Wer erfolgreich sein will, braucht einen guten Plan. Das gilt nicht nur im Sport. Bei der Abwehr von digitalen Angriffen hilft ein fundierter „Spielplan“ auch. Wird der noch von Security-Profis verwaltet, umso besser.
„Wenn du auf das Schlimmste vorbereitet bist, bist du vorbereitet.“ Dieses Zitat von José Mourinho, dem amtierenden Trainer des AS Rom und ehemaligem FC Chelsea und Real Madrid Coach stammt aus dem Sport, könnte jedoch genauso von einem IT-Security-Experten sein.
Wie im sportlichen Wettbewerb muss man sich beim Kampf gegen Hacker auf den Gegner vorbereiten und die Spielzüge immer wieder anpassen. Die Parallelen zum Sport enden hier nicht. So wie Playbooks beim Fußball oder American Football als Anleitung für die Spieler genutzt werden, greift auch die IT auf „Spielzugsammlungen“ zurück.
Handlungsempfehlungen für das SOAR
Viele Unternehmen haben ein Security Information and Event Management System (SIEM). Es überprüft Logdaten angeschlossener Systeme und meldet Anomalien an die IT-Abteilung. Zwar ist nicht jede davon sicherheitsrelevant, doch um der IT bei täglich Tausenden von Meldungen das Leben zu erleichtern, kann die Reaktion auf diese Anomalien automatisiert werden. Dabei kommen die Playbooks ins Spiel.
In den Playbooks haben Security-Experten Reaktionsmuster für verschiedene Szenarien hinterlegt. Auf diese „Spielzüge“ greift eine Security Orchestration, Automation and Response (SOAR)-Lösung zurück, um Problemen angemessen zu begegnen. Wenn das SOAR zum Beispiel eine mögliche Ransomware-Bedrohung vom SIEM gemeldet bekommt, „schlägt“ es im Playbook „nach“, wie ein Konter gegen die Attacke ablaufen soll.
Der initiale Alarm definiert, welche Schritte eingeleitet werden. Das SOAR hat normalerweise mehrere Handlungsmöglichkeiten zur Auswahl, um festzustellen, was anliegt. Nach der ersten Reaktionsphase muss das System dann entscheiden, ob eine Gefahr besteht und welches Schadenspotenzial gegeben ist.
Ist die Bedrohung echt, kann das SOAR entweder automatisiert weiterarbeiten oder einen Menschen hinzuziehen. Dieser bestimmt ab dann das weitere Vorgehen. Geringfügige Eingriffe macht das SOAR selbstständig.
Die IT kann sich auf das Wesentliche konzentrieren
Der Vorteil der Playbooks ist klar ersichtlich: Sie entlasten die IT-Abteilung. Die Security-Programme filtern Ereignismeldungen und reagieren zum Teil selbstständig. So müssen ITler sich nicht mit repetitiven Aufgaben abmühen und werden erst hinzugezogen, wenn ihre Expertise von Nöten ist.
Gerade für Mittelständler lohnt sich das finanziell. Denn aufgrund des Fachkräftemangels wird es zunehmend schwieriger, IT-Personal zu finden. Es ist also im Interesse der Unternehmen, ihre Fachkräfte nicht unnötig mit der Überprüfung Tausender Anomalie-Meldungen zu belasten. Dies übernimmt das SOAR automatisiert, sodass die Experten sich auf das Beheben relevanter Sicherheitsrisiken konzentrieren können. Das spart Zeit und Ressourcen.
Je besser die Threat-Intelligence-Datenbank, desto stärker der Game Plan
Im Sport ist ein Playbook nur so gut wie die Weitsicht und Erfahrung des Coaches, der es erstellt. Auch hier gibt es wieder eine Parallele zum Security-Playbook. Wie gut es funktioniert, hängt von der Threat-Intelligence-Datenbank ab, auf der es basiert.
In solchen Datenbanken hinterlegen Security-Experten Informationen zu allem, was zum Erkennen und zur Abwehr von digitalen Angriffen nötig ist. Je aktueller diese Sammlung ist, desto effektivere „Spielzüge“ lassen sich damit erstellen.
Der Aktualisierungszeitraum der Datenbanken begrenzt die automatisierte Reaktion auf Hackerattacken. Wenn eine neue Angriffsmethode aufkommt oder eine Schwachstelle in einer Softwarearchitektur festgestellt wird, dauert es selbst im besten Fall einige Zeit, sich darauf einzustellen. Es ist also wichtig, sich stets auf dem Laufenden zu halten.
Wem das zu aufwendig oder zu komplex ist, dem sei Managed Detection & Response (MDR) empfohlen. Die Schadensabwehr wird hier an einen Dienstleister wie indevis abgegeben. Dessen Security-Experten greifen ein, wenn das SOAR im Unternehmen anschlägt und kümmern sich auch um die Threat-Intelligence-Datenbank.
Fazit
Cybersicherheit kommt heute nicht mehr ohne Automatisierung aus. Ein SOAR mit konsequent aktualisierten Playbooks, verwaltet von Security-Experten, ist ein guter Game Plan. Einen hundertprozentigen Sicherheitsgaranten gibt es zwar nie, aber im Kampf gegen Hacker sind Unternehmen so hochprofessionell aufgestellt und entlasten ihr eigenen IT-Mitarbeiter.
Bildquelle: stock.adobe.com-fgnopporn
