IT Security September/Oktober 2023
Top-Cyberschutz – Threat Intelligence und All-in-One-Ansatz Das perfekte Ziel für Cyberkriminelle – Warum man unbedingt auf Security-Services setzen sollte Cloud-Sandboxing – Bedrohungen frühzeitig erkennen Security Orchestration perfektioniert – Für einen besseren Schutz sorge
Top-Cyberschutz – Threat Intelligence und All-in-One-Ansatz
Das perfekte Ziel für Cyberkriminelle – Warum man unbedingt auf Security-Services setzen sollte
Cloud-Sandboxing – Bedrohungen frühzeitig erkennen
Security Orchestration perfektioniert – Für einen besseren Schutz sorge
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
68 | <strong>IT</strong> SECUR<strong>IT</strong>Y<br />
<strong>Security</strong> Orchestration<br />
perfektioniert<br />
SOC, SIEM, SOAR, PLAYBOOKS, MDRS SORGEN FÜR<br />
EINEN BESSEREN SCHUTZ<br />
Das Feld der Informationssicherheit<br />
hat sich in den letzten<br />
Jahren stark gewandelt<br />
und ist heutzutage<br />
komplexer denn je. Zusammen mit<br />
der stark gewachsenen Bedrohungslage<br />
ist auch die Anzahl und Komplexität<br />
der eingesetzten <strong>Security</strong>-Produkte gestiegen.<br />
In vielen Unternehmen haben<br />
sich daher interne <strong>Security</strong> Operations<br />
Centern (SOC) als zentrale Stelle zur<br />
Sicherstellung der Informationssicherheit<br />
und Eindämmung aufkommender<br />
Vorfälle etabliert – oder es wird auf die<br />
Dienstleistung Dritter zurückgegriffen.<br />
Es verwundert nicht, dass SOC-Mitarbeiter<br />
heute mit vielen verschieden Produkte<br />
arbeiten. Sie müssen dabei auf<br />
eine Vielzahl von Informationsquellen<br />
zurückgreifen und in der Lage sein,<br />
Sachverhalte schnell korrekt zu bewerten.<br />
Eine der größten Herausforderungen<br />
besteht darin, sicherheitsrelevante<br />
Ereignisse mit der angemessenen Priorität<br />
zu bearbeiten und wertvolle Kapazitäten<br />
nicht für Events mit geringer Relevanz<br />
zu binden. Trotzdem muss man<br />
<strong>Security</strong> ständig hinterfragen und neu<br />
denken.<br />
Kampf gegen die Alarmmüdigkeit<br />
Um die anfallende Daten- und Ereignisflut<br />
nicht vollständig manuell analysieren<br />
zu müssen, haben sich zentrale <strong>Security</strong><br />
Information and Event Management<br />
(SIEM)-Systeme etabliert. Solche<br />
SIEM-Systeme sammeln Daten aus verschiedenen<br />
Quellen innerhalb einer <strong>IT</strong>-<br />
Umgebung, etwa Logdaten und Ereignisdaten<br />
von Windows und Linux-Systemen,<br />
Firewalls, Anti-Virus-Lösungen und<br />
Anwendungen. Die besondere Stärke<br />
eines SIEM-Systems ist die Korrelation<br />
dieser Daten aus den unterschiedlichsten<br />
Quellen. Anhand vorher festgelegter<br />
Parameter sind SIEM-Systeme sogar<br />
in der Lage, Alarme zu generieren.<br />
SOC-Mitarbeiter werden aufgrund solcher<br />
Alarme tätig und bearbeiten diese<br />
Ereignisse, nach den im Unternehmen<br />
festgelegten Verfahrensabläufen. Werden<br />
die Parameter zu lose definiert,<br />
können sicherheitsrelevante Ereignisse<br />
unerkannt bleiben. Eine zu enge Definition<br />
wiederum kann zu einer hohen Anzahl<br />
von Fehlalarmen führen. Das große<br />
Problem dabei: Fehlalarme binden<br />
Arbeitskraft und können dazu führen,<br />
dass echte kritische Ereignisse nicht<br />
rechtzeitig die notwendige Aufmerk-<br />
<strong>September</strong>/<strong>Oktober</strong> <strong>2023</strong> | www.it-daily.net