Datenföderation bringt SOC-Teams auf Angriffstempo

Bei Figuren in Filmen oder Büchern ist Komplexität ein Charakterzug, der für Spannung sorgt, überraschende Wendungen ermöglicht und die Handlung erst interessant macht. In eurer Datenumgebung ist Komplexität der Stoff, aus dem Albträume sind.

Im aktuellen Splunk-Studienbericht „Die neuen Regeln des Datenmanagements“ nennen 67 % der Befragten Datenvolumen und Datenwachstum als Haupthindernisse bei der Umsetzung ihrer Datenstrategie. Nur die Gewährleistung von Datensicherheit und Compliance wird noch häufiger (69 %) als Haupthindernis genannt. Deutlich wird auch, dass für viele Unternehmen– wenn nicht sogar für die meisten – das massive Wachstum der Datenmengen und die Zunahme der Datensilos die Hauptfaktoren dieser Komplexität sind. Es wird dann immer schwieriger, auf Daten zuzugreifen, sie zu analysieren und zu sichern sowie Compliance-Vorgaben gerecht zu werden.

Besonders frustrierend ist das für SOC-Fachleute, die mit der Aufgabe betraut sind, die wertvollen Informationen des Unternehmens zu schützen und vor Bedrohungen zu bewahren. Die Komplexität der Daten vergrößert die Angriffsfläche des Unternehmens, macht es Schadakteuren einfacher, ihre kriminellen Aktivitäten zu verbergen, und setzt das Unternehmen zusätzlichen Risiken aus. Gleichzeitig bricht eine Flut von Warnmeldungen über die Analysten herein, und das SOC hat dafür oft nicht genügen Zeit, Personal und Fachwissen. Beides ist alles andere als ein Erfolgsrezept.

Strategische Datenföderation könnte jedoch ein wirksames Gegenmittel gegen das Datenchaos und den chronischen Personalmangel im SOC sein. In diesem Beitrag gehen wir das Problem der Datenkomplexität im SOC sein, setzen die Vorteile einer Föderationsstrategie auseinander und zeigen auf, wie SOC-Analysten, die aktiv eine Föderationsstrategie verfolgen, durchweg bessere Ergebnisse erzielen.

Verstreute Daten bremsen die SOC-Teams aus

Datenkomplexität ist im SOC täglich erlebte Wirklichkeit. Zum Teil ist das auf die zunehmende Anzahl der Datenquellen zurückzuführen: On-premises-Infrastrukturen, Cloud-Anwendungen, IoT-Geräte, KI-Implementierungen etc.

Die SOC-Teams wissen nur allzu gut, dass es für sie umso schwieriger wird, eine Umgebung zu verwalten und zu sichern, je heterogener diese ist. Dies liegt vor allem daran, dass in Landschaften mit verteilten Daten die Leute jeweils nur Datenausschnitte einsehen, aber nie ein gemeinsames Gesamtbild vor Augen haben. Einer der größten Nachteile von stark verteilten Sicherheitsumgebungen liegt darin, dass viele Daten gar nicht verwaltet werden, und zwar oft für lange Zeit. Das bedeutet: Die Daten werden nicht bereinigt, nicht an den optimalen Speicherorten abgelegt, nicht nach Verwendung fristgerecht gelöscht usw. Zugleich entstehen aus der zunehmenden Vielfalt und Verschiedenartigkeit der Datenquellen immer mehr Datensilos, was wiederum dazu führt, dass Daten doppelt und dreifach vorgehalten werden, dass die Betriebskosten steigen und die Datenqualität leidet – all dies steht dann einem effizienten Arbeiten im Weg.

Und es hat ernsthafte Konsequenzen in Bedrohungssituationen. Die Sicherheitsanalysten bekommen die Folgen dann live zu spüren: Die Bedrohungslage bleibt mangels Transparenz unklar, Incident-Warnmeldungen treffen verzögert ein oder werden übersehen, und Malware kann unter dem Radar in die Systeme gelangen. In der Unmenge an Daten sind die entscheidenden Signale nur schwer zu erkennen, und die SOC-Analysten brauchen erheblich länger, um herauszufinden, welche Daten für ihre Sicherheitsaufgaben und -ziele relevant und brauchbar sind. Das Ende vom Lied sind ständiges Hin- und Herwechseln zwischen unterschiedlichen Konsolen, Alarmmüdigkeit und Burn-out.

Die gute Nachricht: Es geht auch anders. Tatsächlich könnte Datenföderation in vielen Fällen die Antworten liefern, die SOC-Fachleute so dringend benötigen.

Erfolgsvorteil durch föderierte Daten

Wenn SOC-Teams ihre begrenzte Zeit optimal nutzen wollen, dann brauchen sie eine Datenstrategie, die mehr kann als nur Daten verwursten und irgendwie organisieren – eine Datenstrategie, die den Teams die Arbeit erleichtert und messbare Auswirkungen auf die Sicherheitsergebnisse hat. Und genau hier kommt die Datenföderation ins Spiel.

Im Wesentlichen gibt Datenföderation den Unternehmen die Möglichkeit, dass sie ihre Daten direkt dort in ihrer Umgebung einsehen, zugänglich machen, verarbeiten und analysieren, wo die Daten liegen. Unternehmen können dann selbst bestimmen, wo sie ihre Daten ablegen wollen, ob an der Quelle ihrer Entstehung oder an anderen vorgesehenen Orten. Und das ist ein wahrer Segen für die SOC-Teams. Egal wo die Daten liegen – die Teams können sie zentral abfragen und analysieren, ganz ohne vorherige Replikation, ohne kostspielige Migrationen und ohne dass sie Verluste bei der Datenqualität riskieren.

In der Praxis heißt das, dass die SOC-Analysten nicht erst dann auf einen Incident aufmerksam werden, wenn das Telefon klingelt, sondern dass sie die Warnmeldung von einer zentralen Warte in ihrem Datenökosystem erhalten. Da bei Datenföderation auch weniger Speicherorte gebraucht werden, können die SOC-Teams leichter kontrollieren, wohin die Daten gelangen. Das macht es deutlich einfacher, Zugangskontrollen zu implementieren, zu managen und aufrechtzuerhalten.

Datenföderation bringt außerdem Flexibilität, weil unterschiedliche Teams von denselben Daten profitieren können. Die SOC-Teams können die Daten nicht nur für ihre eigenen Analysen nutzen, sondern ihre Ergebnisse auch den IT- und den Engineering-Teams zugänglich machen. Datenföderation eröffnet neue Möglichkeiten des Datenaustauschs und der Weiternutzung, fördert die Zusammenarbeit der Abteilungen und steigert damit auch den Wert der Daten und ihren Nutzen.

Datenföderation stärkt das SOC

Es ist also kaum verwunderlich, dass Unternehmen mit vollständig implementierter Datenföderation sowie Datenpipeline-Management und Data-Lifecycle-Management die Nase bei kritischen KPIs und anderen Sicherheitsmetriken klar vorn haben. Sie verzeichnen eine um 13 Prozentpunkte höhere operative Nettogewinnmarge, eine um 20 Prozentpunkte bessere Nachhaltigkeit und ein 11 Prozentpunkte höheres Innovationstempo als der Rest des Feldes. Im Studienbericht „Die neuen Regeln des Datenmanagements“ werden diese Unternehmen „Datenmanagement-Leader“ genannt. Und auch die Security-Teams in den SOCs profitieren in vielerlei Hinsicht von den Datenmanagement-Praktiken der Leader-Unternehmen.

Die Vorteile zeigen sich deutlich in den TDIR-Schlüsselbereichen: in schnellerer Bedrohungserkennung, schnelleren Untersuchungen und schnelleren Reaktionen. Die Datenmanagement-Leader haben auch ihre MTTR minimiert, sie können Bedrohungen besser neutralisieren, Fehlerursachen schneller identifizieren und sie erleiden weniger Kompromittierungen.

Wenn wir die Ergebnisse von Unternehmen betrachten, die lediglich auf Föderation setzen, egal in welcher Form, teilweise oder umfassend, dann zeigen sich immer noch deutliche Vorteile. Auf die Frage, was föderierte Daten für ihr Unternehmen leisten, nennen 67 % einen schnelleren Datenzugriff, 54 % eine bessere Data Governance und 47 % eine verlässlichere Compliance. Die Teams im gesamten Unternehmen, einschließlich SOC, verzeichnen messbare Verbesserungen bei datenbezogenen Metriken, wie z. B. eine höhere Zugriffsgeschwindigkeit, eine insgesamt beschleunigte Datenverarbeitung und weniger Overhead.

In der Security-Arbeitswelt wird diese Transformation freilich nicht von heute auf morgen geschehen. Am Anfang des Prozesses dürfte vermutlich ein Mentalitätswandel nötig sein: weg vom eifersüchtigen Festhalten an Sicherheitsdaten, hin zu einer Kultur der Zusammenarbeit und des Informationsaustauschs. Schon erste Ansätze der Datenföderation geben in den Metriken zu erkennen, dass auch ein behutsamer Start sich für die Teams lohnt: die Strategie der Datenföderation nach und nach ausweiten und währenddessen schon positive Gesamtergebnisse erzielen. Wenn die SOC-Teams sich daran machen, die die Grundlagen einer effektiven Föderationsstrategie zu schaffen, legen sie zugleich ein starkes Fundament der Resilienz, auf dem dann die nächste Datenmanagement-Stufe aufsetzen und weiter zum Geschäftserfolg führen kann.

Wenn ihr mehr darüber erfahren wollt, wie eine Strategie der Datenföderation Security- und Observability-Teams auf Erfolgskurs setzt, dann holt euch den Studienbericht „Die neuen Regeln des Datenmanagements“.