Grundlagen effektiver Security Operations (SecOps)

Grundlagen effektiver Security Operations (SecOps)

Beitrag teilen

Die anhaltende Bedrohung durch Cyberattacken stellt Unternehmen nach wie vor vor große Herausforderungen. Viele setzen in Sachen SecOps mittlerweile auf externe Anbieter. Doch auch dann ist IT-Sicherheit noch kein Selbstläufer, sondern bedarf gewisser Voraussetzungen. Ontinue, Experte für Managed Extended Detection and Response (MXDR), definiert fünf Kernprinzipien, die für den Erfolg von SecOps entscheidend sind.​

Unter dem Begriff SecOps – also Security Operations – fassen IT-Sicherheitsexperten alle operativen Tätigkeiten ihres Fachgebietes zusammen. Da das Portfolio an Aufgaben sehr breit gefächert ist, benötigen Unternehmen ein Security Operations Center (SOC), um ihre IT-Infrastruktur flächendeckend zu schützen – ein einzelner Mitarbeiter, der die Alerts aus EDR (Endpoint Detection and Response)- und SIEM (Security Information and Event Management)-Tools abarbeitet, genügt dafür keinesfalls.

Kernprinzipien für effektives und effizientes SecOps

Da die wenigsten Unternehmen die finanziellen Mittel für den Aufbau eines SOC haben und der Fachkräftemangel ihn selbst bei perfekten Voraussetzungen verhindert, setzen viele auf Outsourcing. Doch auch die Zusammenarbeit mit einem Serviceanbieter muss angesichts zunehmender Cyberattacken und einer sich ständig verändernden Bedrohungslage höchst effizient ablaufen. Ontinue nennt die fünf Kernprinzipien für erfolgreiches, effektives und effizientes SecOps.

Automatisierung: Die Automatisierung ist ein zentraler Aspekt für SecOps-Teams, um nicht in der Alert-Flut unterzugehen. Sicherheitsexperten müssen daher mithilfe von SOAR (Security Orchestration, Automation and Response)-Tools sinnvolle Response Actions definieren, also automatisierte Reaktionen auf wiederkehrende Vorfälle. Die Software könnte zum Beispiel bei einem Alarm, der auf eine Ransomware-Attacke hinweist, den betroffenen Host automatisch isolieren.

Kollaboration: Die nahtlose Zusammenarbeit zwischen Unternehmen und dem externen SOC eines MXDR-Anbieters ist das A und O für effizienten Schutz. Viele verwenden dafür auch in Zeiten elaborierter Kollaborations-Tools noch schwerfällige und langsame Ticket-Systeme. Sinnvoller ist allerdings die Nutzung von Plattformen wie Microsoft Teams oder Slack, die eine direktere und informellere Kommunikation aller Beteiligten ermöglichen. Dadurch kann die Mean Time To Respond (MTTR) verkürzt werden.

Lokalisierung: Um höchste Sicherheit gewährleisten zu können, benötigen externe Dienstleister wie MXDR-Anbieter ein tiefes Verständnis der IT-Infrastruktur der Unternehmen, für die sie tätig sind. Dafür müssen sie einerseits die Clients, Endpunkte und Server gut kennen, andererseits aber auch die individuellen Eigenschaften und rollenbasierten Zugriffsrechte überblicken. Zudem ist es wichtig, dass sie genau wissen, was die vorhandenen Business-Applikationen ausmacht und welche davon für das Unternehmen und den täglichen Betrieb essenziell sind. Manche MXDR-Anbieter implementieren mit der Erlaubnis der Unternehmen KI-Bots, die die IT-Infrastruktur automatisch überwachen und die externen SOCs beim Auftauchen unbekannter Hard- oder Software informieren.

Spezialisierung: In Sachen Sicherheitsarchitekturen ist weniger tatsächlich mehr. Viele Serviceanbieter setzen auf ein zu großes Portfolio an Sicherheitsprodukten. Der Nachteil: Ihre Experten müssen sich mit unterschiedlichen Technologien auseinandersetzen. Es ist daher sinnvoller, sich auf ein ganzheitliches Ökosystem eines Herstellers zu konzentrieren, Security Operations einfach sowie umfassend zu integrieren und somit in diesem Bereich höchste Qualität zu liefern. Auch internen IT-Experten fällt die Zusammenarbeit mit den externen Kollegen leichter, wenn das genutzte Produktportfolio möglichst aus einem Guss besteht.

Prävention: Der beste Alert ist der, der gar nicht erst aufkommt. Unternehmen und Serviceanbieter sollten also gemeinsam daran arbeiten, Bedrohungen nicht nur reaktiv, sondern proaktiv anzugehen. Im Klartext bedeutet das, dass beide Seiten vorausschauend arbeiten. Auf Unternehmensseite heißt das, den Security-Partner auf Veränderungen der IT-Infrastruktur rechtzeitig hinzuweisen oder ihn sogar in die Evaluierung neuer Hard- oder Software einzubeziehen. Auf Seiten der Serviceanbieter heißt das unter anderem, viel Zeit in die sogenannte Threat Intelligence zu stecken, also in das Aufspüren von möglichen zukünftigen Sicherheitslücken und Bedrohungen.

„Effizientes SecOps in die Praxis umzusetzen, ist kein leichtes Unterfangen – weder für MXDR-Anbieter noch für die Unternehmen“, betont Jochen Koehler, VP EMEA Sales bei Ontinue. „Daher ist es wichtig, dass alle Stakeholder an einem Strang ziehen und die Zusammenarbeit reibungslos funktioniert. Das klappt nur, wenn beide Seiten an einer lückenlosen Kommunikation arbeiten und in ihrem jeweiligen Verantwortungsbereich individuell alles dafür tun, um höchste Sicherheitsvorkehrungen zu treffen. Nur so können sie Hackern das Leben wirklich schwer machen.“

Mehr bei Ontinue.com

 


Über Ontinue

Ontinue, der Experte für KI-gestützte Managed Extended Detection and Response (MXDR), ist ein rund um die Uhr verfügbarer Sicherheitspartner mit Hauptsitz in Zürich. Um die IT-Umgebungen seiner Kunden durchgehend zu schützen, ihren Sicherheitsstatus zu bewerten und kontinuierlich zu verbessern, kombiniert Ontinue KI-gesteuerte Automatisierung und menschliches Fachwissen mit dem Microsoft-Sicherheits-Produktportfolio. Durch die intelligente, Cloud-basierte Nonstop SecOps-Plattform reicht Ontinues Schutz vor Cyberattacken weit über die grundlegenden Detection- und Response-Services hinaus.


 

Passende Artikel zum Thema

Cybersecurity für Microsoft 365 Copilot

Ein Spezialist für datenzentrierte Cybersicherheit, stellt mit Varonis für Microsoft 365 Copilot die erste speziell entwickelte Lösung zum Schutz des ➡ Weiterlesen

Der Cyber Resilience Act tritt in Kraft

Im März 2024 hat das Europäische Parlament den Cyber Resilience Act verabschiedet. Die finale Version wird in den nächsten Wochen ➡ Weiterlesen

Effiziente Angriffs-Tools: Wie Hacker KI LLMs für ihre Zwecke nutzen

Der Einsatz von KI kann Routineaufgaben automatisieren, Abläufe effizienter gestalten und die Produktivität erhöhen. Dies gilt für die legale Wirtschaft ➡ Weiterlesen

Wie sich NIS2-Compliance erreichen lässt

Bis 17. Oktober 2024 müssen die neuen EU-Richtlinien zur Netzwerk- und Informationssicherheit (NIS2) von allen Mitgliedstaaten durch lokale Gesetzgebung umgesetzt ➡ Weiterlesen

Neue Schutzlösung für Kleinst- und Homeoffice-Betriebe

Der europäische Sicherheitshersteller ESET hat sein neues Produktpaket ESET Small Business Security (ESBS) veröffentlicht. Das soll gezielt die Cybersicherheitsbedürfnisse von ➡ Weiterlesen

E-Mail-Schutz: Verhaltensbasierte KI verhindert falschen Datenversand

Was passiert wenn ein Mitarbeiter per E-Mail die falschen Daten versendet? Die neue KI-gestützte Lösung Adaptive Email Data Loss Prevention ➡ Weiterlesen

Bedrohungen erkennen mit Purple AI

Ein Unternehmen hat vor einem Jahr die erste Cybersecurity-Plattform vorgestellt, die auf generativer KI basiert. Nun gibt das Unternehmen die ➡ Weiterlesen

Gefahr für Industrie: Jeder sechste industrielle PC angegriffen

Die Industrieunternehmen in Deutschland stehen weiter im Visier der Angreifer. Das zeigt auch eine Auswertung von Kaspersky: Immer mehr in ➡ Weiterlesen