Verbesserte Erkennung von Bedrohungen durch Integration
Der Wert von Cybersicherheits-Tools kann größer sein als die Summe ihrer Teile - aber nur, wenn sie gemeinsam auf integrierte Weise eingesetzt werden.
Wichtige Punkte
- Umfassende Bedrohungsanalysen erfordern eine Vielzahl von Cybersicherheits-Tools, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten.
- Die Verwendung mehrerer Lösungen führt jedoch zu einer Fülle fragmentierter Daten, die für Cybersicherheitsteams schwer zu interpretieren und zu verarbeiten sind.
- Um den vollen Wert dieser Tools auszuschöpfen, müssen sie integriert werden, damit die Sicherheitsexperten die Punkte miteinander verbinden und das Gesamtbild sehen können.
So viele Tools für die Cybersicherheit, so wenig Zeit. Die Menge und Vielfalt der von diesen Tools generierten Daten kann überwältigend sein. Wie können Sicherheitsteams in Unternehmen all diese Daten sortieren, um die wichtigsten Bedrohungen zu erkennen und zu priorisieren?
Die naheliegende Antwort ist die Integration all dieser Daten, so dass alle Bäume als ein einziger Wald betrachtet werden können.
Ziel sollte es sein, einen einzigen, umfassenden Überblick zu erhalten, der in Echtzeit analysiert werden kann und es dem Sicherheitspersonal ermöglicht, zu verwertbaren Erkenntnissen zu gelangen, ohne sich im Unkraut zu verlieren.
Verteilte Bedrohungsdaten stören das Gesamtbild
Kein einziges Cybersicherheits-Tool kann alles, und eine umfassende Bedrohungserkennung erfordert eine Vielzahl von Sicherheits-Tools, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten. Eine Studie des Ponemon Institute aus dem Jahr 2020 ergab jedoch, dass der Einsatz von mehr Tools für ein Unternehmen von Nachteil ist und dass Unternehmen, die weniger threat detection Tools einsetzen, besser in der Lage sind, einen Angriff zu erkennen und darauf zu reagieren.[1] Weniger ist jedoch nicht immer gleichbedeutend mit mehr. Der Bericht stellte auch fest, dass die Zusammenführung von Daten aus einzelnen Tools die Komplexität der Berichterstattung verringern kann. 63 % der befragten leistungsstarken Unternehmen gaben an, dass die gemeinsame Nutzung von Daten durch verschiedene Tools ihre Fähigkeit zur Reaktion auf Bedrohungen verbessert hat.
Mit anderen Worten, weit verbreitete, unzusammenhängende Daten stellen ein Problem dar, wenn sie nicht richtig integriert werden, und selbst die besten Bedrohungsdaten-Tools können eine Belastung darstellen, wenn sie als eigenständige Inseln zur Erzeugung von Warnungen behandelt werden.
Zu viele Ausschreibungen können sich als kostspielig erweisen
Die zunehmende Anzahl von Warnmeldungen ist für viele Sicherheitsteams eine lästige Realität. Es ist nicht ungewöhnlich, dass manche Organisationen an einem Tag mehr als 100 Warnungen erhalten - oder sogar zehnmal so viele, wenn sie in einem großen Unternehmen arbeiten.[2] Und wie der Junge, der Wolf rief, werden sie bei so vielen Angriffsmeldungen leicht ignoriert.
Dieser Zustand kann sehr kostspielig sein. Eine weitere Studie von Ponemon aus dem Jahr 2015 ergab, dass Unternehmen durchschnittlich 1,27 Millionen US-Dollar pro Jahr verlieren, wenn sie auf ungenaue oder fehlerhafte Warnungen reagieren.[3] Dies ist zum Teil auf die Zeit zurückzuführen, die die Cybersicherheitsexperten verschwenden, die damit beauftragt sind, das ganze Rauschen zu analysieren. In Ermangelung einer integrierten Lösung ist es so, als würde man sie bitten, ein überdimensionales Puzzle zusammenzusetzen, ohne ihnen ein Gesamtbild zur Verfügung zu stellen, auf das sie sich beziehen können. Letztendlich werden sie es vielleicht schaffen - aber das Ergebnis ist weniger sicher, und sie werden sicherlich viel länger brauchen, um die Aufgabe zu bewältigen.
Selbst wenn sie über alle aktuellen Bedrohungslösungen verfügen, ist es für Sicherheitsteams schwierig, den Finger am Puls der Zeit zu behalten, wenn die Daten durch einzelne Adern und nicht durch eine zentrale Arterie geleitet werden. Ohne einen zentralen Knotenpunkt, ein integriertes Dashboard oder einen ähnlichen Berichtsmechanismus bleibt den Teammitgliedern nichts anderes übrig, als von einem Bedrohungsnachrichtendienst zum nächsten zu wechseln. Auf diese Weise bleiben sie im Unkraut stecken und sind nicht in der Lage, ein Angriffsmuster zu erkennen oder herauszufinden, wie ein Eindringling mit dem nächsten zusammenhängen könnte. Auf Bedrohungen können sie nur reagieren, wenn sie auftreten, und sind nicht in der Lage, einen proaktiveren Ansatz zu verfolgen, der voraussieht, woher der nächste Angriff wahrscheinlich kommt.
Bessere Erkennung von Bedrohungen beruht auf Datenintegration
Angesichts der Tatsache, dass die durchschnittliche Zeit bis zur Entdeckung eines Cyberangriffs erstaunliche 56 Tage beträgt,[4] , besteht kaum ein Zweifel daran, dass eine bessere Bedrohungserkennung erforderlich ist. Hier kommen SIEMs, SOARs und APIs ins Spiel, die es ermöglichen, mehrere Threat Intelligence-Lösungen zu integrieren.
Das Sicherheitsinformations- und -ereignis-Management (SIEM) bietet einen Rahmen, um die Eingaben von einzelnen Sicherheitstools in einem einzigen Feed zusammenzufassen. Durch die Aggregation und Korrelation dieser Daten können Ereignisse erkannt werden, die durch die individuelle Überwachung einzelner Tools nicht identifiziert werden können.
Security Orchestration, Automation and Response (SOAR) erweitert die Fähigkeiten eines SIEM-Frameworks durch die Automatisierung der Bedrohungsanalyse und der Reaktion auf Vorfälle. Die Fähigkeit von SOAR, programmatisch zu reagieren, setzt jedoch eine umfassende Datenintegration voraus. Daher werden APIs - insbesondere offene APIs - benötigt, die die Verschmelzung verschiedener Cybersicherheits-Tools und ihrer Berichtssysteme beschleunigen können.
Mithilfe von Softwaretechnologien wie SIEMs, SOARs und offenen APIs können Sicherheitsexperten die kollektive Leistung der besten verfügbaren Threat Intelligence-Tools nutzen und so den Blick von den Bäumen auf den Wald richten.
Die Quintessenz
Angesichts der sich ständig verändernden Cyber-Bedrohungslandschaft ist die Fülle an Tools zur Erkennung von Bedrohungen ein notwendiges Übel. Einzeln verwendet, können diese Tools zu einer Belastung werden, da sie Cybersicherheitsteams dazu zwingen, von einem Berichtssystem zum nächsten zu wechseln und dabei oft das Gesamtbild zu übersehen. Durch die Integration dieser Tools mit Ansätzen wie SIEM, SOAR und offenen APIs können Sicherheitsexperten jedoch die Punkte miteinander verbinden und Bedrohungsmuster erkennen, die sich andernfalls der Erkennung entziehen würden.
Wenn Sie mehr über die Optimierung Ihres Sicherheits-Stacks erfahren möchten, nehmen Sie an der Mimecast SecOps Virtual teil, einer kostenlosen halbtägigen Veranstaltung mit Keynotes und Breakout-Sessions, die am 26. und 27. Januar stattfindet.
[1] The 2020 Cyber Resilient Organization Study , The Ponemon Institute
[2] "56% der großen Unternehmen bearbeiten täglich mehr als 1.000 Sicherheitswarnungen," DarkReading
[3] Die Kosten der Malware-Eindämmung , Das Ponemon Institute
[4] "FireEye Mandiant M-Trends 2020 Report Reveals Cyber Criminals Are Increasingly Turning to Ransomware as a Secondary Source of Income," FireEye
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!