen? Diese Frage sollte eher die Geschäftsführungsebene beantworten als allein die IT-Abteilung.

Die Aufgabe der Cybersecurity-Spezialisten besteht primär darin, die zunehmend intelligenteren Taktiken, Werkzeuge und Techniken der Angreifer zu analysieren und im Blick zu behalten. Sie müssen proaktiv die von der Unternehmensleistung als kritisch eingestuften Werte beschützen. Dabei sollten sie immer davon ausgehen, dass das Netzwerk bereits gehackt wurde. Sie müssen auch bereits stattfindende Attacken aufdecken und abwehren, statt schlicht den nächsten Alarm abzuwarten.

Im Idealfall steht ein standardisierter Maßnahmenplan bereit, der schnelles Handeln im Notfall ermöglicht und Fehler durch etwaige Panikreaktionen verhindert. Nach jedem Angriff erfolgt eine abschließende Evaluation der Maßnahmen und ihrer Wirksamkeit.

Managed Services nutzen

Allerdings kann ein Unternehmen kaum alle Verteidigungsmaßnahmen im Cyberspace im Alleingang umsetzen. Die rasante Entwicklung und Zunahme der Bedrohungen macht es nahezu unmöglich, eigenständig auf dem neuesten Stand zu bleiben. Viele Gefahren lassen sich zudem nur von außerhalb der eigenen Mauern aufspüren und analysieren. Abhängig von der Organisation, den Prozessen und der Technologien empfiehlt es sich daher, bestimmte Sicherheitsaufgaben auszulagern und aktuelles Wissen einzukaufen. Managed Services sind ein essenzieller Bestandteil der Cybersicherheit.

Das SOC muss zudem vollständig in die Infrastruktur und die Prozesse des gesamten Unternehmens eingebettet sein, um quasi automatisch auf Vorfälle reagieren zu können. Die verwendeten Technologien müssen hierzu angemessen auf neue Herausforderungen reagieren können. Klassisches Security Information and Event Management (SIEM) und Systeme für die Perimetersicherheit – Firewalls, IDS und so weiter, reichen alleine nicht mehr aus. Insbesondere für unstrukturierte Daten sind die genutzten Technologien oft nicht flexibel genug. SIEM kommt etwa immer erst nach einem Vorfall zum Tragen.

Bedarf an Echtzeit-Sicherheit steigt

Der Fokus muss sich stärker auf die simultane Analyse und das Entdecken von Unregelmäßigkeiten im Netz und beim Nutzerverhalten in Echtzeit beziehen. Damit steigt der Bedarf für Real-Time Security Intelligence (RTSI). Geeignete Lösungen kombinieren fortgeschrittene analytische Fähigkeiten mit Managed Services.

„RTSI-Lösungen sind heute noch nicht ausgereift. Es lässt sich schwer vorhersagen, in welche Richtung sich der Markt weiterentwickeln wird.“

Martin Kuppinger, KuppingerCole Research

dddd

RTSI erkennt Bedrohungen nahezu in Echtzeit. Dies ermöglicht es, Maßnahmen zu ergreifen, bevor größerer Schaden entsteht. Die Lösungen nutzen unter anderem Big-Data-Analysen und Business Intelligence (BI), um die Flut der täglich gesammelten Informationen auf wesentliche Ereignisse zu beschränken. Das reduziert Alarme auf wichtige Einsatzfelder und macht die Zahl der notwendigen Abwehrhandlungen überschaubar. Zudem operiert RTSI mit automatisierten Workflows, um schnell und gezielt auf erkannte Bedrohungen zu reagieren.

RTSI-Lösungen sind heute allerdings noch nicht vollständig ausgereift. Derzeit existieren zahlreiche Angebote, die auf verschiedene Bedürfnisse zugeschnitten sind und unterschiedliche Schwerpunkte auf einzelne Funktionen und Datenquellen setzen. Bis dato lässt sich schwer vorhersagen, in welche Richtung sich der Markt weiterentwickeln wird. Ganzheitliche RTSI-Lösungen verbunden mit Managed Services wären jedenfalls ein großer Schritt für Future SOCs. So viel ist sicher.

Über den Autor:
Wer mehr zum Thema erfahren möchte, findet auf den Seiten von KuppingerCole hierzu eine umfassende Advisory Note.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close