Automatisierung unterstützt eine erfolgreiche Bedrohungsabwehr

Sicherheit

Unternehmen, die Cyber-Bedrohungen besonders erfolgreich bekämpfen, kombinieren hochgradige Prozessautomatisierung bei der Reaktion mit einer routinemäßige Datenerfassung und -analyse, um den Angreifern einen Schritt voraus zu sein.

Bei einer umfangreichen Untersuchung von McAfee (zu Details des Untersuchungsdesigns siehe Teil 1 dieser Serie) stellte sich unter anderem heraus, dass Unternehmen mit einem besonders hohen Reifegrad ihres Sicherheitskontrollzentrums ihre Abwehrprozesse, die Datenerfassung und -analyse weitgehend automatisieren sowie eine vielfältige Tool-Landschaft besitzen.

Unternehmen eines niedrigeren Reifegrades hinsichtlich ihres Sicherheitskontrollzentrums verwenden dagegen eher eine ad-hoc-Herangehensweise und nutzen weniger vielfältige Tools, in erster Linie Sandboxing (über 40 Prozent), um die Arbeit ihrer Bedrohungsjäger zu unterstützen. Im Folgenden geht es darum, was die Befragten als besondere Herausforderungen der Bedrohungsabwehr ansehen und wie sie ihre Werkzeuge im Detail einsetzen, um dabei erfolgreich zu sein.

McAfee: Erfolgreiche Bedrohungsjaeger (Bild: McAfee)
Erfolgreiche Bedrohungsjäger in Unternehmen mit hohem Reifegrad ihres Sicherheitskontrollzentrums verbringen insgesamt mehr Zeit mit der Suche nach und der Anpassung von Tools – die gepunktete Kurve stellt die auf der rechten Skala abgetragene durchschnittliche Stundendauer von Such- und Anpassungsaktivitäten über die Reifegrade hinweg dar (Bild: McAfee).

Was den Unternehmen als besonders herausfordernd bei der Cyberabwehr erscheint, differiert erheblich je nach Reifegrad, den diese Unternehmen aufweisen. Unternehmen der Reifegrade 0 und 1 kämpfen vor allem damit, überhaupt auf die richtigen Daten zuzugreifen und dann zu entscheiden, welche der vielen Ereignisse besonderer Aufmerksamkeit bedürfen. Bei den mittleren Reifegraden 2 und 3 sind die wichtigsten Probleme die Handhabung der riesigen Datenmenge und auf Platz 2 deren Validierung. Bei Reifegrad 4 hat sich der Schwerpunkt eindeutig zur Validierung der Angriffsdaten verschoben. Sprich: Der schrittweise Auf- und Ausbau einer integrierten IT-Sicherheitsstrategie ermöglicht es, sich nicht mehr auf grundlegende Aufgaben wie die Datenerfassung, später die Handhabung der Datenmassen, sondern auf das Wesentliche, nämlich die Bewertung möglicher Bedrohungen zu konzentrieren.

Die Rolle von Prozessautomatisierung und Tool-Personalisierung

In einigen Bereichen der Umsetzung unterscheiden sich Unternehmen mit einem höheren Reifegrad deutlich von denen mit geringeren Reifegraden. Ein sehr wichtiges Beispiel ist die Automatisierung von Prozessen der Bedrohungssuche und -analyse. Das beginnt schon bei der Einschätzung der Automatisierbarkeit. Unternehmen des Reifegrades 0 oder 1 halten nur knapp die Hälfte der Security-relevanten IT-Prozesse für automatisierbar. Bei den Unternehmen des Reifegrades 4 hat sich dieser Wert auf über 70 Prozent erhöht. Gleichzeitig steigt mit dem Reifegrad der Unternehmen auch die tatsächliche Prozessautomatisierung – von 40 Prozent bei Unternehmen mit Reifegrad 1 auf knapp unter 70 Prozent bei Unternehmend es Reifegrades 4. Das wiederum führt zum schnelleren Abschluss von Fällen (siehe Teil 1).

Ein weiterer Unterschied zeigte sich hinsichtlich der Suche nach geeigneten Tools und der Personalisierung der genutzten Such-Tools durch Bedrohungsjäger. Hier zeigt sich, dass mit steigendem Reifegrad mehr Zeit für die Suche nach Tools sowie deren Anpassung an die individuelle Umgebung verbracht wird. Bei Unternehmen des Reifegrades 4 verwenden immerhin knapp über 30 Prozent der Befragten mehr als 20 Stunden im Monat darauf, ihre Werkzeuge auszuwählen und zu personalisieren. Ein derart hoher Einsatz ist bei Unternehmen des Reifegrades 1 nur bei unter 5 Prozent der Befragten zu verzeichnen. Betrachtet man, wie viele Stunden im Durchschnitt je nach Reifegrad mit der Suche nach Tools und der Optimierung von Tools verbracht werden, zeigt sich: dieser Wert steigt sukzessive von etwa 11 Stunden pro Monat auf Reifegrad 1 bis auf etwa 17 Stunden bei Reifegrad 4 an.

Im Detail: Das Beispiel Sandboxing

Ein weiterer Unterschied betrifft den Umgang mit Sandboxing. Dieses Verfahren ist das beliebteste bei Unternehmen der Reifegrade 1 und 2, wird aber von Unternehmen aller Reifegrade durchgängig verwendet. Die Nutzungsintensität steigt mit dem Reifegrad an, was angesichts der Vorteile der Technologie nicht verwundert: Die Befragten gaben an, dass Sandboxing Verbesserungen bei Untersuchungsdauer, Workflows, Verfügbarkeit von Informationen bewirkte und Kosten einsparte. Unternehmen des Reifegrades 1 nannten vor allem die bessere Verfügbarkeit von Informationen durch Sandboxing, Unternehmen der Reifegrade 2 bis 4 vor allem Verkürzungen der Untersuchungsdauer als positive Auswirkungen.

McAfee: Automatisierung nach Reifegrad (Bild: McAfee)
Mit zunehmendem Reifegrad werden immer mehr Prozesse bei der Untersuchung von Angriffsprozessen automatisiert (bild: McAfee).

Da doppelt so viele Unternehmen (42 Prozent) des Reifegrades 4 ihre Sandboxing-Umgebung auch für die Bedrohungs- und Ursachenvalidierung nutzen als Unternehmen des Reifegrades 1 (19 Prozent), ist davon auszugehen, dass dieses Vorgehen massiv zu den Verbesserungen der Untersuchungsdauer beiträgt. Man kann daraus folgern, dass Unternehmen erst mit der Zeit das Validierungspotential des Sandboxing-Verfahrens erkennen, während sie sich am Anfang der Nutzungsphase vor allem mit den Grundfunktionen von Sandboxing vertraut machen. Als dessen weitere Vorteile nennen die Unternehmen der Reifegrade 3 und 4 verbesserte Automatisierung und Koordination ihrer Prozesse als Vorteile. Insgesamt lässt sich sagen, dass gerade die reiferen Unternehmen immer mehr Daten von Sandboxen analysieren lassen.

Unternehmen mit hohem Reifegrad tendieren auch stärker als solche niedrigeren Reifegrades dazu, Sandbox-Ergebnisse in andere Bedrohungsschutzlösungen zu importieren, beispielsweise in Bedrohungsdatenplattformen (Threat Intelligence Platform, TIP – 51 Prozent bei Reifegrad 1, 84 Prozent bei Reifegrad 4), SIEM (von 41 Prozent bei Reifegrad 1 bis 67 Prozent bei Reifegrad 4) oder Endpoint Detection and Response (EDR, 36 Prozent bei Reifegrad 1, 63 Prozent bei Reifegrad 4). Zudem hat über alle Befragten hinweg die Sandbox-Integration in andere Werkzeuge wie Firewalls, Web- oder E-Mail-Gateways sowie Endgeräte von 56 auf 75 Prozent zugenommen, was insgesamt auf mehr Vertrauen in integrierte Plattformen schließen lässt.

Eine wichtige Rolle beim Umgang mit großen Datenmengen spielt auch die Nutzung öffentlicher Bedrohungsdaten-Feeds, die von 60 Prozent aller Unternehmen verwendet werden. Allerdings unterscheiden sich Unternehmen des Reifegrades 4 von Unternehmen niedrigerer Reifegrade dadurch, dass 77 Prozent von ihnen automatisierte Prozesse zum Importieren von Bedrohungsdaten in ein Korrelationsmodul verwenden. Dies nutzen nur 45 Prozent der Unternehmen mit Reifegrad 1. Werden Daten zu Kompromittierungsindikatoren importiert, verwenden die fortgeschrittenen Unternehmen dazu am liebsten benutzerdefinierten XML-Code und nicht mehr, wie niedrigere Reifegrade, offene APIs.

McAfee: Sandboxing-Reifegrad (bild: McAfee)
Unternehmen mit hohem Reifegrad verwenden Sandboxing besonders häufig dazu, Angriffe zu untersuchen und Bedrohungen zu validieren (Bild: McAfee).

Unternehmen mit höherem Reifegrade nutzen insgesamt nicht mehr Tools, sondern achten besonders auf deren Qualität. Beispielsweise verwenden Unternehmen des Reifegrades 4 zu 80 Prozent Daten von ISACs (Information Sharing and Analysis Centers) oder andere branchenspezifische private respektive kostenpflichtige Quellen. Sie verwenden dadurch insgesamt weniger Daten und korrelieren diese mit ihren lokal erzeugten Sandbox- und durch Protokolle erzeugten Informationen. Dadurch können sie günstigenfalls Angreifer sogar täuschen und dazu bringen, ihre Methoden preiszugeben.

Zusammenfassend lässt sich sagen, dass erfolgreiche Bedrohungsjäger sich in einigen Aspekten klar von weniger erfolgreichen unterscheiden. Dabei stechen ein differenzierter Tool-Einsatz, weitgehende Automatisierung von Datenerfassung, Analyse und Reaktionen auf Angriffe sowie durch die individuelle Erstellung und Anpassung manueller Prozessschritte bis hin zur Täuschung von Angreifern, um deren Vorgehensweise mit menschliche Bedrohungsjäger auszuspähen. Sie haben mit dieser Vorgehensweise eine größere Chance, den Attacken aus dem Cyberspace erfolgreich entgegenzutreten, weil sie ihnen mental einen Schritt voraus sind.