Data Insider

Was ist Sicherheitsautomatisierung?

Unter Sicherheitsautomatisierung (Security Automation) versteht man die maschinenbasierte Ausführung von Sicherheitsmaßnahmen mit der Fähigkeit, Cyber-Bedrohungen mit oder ohne menschlichem Eingreifen programmgesteuert zu erkennen, zu untersuchen und einzudämmen, indem eingehende Bedrohungen identifiziert, auftretende Warnmeldungen eingestuft und priorisiert werden und unverzüglich auf sie reagiert wird.

Die Sicherheitsautomatisierung übernimmt den Großteil der Arbeit Ihres Security-Teams, sodass es nicht mehr jede eingehende Benachrichtigung manuell beurteilen und bearbeiten muss. Die Sicherheitsautomatisierung kann u.a. für folgende Aufgaben eingesetzt werden:

  • Erkennen von Bedrohungen in Ihrer Umgebung
  • Triage potenzieller Bedrohungen durch Befolgen der Schritte, Anweisungen und Entscheidungs-Workflows, die Sicherheitsanalysten nutzen, um ein Event zu untersuchen und festzustellen, ob es sich um ein wirkliches Problem handelt
  • Entscheiden, ob Maßnahmen ergriffen werden
  • Eindämmen und Beheben des Problems

All dies kann in Sekundenschnelle passieren, ohne jegliches Zutun der Mitarbeiter. Die Sicherheitsautomatisierung nimmt den Sicherheitsanalysten wiederkehrende, zeitraubende Aufgaben ab, sodass sie sich auf wichtigere, wertschöpfende Arbeit konzentrieren können. Darüber hinaus kann die Sicherheitsautomatisierung auch dafür sorgen, dass Bedrohungen schnell erkannt werden. Nach ESG-Untersuchungen ignorieren IT-Teams 74 Prozent der Sicherheits-Events bzw. -benachrichtigungen aufgrund der schieren Menge – selbst wenn sie Sicherheitslösungen nutzen. Die Sicherheitsautomatisierung kann nicht nur gängige Probleme erkennen und beheben, sondern auch menschliche Fehler verhindern, die durch Unerfahrenheit, Arbeitsüberlastung und Nachlässigkeit entstehen.

Dieser Artikel behandelt die Grundlagen der Sicherheitsautomatisierung, einschließlich der Fragen, warum sie für Unternehmen wichtig ist, wie Sicherheitsautomatisierungs-Plattformen und -Tools Mehrwert schaffen können und wie man mit der Implementierung beginnt.

Security monitoring dashboard

74 Prozent der Sicherheits-Events bzw. -benachrichtigungen werden von geschulten Mitarbeitern ignoriert.

Analystenbericht | Splunk liegt laut IDC-Bericht zu ITOA-Marktanteilen auf Platz 1

Sicherheitsautomatisierung im Überblick

Warum ist Sicherheitsautomatisierung wichtig?

Laut einer Studie der University of Maryland finden heutzutage alle 39Sekunden Cyberangriffe statt und Unternehmen erhalten oft Tausende oder gar Millionen von Warnmeldungen pro Monat. Das Sicherheitsteam muss heute eine viel größere Angriffsfläche überwachen als früher, einschließlich mobiler Geräte, Cloud-Infrastruktur und IoT-Geräte. Kurz gesagt, prasseln wirklich aus allen Richtungen Sicherheitsbenachrichtigungen auf das Security-Team ein.

Security monitoring dashboard

Alle 39 Sekunden finden Cyberangriffe statt.

Ohne Sicherheitsautomatisierung müssen Analysten Bedrohungen manuell abwehren. Dazu ist es meist notwendig, das Problem zu untersuchen und mit den Bedrohungsdaten des Unternehmens zu vergleichen, um seine Echtheit zu prüfen, eine Entscheidung über die weitere Vorgehensweise zu treffen und das Problem dann manuell zu beheben – und das alles bei möglicherweise Millionen von Warnmeldungen und oft mit unvollständigen Daten.

Hinzu kommt, dass viele dieser Benachrichtigungen redundant sind, sodass Analysten wertvolle Zeit mit sich wiederholenden Aufgaben verbringen, die sie von wichtigeren Problemen abhalten. Die Sicherheitsautomatisierung hingegen nimmt Ihrem Sicherheitsteam den Großteil dieser Arbeit ab. Wenn eine Benachrichtigung eingeht, bestimmt die Sicherheitsautomatisierung auf der Grundlage früherer Reaktionen auf ähnliche Incidents sofort, ob Maßnahmen erforderlich sind, und kann, falls ja, das Problem automatisch beheben.

In der Zwischenzeit haben die Sicherheitsanalysten mehr Zeit, sich auf die strategische Planung, die Suche nach Bedrohungen und tiefergehende Untersuchungen zu konzentrieren und damit Mehrwert für das Unternehmen zu schaffen.

Was sind Anzeichen dafür, dass ein Unternehmen Sicherheitsautomatisierung benötigt?

Es gibt mehrere Anzeichen, die darauf hindeuten, dass Ihr Unternehmen Bedarf an einer Sicherheitsautomatisierung hat, z. B. eine Sicherheitsstörung, verzögerte Reaktionszeiten, eine überwältigende Anzahl von False Positive-Warnmeldungen und die Notwendigkeit, Abläufe effizienter und kostengünstiger zu gestalten.

Obwohl zweifellos die meisten Unternehmen von einer Sicherheitsautomatisierung profitieren würden, sind sie in folgenden Fällen eher bereit, eine solche Lösung zu implementieren:

  • Es ist eine Sicherheitsstörung aufgetreten: Milliarden von Menschen und unzählige Unternehmen waren bereits von Datenschutzverletzungen betroffen.Im Jahr 2018 kosteten Sicherheitsstörungen rund 148 US-Dollar pro verlorenem oder gestohlenen Datensatz – dies entspricht Gesamtkosten in Höhe von fast 4 Millionen US-Dollar pro Incident. Unternehmen können es sich nicht leisten, bei Sicherheitsmaßnahmen nachlässig zu sein.
  • Die Reaktionszeiten bei Incidents sind zu lang: Sicherheitsanalysten können nur einen Bruchteil der eingehenden Benachrichtigungen untersuchen, sodass eine Reaktion in Echtzeit selten möglich ist. Unternehmen brauchen Lösungen und Vorgehensweisen, die es ihnen erlauben, Incidents schneller zu beheben und die Gesamtdauer der Reaktion pro Incident zu reduzieren.
  • Das Sicherheitsteam wird von False Positive-Meldungen überschwemmt: False Positive-Benachrichtigungen werden erst als falsch erkannt, nachdem sie wie eine echte Bedrohung untersucht wurden. Solche Incidents binden die Aufmerksamkeit von Sicherheitsanalysten und halten sie davon ab, sich echten Bedrohungen zu widmen.
  • Security-Teams sollen effektiver, effizienter und kostengünstiger arbeiten: Wenn Sicherheitsanalysten ihre Zeit mit sich wiederholenden Aufgaben und False Positive-Meldungen verschwenden, schöpfen sie ihren Wert für das Unternehmen nicht maximal aus.

Was ist eine Sicherheitsautomatisierungs-Plattform?

Eine Sicherheitsautomatisierungs-Plattform ist eine Software, die in Sekundenschnelle eine Reihe von Sicherheitsmaßnahmen in Ihrer gesamten Infrastruktur ergreift. Die Sicherheitsautomatisierungs-Plattform wird aktiv, wenn ein Incident erkannt wird (über das Netzwerk, einen Dateiscan, einen E-Mail-Scan usw.) und reagiert dann entsprechend. Sicherheitsautomatisierungs-Plattformen bieten folgende Funktionen:

  1. Playbook-Erstellung und -Anpassung: Sicherheitsautomatisierungs-Plattformen ermöglichen Ihnen, Playbooks zu erstellen und anzupassen oder aus vorgefertigten Playbooks auszuwählen, mit denen Sie Daten filtern, eine Entscheidung mittels verschlüsselter Logik treffen, einen Benutzer zur Eingabe oder Bestätigung auffordern oder ein anderes Playbook aufrufen können.
  2. Standardisierte Incident Response-Prozesse: Die Playbooks weisen das Sicherheitsautomatisierungs-Tool an, wie es auf der Grundlage interner Regeln auf Incidents reagieren soll, und sorgen so für einen wiederholbaren, optimierten und überprüfbaren Security Operations-Prozess, der Sicherheitsteams hilft, schneller auf Incidents zu reagieren und Risiken zu minimieren. Mögliche Maßnahmen sind u. a.:
    • Löschen oder Isolieren möglicherweise mit Malware infizierter Dateien
    • Durchführen eines Geolokalisierungs-Lookups an einer bestimmten IP-Adresse
    • Suche nach Dateien an einem bestimmten Endpunkt
    • Blockieren einer URL auf Perimetergeräten
    • Isolieren eines Geräts aus dem Netzwerk
  3. Nahtlose Integration in andere Sicherheitssysteme: Sicherheitsautomatisierungs-Produkte lassen sich nahtlos in Ihre Sicherheitsressourcen integrieren, wie z. B. Firewalls, Endpunktprodukte, Reputationsmanagementservices, Sandboxes, Directory Services und SIEMs. Außerdem bieten sie eine Möglichkeit, Ihre gesamte Infrastruktur innerhalb einer Oberfläche zu überwachen.
Security monitoring dashboard

Sicherheitsautomatisierung lässt sich in Firewalls, Endpunktlösungen und andere IT-Produkte in Ihrer Umgebung integrieren.

Entwicklung der Sicherheitsautomatisierung

Die Sicherheitsautomatisierung hat sich zu einem hochaktuellen Thema für Unternehmen und Security-Teams entwickelt, was zum Großteil auf den exponentiellen Anstieg von Cyberangriffen zurückzuführen ist. Vor der Automatisierung wurde von Sicherheitsanalysten verlangt, jede Benachrichtigung durchzugehen, zu analysieren und darauf zu reagieren, was sich bald als unmöglich herausstellte. Die überwältigende Anzahl von Bedrohungen machte eine automatisierte Reaktion auf Incidents notwendig, damit Cyberangriffe oder Sicherheitsverletzungen schneller identifiziert und abgewehrt bzw. behoben werden konnten.

Die automatisierte Reaktion auf Incidents war bei Security-Problemen zwar hilfreich, letztlich musste jedoch ein proaktiverer Ansatz her. Es entstand die Sicherheitsautomatisierung mit ihrem systematischen, maschinenbasierten Ansatz. Daraus entwickelte sich dann wiederum die Sicherheitsautomatisierung und -orchestrierung, wobei letztere die Verknüpfung von Sicherheitstools und Workflows ermöglicht.

Heute bieten Anbieter SOAR-Systeme (Security Orchestration, Automation and Response) an, die sowohl Reaktionen als auch Korrekturmaßnahmen automatisieren. (Hier sollten Sie beachten, dass Anbieter unterschiedliche und inkonsistente Terminologie zur Beschreibung ihrer Tools verwenden. Sie sollten also genau wissen, welche Funktionen Sie von einer Sicherheitsautomatisierungs-Plattform erwarten und benötigen, bevor Sie nach Anbietern suchen.)

Security monitoring dashboard

Tools zur Sicherheitsautomatisierung bieten eine Dashboard-Ansicht mit Incidents, Reaktionsmetriken und mehr.

Was ist der Unterschied zwischen Automatisierung und Orchestrierung?

Bei der Sicherheitsautomatisierung geht es darum, Ihre Sicherheitsabläufe zu vereinfachen und effizienter zu gestalten. Im Gegensatz dazu verknüpft die Sicherheitsorchestrierung all Ihre verschiedenen Security-Tools, sodass sie ineinander greifen, Informationen austauschen und auf Incidents reagieren, selbst wenn die Daten über ein großes Netzwerk und mehrere Systeme oder Geräte verteilt sind.

Die Begriffe Sicherheitsautomatisierung und Sicherheitsorchestrierung werden häufig synonym verwendet, doch die beiden Plattformen haben in Wirklichkeit sehr unterschiedliche Funktionen. So verkürzt die Sicherheitsautomatisierung die Zeit für die Erkennung und Reaktion auf sich wiederholende Incidents und False Positive-Meldungen, sodass Warnmeldungen nicht unbearbeitet bleiben. Außerdem nimmt sie Sicherheitsanalysten monotone Arbeiten ab, sodass sie sich auf strategische Aufgaben wie investigative Recherchen konzentrieren können. Die Sicherheitsautomatisierung unterliegt dabei jedoch gewissen Einschränkungen, da jedes Playbook ein bekanntes Szenario mit einer vorgeschriebenen Vorgehensweise behandelt.

Die beiden Plattformen werden am besten zusammen eingesetzt: Die Sicherheitsautomatisierung deckt eine Reihe von Einzelaufgaben ab, während die Sicherheitsorchestrierung den Prozess von Anfang bis Ende verzahnt und beschleunigt – und mit dieser Kombination können Security-Teams ihre Effizienz und Produktivität maximieren.

Wie nutzen Sie eine Sicherheitsautomatisierung optimal?

Es gibt zahlreiche Möglichkeiten, Mehrwert aus der Sicherheitsautomatisierung zu generieren. Dazu gehören die Festlegung von Prioritäten für ihren Einsatz, die Entwicklung von Playbooks und die Schulung von Mitarbeitern. Folgen Sie diesen Best Practices, um den größtmöglichen Nutzen aus Ihrer Investition in eine Sicherheitsautomatisierungs-Plattform zu ziehen:

  1. Gehen Sie nicht davon aus, dass Sicherheitsautomatisierung Arbeitskräfte ersetzt: Die Technologie ist gut für die Ausführung einfacher Maßnahmen geeignet, aber für komplexere Probleme, die Entscheidungsfindung, Brainstorming und komplexe Problemlösungen erfordern, benötigen Sie weiterhin erfahrene IT-Mitarbeiter, und zwar vor allem Sicherheitsanalysten. Da die Automatisierung bestimmte Aufgaben übernimmt, haben diese Analysten die Zeit, sich auf die entscheidenden Probleme zu konzentrieren.
  2. Definieren Sie Prioritäten: Um die höchsten Prioritäten für die Automatisierung zu bestimmen, müssen Sie einen Blick auf das Gesamtbild werfen und feststellen, welche Incidents am häufigsten auftreten und bei welchen Incidents die Untersuchung und Behebung am längsten dauert. Definieren Sie dann Ihre Use Cases auf der Basis Ihrer branchenspezifischen und unternehmerischen Ziele und erstellen Sie eine Liste zur geplanten Nutzung der Sicherheitsautomatisierung. Beziehen Sie beim Erarbeiten der Anwendungsfälle alle Beteiligten des Security Operations-Teams ein, selbst wenn Sie wahrscheinlich nicht alle Use Cases sofort umsetzen werden. Wenn Sie sich bei der Suche nach Lösungsanbietern an diesen Prioritäten orientieren, können Sie sicherstellen, dass die gewählte Plattform Ihnen auch langfristig gute Dienste leisten wird.
  3. Setzen Sie die Automatisierung nach und nach ein: Die meisten Unternehmen können nicht alles auf einmal automatisieren, und das sollten sie auch nicht. Beginnen Sie dort, wo Sicherheitsautomatisierung am meisten Sinn macht oder einen unmittelbaren Nutzen bringen kann. Wenn Sie die Automatisierung nach und nach einführen, können Sie Ihre Fortschritte überwachen, die Ergebnisse berücksichtigen, bei Bedarf Anpassungen vornehmen und dieses Wissen nutzen, wenn Sie die Automatisierung in anderen Bereichen einführen.
  4. Entwickeln Sie Ihre Playbooks: Die Schritte, Anweisungen und Best Practices für die effektive Behebung von Incidents müssen unbedingt dokumentiert werden, um sicherzustellen, dass Ihr Security-Team jedes Mal einem konsistenten und wiederholbaren Prozess folgt, wenn ein Incident auftritt. Erstellen Sie eine Prioritätenliste für die Entwicklung von Playbooks und setzen Sie dabei die Playbooks ganz oben auf die Liste, welche die sich wiederholenden Aufgaben erledigen, mit denen Ihr Team am meisten Zeit verschwendet.
  5. Schulen Sie Ihre Mitarbeiter: Sie müssen Mitarbeiter nicht nur für den effektiven Einsatz der Sicherheitsautomatisierungssoftware schulen, sondern auch für die Behandlung komplexer Incidents, welche die Software nicht beheben kann. Wenn Benachrichtigungen gemeldet werden, die menschliches Eingreifen erfordern, müssen Ihre Mitarbeiter über das Fachwissen und das Selbstvertrauen verfügen, diese Probleme anzugehen.
  6. Nutzen Sie die neu verfügbare Zeit: Die Automatisierung macht Security-Teams produktiver und eröffnet ihnen Möglichkeiten, mehr für das Unternehmen zu tun. Planen Sie, welchen wertschöpfenden Aufgaben Ihre Analysten nachgehen sollen – zum Beispiel die Durchführung einer gründlichen Untersuchung, warum Sie ständig Phishing-Angriffe abwehren müssen. Darüber hinaus schafft die Automatisierung auch neue Rollen innerhalb des Unternehmens. Nutzen Sie also die neu verfügbare Zeit, um ein Modell zur kontinuierlichen Verbesserung zu entwickeln und die Mitarbeiter in der Entwicklung, Implementierung und Verbesserung der Automatisierungslogik zu schulen.
  7. Führen Sie Ihre Security-Tools und -Workflows zusammen: Wenn Sie die Sicherheitsorchestrierung zusätzlich zur Sicherheitsautomatisierung einführen, erhalten Sie mehr Transparenz innerhalb Ihrer gesamten Organisation, verbessern Kommunikation und Zusammenarbeit, steigern die Effizienz, beseitigen Unklarheiten und Fehler und verkürzen die Reaktionszeiten.
Was sind die ersten Schritte zum Einstieg in die Sicherheitsautomatisierung?

Für den Einstieg in die Sicherheitsautomatisierung müssen Sie Ihren Bedarf ermitteln, Use Cases definieren und das umfangreiche Produktangebot anhand einer Vielzahl von Kriterien gründlich durchforsten. Wenn Sie dann bereit sind, finden Sie hier einige Hilfestellungen, wie Sie die große Frage nach der richtigen Sicherheitsautomatisierungs-Plattform beantworten können.

  1. Definieren Sie zuerst Ihren Bedarf: Es hängt stark von Ihrer Branche und Ihrem Unternehmen ab, wie die Sicherheitsautomatisierung Ihnen helfen kann. Welche Tools Sie einsetzen und welche Prozesse Sie implementieren, hängt stark davon ab, ob Ihr Unternehmen im Einzelhandel, im Gesundheitswesen, in der Fertigung, im Finanzdienstleistungssektor, im öffentlichen Sektor oder in einer anderen Branche tätig ist.

    Einzelhändler haben beispielsweise in noch nie dagewesenem Maß mit Ransomware und Phishing-Angriffen zu kämpfen. Automatisierung kann dabei helfen, sich wiederholende Angriffe und False Positive-Benachrichtigungen anzugehen, sodass Sicherheitsanalysten die Angriffe eingehender untersuchen und eine langfristige Lösung finden können.

    Setzen Sie sich vor der Auswahl von Anbietern mit Ihrem IT-Team und anderen Führungskräften im Unternehmen zusammen, um die Probleme zu identifizieren, die gelöst werden müssen. Mit den folgenden Fragen können Sie das Gespräch voranbringen:

    • Hat das Sicherheitsteam mit Over-Alerting zu kämpfen? Wie viele Benachrichtigungen erhalten sie pro Tag und auf wie viele können sie reagieren? Wie viele davon sind Wiederholungen oder False Positives?
    • Wie fallen Ihre Dwell Time (die Zeitdauer, in der eine aktive Bedrohung unentdeckt bleibt) und Ihre Reaktionszeit aus?
    • Welche Aufgaben sind wiederholbar und klar definiert? Wie könnte die Automatisierung die Durchführung dieser Aufgaben beschleunigen?
    • Was sind die drei wichtigsten Ziele des Unternehmens (z. B. Wachstum, schlanke Prozesse, Reduzieren ineffizienter Abläufe)? Welche Sicherheitsprioritäten müssen Sie festlegen, damit das Unternehmen diese Ziele erreichen kann?
  2. Definieren Sie Use Cases: Erstellen Sie auf der Basis Ihrer branchenspezifischen und unternehmerischen Ziele eine Liste zur geplanten Nutzung der Sicherheitsautomatisierung. Wenn Sie beispielsweise in der Fertigungsindustrie tätig sind, also der Branche, die nach dem Gesundheitswesen am zweithäufigsten angegriffen wird, könnten Sicherheitsautomatisierung und -orchestrierung Einblicke in die Vorgänge im Netzwerk bieten und gleichzeitig viele der Angriffe abwehren – und blockieren. Nehmen Sie sich für diesen Schritt Zeit, denn er ist entscheidend für die Suche nach Anbietern, die Ihre Anforderungen erfüllen, und am Ende auch für die Erstellung von Playbooks.
  3. Suchen Sie geeignete Anbieter:
    Ausgestattet mit Ihren Zielen, Prioritäten und Anwendungsfällen, können Sie nun mit der Suche nach einem Anbieter beginnen. Die folgenden Kriterien können Ihnen helfen, das Angebot einzugrenzen:
    • Wenig Programmieraufwand: Es ist sehr zeitaufwendig, Code für die Bereitstellung eines neuen Tools zu schreiben. Im Idealfall können Sie mit der Plattform Playbooks erstellen, ohne Code programmieren zu müssen.
    • Integration von Drittanbietern und Plugin-Unterstützung: Überprüfen Sie alle Ihre Apps und Tools, um sicherzustellen, dass jeder zur Auswahl stehende Anbieter die entsprechenden Integrationen und Plugins von Drittanbietern unterstützt.
    • Benutzerfreundlichkeit und Flexibilität: Wählen Sie eine Plattform, die wenig bis keine Wartung erfordert. Finden Sie heraus, wie viele Anpassungen Sie vornehmen können, um Ihre unmittelbaren und langfristigen Anforderungen zu erfüllen.
    • Dauer und Art der Bereitstellung: Wenn Sie sofortigen Nutzen erzielen möchten, fragen Sie ganz direkt bei den Anbietern nach, wie lange es dauern wird, bis Sie loslegen können – von Infrastruktur-Updates über die Installation bis hin zur Schulung der Mitarbeiter.
    • Technischer Support: Finden Sie heraus, welche Art von Support Sie vom ersten Tag an erwarten können (z. B. 24/7-Support; Support per Telefon, E-Mail oder Webchat).

Fazit

Implementieren Sie die Sicherheitsautomatisierung am besten gleich

Sicherheitsautomatisierung ist nicht länger nur „nice to have“. In den heutigen komplexen IT-Umgebungen ist es vielmehr ein Muss. Angesichts der steigenden Anzahl und Schwere von Cyberangriffen herrscht ein Mangel an hochkarätigen Sicherheitsexperten. Die Automatisierung maximiert den Wert (und das Engagement) Ihrer besten Sicherheitsanalysten, da alltägliche, langweilige Aufgaben automatisiert werden.

Mit der Sicherheitsautomatisierung können Sie Ihre Reaktionszeit- und Dwell Time-Werte bei Incidents drastisch senken und haben bei Bedrohungen die Nase vor. Die Behandlung von Incidents, die Stunden oder sogar Tage dauern könnte, kann auf wenige Sekunden verkürzt werden. Das bedeutet, dass Sie Ihr Unternehmen weniger Bedrohungen aussetzen und Ihre Kunden besser schützen, während Sie gleichzeitig den Ruf und den Gewinn Ihres Unternehmens im Blick haben.