Grundlagen effektiver Security Operations (SecOps)

Grundlagen effektiver Security Operations (SecOps)

Beitrag teilen

Die anhaltende Bedrohung durch Cyberattacken stellt Unternehmen nach wie vor vor große Herausforderungen. Viele setzen in Sachen SecOps mittlerweile auf externe Anbieter. Doch auch dann ist IT-Sicherheit noch kein Selbstläufer, sondern bedarf gewisser Voraussetzungen. Ontinue, Experte für Managed Extended Detection and Response (MXDR), definiert fünf Kernprinzipien, die für den Erfolg von SecOps entscheidend sind.​

Unter dem Begriff SecOps – also Security Operations – fassen IT-Sicherheitsexperten alle operativen Tätigkeiten ihres Fachgebietes zusammen. Da das Portfolio an Aufgaben sehr breit gefächert ist, benötigen Unternehmen ein Security Operations Center (SOC), um ihre IT-Infrastruktur flächendeckend zu schützen – ein einzelner Mitarbeiter, der die Alerts aus EDR (Endpoint Detection and Response)- und SIEM (Security Information and Event Management)-Tools abarbeitet, genügt dafür keinesfalls.

Kernprinzipien für effektives und effizientes SecOps

Da die wenigsten Unternehmen die finanziellen Mittel für den Aufbau eines SOC haben und der Fachkräftemangel ihn selbst bei perfekten Voraussetzungen verhindert, setzen viele auf Outsourcing. Doch auch die Zusammenarbeit mit einem Serviceanbieter muss angesichts zunehmender Cyberattacken und einer sich ständig verändernden Bedrohungslage höchst effizient ablaufen. Ontinue nennt die fünf Kernprinzipien für erfolgreiches, effektives und effizientes SecOps.

Automatisierung: Die Automatisierung ist ein zentraler Aspekt für SecOps-Teams, um nicht in der Alert-Flut unterzugehen. Sicherheitsexperten müssen daher mithilfe von SOAR (Security Orchestration, Automation and Response)-Tools sinnvolle Response Actions definieren, also automatisierte Reaktionen auf wiederkehrende Vorfälle. Die Software könnte zum Beispiel bei einem Alarm, der auf eine Ransomware-Attacke hinweist, den betroffenen Host automatisch isolieren.

Kollaboration: Die nahtlose Zusammenarbeit zwischen Unternehmen und dem externen SOC eines MXDR-Anbieters ist das A und O für effizienten Schutz. Viele verwenden dafür auch in Zeiten elaborierter Kollaborations-Tools noch schwerfällige und langsame Ticket-Systeme. Sinnvoller ist allerdings die Nutzung von Plattformen wie Microsoft Teams oder Slack, die eine direktere und informellere Kommunikation aller Beteiligten ermöglichen. Dadurch kann die Mean Time To Respond (MTTR) verkürzt werden.

Lokalisierung: Um höchste Sicherheit gewährleisten zu können, benötigen externe Dienstleister wie MXDR-Anbieter ein tiefes Verständnis der IT-Infrastruktur der Unternehmen, für die sie tätig sind. Dafür müssen sie einerseits die Clients, Endpunkte und Server gut kennen, andererseits aber auch die individuellen Eigenschaften und rollenbasierten Zugriffsrechte überblicken. Zudem ist es wichtig, dass sie genau wissen, was die vorhandenen Business-Applikationen ausmacht und welche davon für das Unternehmen und den täglichen Betrieb essenziell sind. Manche MXDR-Anbieter implementieren mit der Erlaubnis der Unternehmen KI-Bots, die die IT-Infrastruktur automatisch überwachen und die externen SOCs beim Auftauchen unbekannter Hard- oder Software informieren.

Spezialisierung: In Sachen Sicherheitsarchitekturen ist weniger tatsächlich mehr. Viele Serviceanbieter setzen auf ein zu großes Portfolio an Sicherheitsprodukten. Der Nachteil: Ihre Experten müssen sich mit unterschiedlichen Technologien auseinandersetzen. Es ist daher sinnvoller, sich auf ein ganzheitliches Ökosystem eines Herstellers zu konzentrieren, Security Operations einfach sowie umfassend zu integrieren und somit in diesem Bereich höchste Qualität zu liefern. Auch internen IT-Experten fällt die Zusammenarbeit mit den externen Kollegen leichter, wenn das genutzte Produktportfolio möglichst aus einem Guss besteht.

Prävention: Der beste Alert ist der, der gar nicht erst aufkommt. Unternehmen und Serviceanbieter sollten also gemeinsam daran arbeiten, Bedrohungen nicht nur reaktiv, sondern proaktiv anzugehen. Im Klartext bedeutet das, dass beide Seiten vorausschauend arbeiten. Auf Unternehmensseite heißt das, den Security-Partner auf Veränderungen der IT-Infrastruktur rechtzeitig hinzuweisen oder ihn sogar in die Evaluierung neuer Hard- oder Software einzubeziehen. Auf Seiten der Serviceanbieter heißt das unter anderem, viel Zeit in die sogenannte Threat Intelligence zu stecken, also in das Aufspüren von möglichen zukünftigen Sicherheitslücken und Bedrohungen.

„Effizientes SecOps in die Praxis umzusetzen, ist kein leichtes Unterfangen – weder für MXDR-Anbieter noch für die Unternehmen“, betont Jochen Koehler, VP EMEA Sales bei Ontinue. „Daher ist es wichtig, dass alle Stakeholder an einem Strang ziehen und die Zusammenarbeit reibungslos funktioniert. Das klappt nur, wenn beide Seiten an einer lückenlosen Kommunikation arbeiten und in ihrem jeweiligen Verantwortungsbereich individuell alles dafür tun, um höchste Sicherheitsvorkehrungen zu treffen. Nur so können sie Hackern das Leben wirklich schwer machen.“

Mehr bei Ontinue.com

 


Über Ontinue

Ontinue, der Experte für KI-gestützte Managed Extended Detection and Response (MXDR), ist ein rund um die Uhr verfügbarer Sicherheitspartner mit Hauptsitz in Zürich. Um die IT-Umgebungen seiner Kunden durchgehend zu schützen, ihren Sicherheitsstatus zu bewerten und kontinuierlich zu verbessern, kombiniert Ontinue KI-gesteuerte Automatisierung und menschliches Fachwissen mit dem Microsoft-Sicherheits-Produktportfolio. Durch die intelligente, Cloud-basierte Nonstop SecOps-Plattform reicht Ontinues Schutz vor Cyberattacken weit über die grundlegenden Detection- und Response-Services hinaus.


 

Passende Artikel zum Thema

Gut aufgestellt für NIS2

Auf viele Unternehmen kommen in puncto Cybersicherheit ab 2024 neue Herausforderungen zu. Die Network and Information Security Directive 2, kurz ➡ Weiterlesen

QR-Code-Phishing mit ASCII-Zeichen

Sicherheitsforscher von Check Point haben eine neue Art des QR-Code-Phishing („Quishing“ genannt) entdeckt, mit der Angreifer auf geschickte Weise OCR-Systeme umgehen. ➡ Weiterlesen

Cyberversicherungen liegen im Trend

Cyberversicherungen liegen im Trend: Ein Anbieter von Security Operations veröffentlicht die Ergebnisse seines jährlichen State of Cybersecurity: 2024 Trends Report. ➡ Weiterlesen

Ransomware: Verschlüsselte Backups – verdoppeltes Lösegeld 

Wenn das Backup beim Ransomware-Angriff zum Problem wird: Cyberkriminelle richten ihre Verschlüsselungstaten auch auf Backups aus. Warum? Weil so noch ➡ Weiterlesen

MDR kombiniert KI und rund um die Uhr Support

Darktrace hat sein neues Serviceangebot Darktrace Managed Detection & Response (MDR) gestartet. Der Service unterstützt die internen Sicherheitsteams mit KI-basierter ➡ Weiterlesen

CISO Umfrage: Die meisten Unternehmen zahlen bei Ransomware

Im Voice of the CISO Report gaben über die Hälfte der befragten CISOs aus deutschen Unternehmen an, dass sie im ➡ Weiterlesen

Starke Zunahme bei Malware-, BEC- und QR-Code-Phishing-Angriffen

Der aktuelle E-Mail Threat Landscape Report von Trend Micro zeigt eine starke Zunahme von Malware-, BEC- und QR-Code-Phishing-Angriffen auf Unternehmen. ➡ Weiterlesen

Authentifizierung völlig ohne Passwörter

Passwörter waren gestern. Mit "Passwordless 360°" können sich alle  Kunden, Mitarbeiter, Partner, Geschäftskunden und Lieferanten eines Unternehmens mit einer einzigen ➡ Weiterlesen