Missstände bei Cyber-Abwehrzentren

security-1536691_1920Hewlett Packard Enterprise (HPE) hat den vierten jährlichen „State of Security Operations Report 2017“ veröffentlicht. Der Report bietet eine tiefe Analyse der Effektivität von Cyber-Abwehrzentren (Security-Operations-Center, SOCs) und liefert Best-Practices für die Risikominimierung in einer sich ständig ändernden Cybersecurity-Landschaft. Unter dem erhöhten Druck, Sicherheitsinitiativen ständig zu verbessern und abzustimmen, bietet ein SOC die Grundlagen für den Schutz vor Cyber-Bedrohungen. Im diesjährigen Report stellt HPE jedoch fest, dass die Mehrheit der SOCs nicht den erforderlichen Reifegrad hat und ihre Unternehmen im Falle eines Angriffs verwundbar sind.

Der Report wird von HPE Security Intelligence and Operations Consulting (SIOC) veröffentlicht und untersucht etwa 140 SOCs aus aller Welt. Jedes SOC wird nach der Skala des HPE-Security-Operations-Maturity-Model (SOMM) gemessen, die Mitarbeiter, Prozesse, Technologien und Geschäftsfähigkeit eines SOC bewertet. Ein gut ausgestattetes, neutral evaluiertes und flexibles SOC ist für moderne Unternehmen ideal, um bestehende und neu aufkommende Bedrohungen effektiv zu überwachen – allerdings erfüllen 82 Prozent der überprüften SOCs diese Kriterien nicht und hinken den Bedrohungen hinterher. Obwohl sich die Lage damit gegenüber dem Vorjahr um drei Prozentpunkte verbessert hat, kämpfen die meisten Unternehmen nach wie vor mit Fachkräftemangel sowie der Dokumentierung und Implementierung der effizientesten Prozesse.

HPE-SOC-Report-1
Weltkarte des SOC-Reifegrades: Die Zahlen bezeichnen den durchschnitlichen SOC-Reifegrad der jeweiligen Region

„Der diesjährige Report zeigt, dass Unternehmen zwar viel in Sicherheit investieren und dabei neue Prozesse und Technologie einführen. Sie verlieren dabei aber das große Ganze aus dem Blick und bleiben daher verwundbar gegenüber den schnellen und fortschrittlichen Methoden heutiger Angreifer“, sage Matthew Shriner, Vice President für Security Professional Services bei Hewlett Packard Enterprise. „Erfolgreiche Cyber-Abwehrzentren zeichnen sich dadurch aus, dass sie einen ausbalancierten Security-Ansatz verfolgen, der die richtigen Menschen, Prozesse und Technologien kombiniert. Außerdem nutzen sie Automatisierung, Analytics, Echtzeit-Monitoring und hybride Arbeitsmodelle, um ein ausgereiftes und reproduzierbares Cyber-Verteidigungsprogramm zu entwickeln.

Schlüsselergebnisse

  • Die Fähigkeiten eines SOCs sinken, wenn ihre Programme nur auf Verfolgung ausgerichtet sind. Die Implementierung von so genannten „Hunt-Teams“, die nach unbekannten Bedrohungen suchen, ist in der Sicherheitsbranche ein großer Trend geworden. Unternehmen, die diese Teams zusätzlich zu ihren bestehenden Strukturen zur Echtzeit-Überwachung einsetzen, konnten ihre Effektivität verbessern – doch Programme, die sich hauptsächlich auf Verfolgungsteams konzentrieren, haben einen gegenteiligen Effekt.
  • Vollständige Automatisierung ist ein unrealistisches Ziel. Der Fachkräftemangel in der Sicherheitsbranche bleibt das wichtigste Hindernis für SOC-Betreiber und lässt Automatisierung zu einer wichtigen Komponente für jedes erfolgreiche SOC werden. Dennoch benötigen fortschrittliche Bedrohungen nach wie vor Menschen, die Bedrohungen untersuchen – und Risikobewertungen brauchen menschlichen Verstand. So wird es für Unternehmen essentiell, eine Balance aus Automatisierung und gutem Personal zu finden.
  • Ein klarer Fokus und Ziele sind wichtiger als die Größe des Unternehmens. Es gibt keine Korrelation zwischen der Größe eines Unternehmen und der Leistungsfähigkeit seiner Cyber-Abwehr. Stattdessen haben Unternehmen, die Sicherheit als Wettbewerbsvorteil sehen oder sich dadurch enger mit ihrer Branche vernetzen, oft auch die ausgereiftesten SOCs.
  • Hybride Lösungen und Personalmodelle steigern die Leistungsfähigkeit. Unternehmen, die ihr Risikomanagement intern betreuen und mit externen Ressourcen skalieren, etwa durch Co-Staffing oder In-Sourcing über Anbieter von Managed-Security-Services, können ihren SOC-Reifegrad weiter steigern und Qualifikationslücken schließen.

Auswirkungen und Empfehlungen

Um effektive SOCs als Abwehr in der sich ständig weiter entwickelnden Bedrohungslandschaft aufzubauen, ist ein solides Fundament mit der richtigen Kombination aus Mitarbeitern, Prozessen und Technologien essentiell. Damit Unternehmen diese Balance erreichen können, empfiehlt HPE:

  • Die Grundlagen meistern: Risikoidentifikation, Erkennung von Sicherheitsvorfällen und die Reaktion darauf sind die Grundlagen eines effektiven Security-Operations-Programms und sollte vor neuen Methoden, wie etwa „Hunt-Teams“, zum Einsatz kommen.
  • Aufgaben automatisieren, wo es möglich ist – etwa bei der Reaktion auf Angriffe oder der Sammlung und Korrelation von Daten -, um das Problem des Fachkräftemangels in den Griff zu bekommen. Gleichzeitig müssen Unternehmen auch verstehen, dass es viele Prozesse gibt, die menschliches Eingreifen benötigen und entsprechende Personalplanung betreiben.
  • Regelmäßige Auswertung des Risikomanagements, der Sicherheits- und Compliance-Ziele des Unternehmens, um eine klar definierte Sicherheitsstrategie und Ressourcenplanung voranzubringen.
  • Unternehmen, die ihre Sicherheitsfähigkeiten ergänzen wollen, aber keine Mitarbeiter einstellen können, sollten eine hybride Personalplanung oder operative Strategie in Betracht ziehen, die sowohl interne Ressourcen als auch Outsourcing an einen Dienstleister umfasst.

Methode

Die Bewertungsmethode beruht auf HPEs Security-Operations-Maturity-Model (SOMM), das eine Vielzahl von Aspekten in Betracht zieht, von erfolgreicher und ausgereifter Security-Intelligence bis zu Monitoring-Fähigkeiten, Mitarbeiter, Prozesse, Technologien und Geschäftsfunktionen. Das SOMM nutzt eine Fünf-Punkte-Skala – eine Bewertung von 0 steht für nicht vorhandene Fähigkeiten, eine 5 steht für Fähigkeiten, die gleichbleibend, reproduzierbar, dokumentiert, gemessen, zurückverfolgt und ständig unter Verbesserung sind. Das Ziel für moderne Unternehmen sollte eine 3 sein, während ein Managed Security Service Provider ein Niveau zwischen 3 und 4 anstreben sollte.