Alarmierende Untersuchungen zeigen, welchem Stress und welcher Belastung ein durchschnittliches Team im Bereich der IT-Security tagtäglich ausgesetzt ist. Nicht weniger als 70% der Teams berichten, dass sie sich von Sicherheitswarnungen emotional überfordert fühlen. Diese Warnungen kommen in einer solchen Menge, Geschwindigkeit und Intensität, dass sie zu einer extremen Stressquelle werden. Und zwar so extrem, dass das Privatleben der Mitarbeiter negativ beeinflusst wird. Die Überlastung mit Warnmeldungen ist schlecht für diejenigen, die im Bereich der Cybersicherheit arbeiten. Aber noch schlimmer ist es für alle, die auf Cybersicherheit angewiesen sind.
Dies ist ein gewaltiges Problem in der Branche, doch nur wenige Menschen erkennen es überhaupt an, geschweige denn, dass sie sich damit auseinandersetzen. Wir möchten mit diesem Artikel mehr über diese Thematik erklären.
Zunächst wird die Ursache des Problems und das ganze Ausmaß seiner Folgen beleuchtet, und dann werden einige Möglichkeiten aufgezeigt, wie Meldungen priorisiert behandelt und unwichtige herausgefiltert werden können.
Der Leitfaden enthält Tipps zur Verringerung von Warnmeldungen durch Automatisierung und gibt Hinweise für Unternehmen, die eine Auslagerung ihrer Managed Detection and Response (MDR) in Erwägung ziehen. Der Leitfaden zeigt auch, wie Sicherheitsteams das Netz der für die Automatisierung erforderlichen Sicherheitstools durchforsten können.
Die Überlastung mit Alarmen lösen
Sicherheitsteams jeder Größe müssen die Anzahl der Warnmeldungen reduzieren und die Reaktion auf Warnmeldungen verfeinern, um Maßnahmen zu ergreifen, bevor der Schaden entsteht. Im Folgenden finden Sie die im Leitfaden beschriebenen Taktiken, mit denen IT-Verantwortliche, die Zahl der Warnmeldungen reduzieren und auf Tausende von Warnmeldungen reagieren können.
1. Erwägen Sie Outsourcing
Das Outsourcing von Managed Detection and Response (MDR) an professionelle IT-Partner ist eine gute Option, wenn Sie schnell skalieren müssen und nicht über die nötigen Ressourcen verfügen. MDRs können helfen, Stress zu reduzieren und Ihrem Team Zeit zurückzugeben. Eine weitere Überlegung sind die Kosten. Sie müssen auch Zeit investieren, um einen MDR zu finden, der für Ihr Unternehmen geeignet ist. Wie der Leitfaden zeigt, kann Outsourcing durchaus eine Bereicherung sein. Es ist jedoch nie eine alleinige Lösung.
2. Strategie zur Reduzierung von Warnmeldungen
Es beginnt mit einer Strategie. Sehen Sie sich Ihre vorhandene Technik an und stellen Sie sicher, dass Sie deren Einstellungen optimiert haben und Ihre Tools kalibriert sind. Letztendlich geht es nicht so sehr darum, die Anzahl der Alarme zu reduzieren, sondern vielmehr darum, wie Sie Ihr Team darauf vorbereiten, zu reagieren.
Finden Sie zum Beispiel Wege, um die Untersuchung von Alarmen zu beschleunigen, die Sie nicht eliminieren oder zusammenfassen können. Eine Möglichkeit besteht darin, Alarme mit bekannten Aktivitäten zu korrelieren, z.B. wenn eine geplante Patch-Installation die Sicherheitstools in großen Mengen deaktiviert, während das System recycelt wird. Zu jedem anderen Zeitpunkt würde das Sicherheitsteam wissen wollen, dass die Sicherheitstools offline gehen, aber während des Patchens gibt es eine einfache Erklärung. Wenn Sie die Tools so kalibrieren, dass sie bei bekannten Ereignissen oder zu geplanten Zeiten „leise“ Alarm schlagen, hat das Sicherheitsteam mehr Zeit, sich auf die tatsächlichen Notfälle zu konzentrieren.
3. Automatisierte Reaktion einführen
Selbst die schlanksten Sicherheitsteams können Bedrohungen bewältigen, wenn sie Automatisierung einsetzen. Die Automatisierung ermöglicht es den Sicherheitsteams, in großem Umfang und schnell auf Warnmeldungen zu reagieren. Eine der größten Herausforderungen bei der Automatisierung ist jedoch das Wissen, wie man sie richtig einrichtet.
Einer der Nachteile der automatisierten Reaktion, die wir vermeiden müssen, ist, dass eine automatisierte Reaktion, insbesondere wenn sie durch maschinelles Lernen gesteuert wird, sowohl bösartigen als auch legitimen Datenverkehr blockiert. Diese unvorhersehbaren Fälle können sowohl für das Sicherheitsteam als auch für die Benutzer im gesamten Unternehmen ärgerlich sein. Probleme können auch schwer rückgängig zu machen sein, wenn die von der Automatisierung durchgeführten Aktionen nicht sorgfältig dokumentiert wurden. Der Leitfaden schlägt neue Wege vor, um auch dieses Problem zu lösen.
4. Verwenden Sie Tools, die die Automatisierung erleichtern
Die Einrichtung der Automatisierung ist kein Zuckerschlecken, denn es gibt eine Vielzahl von Sicherheits- und IT-Lösungen, die integriert werden müssen (z.B. IPS, NDR, EPP, Firewalls, DNS-Filterung usw.). Entscheidend ist, dass Sie wissen, wie Sie all diese Tools an einem Ort vereinen können – und der Leitfaden zeigt neue Wege auf, wie Sie genau das tun können.