Mit SIEM und SOAR die Sicherheit von Cloud-Umgebungen erhöhen

Durch die vermehrte Nutzung von Cloud-Diensten haben sich auch die Anforderungen an die IT-Sicherheit gewandelt. Zwar sichern die großen Cloud-Provider ihre Plattformen bestmöglich ab, Unternehmen müssen dennoch selbst Verantwortung für die Sicherheit ihrer darin individuell konfigurierten Anwendungen übernehmen. Für die Sicherheitsexperten im Unternehmen bedeutet die zunehmend komplexer werdende IT-Umgebung einen erheblichen Mehraufwand. So müssen sie zusätzlich zu ihren Inhouse-Systemen auch die Cloud Services unterschiedlicher Anbieter kontinuierlich im Blick behalten und haben es mit immer durchtriebeneren Hacker-Angriffen zu tun. Sicherheits-Tools wie SIEM und SOAR unterstützen sie dabei.

Vorteile durch Automatisierung des Security Operation Centers

Um Cyberangriffen vorzubeugen und im Notfall möglichst schnell handeln zu können, betreiben viele Unternehmen ein sogenanntes Security Operation Center (SOC). In diesem Zentrum werden Aktivitäten in der unternehmensweiten IT-Umgebung kontinuierlich beobachtet und ausgewertet. Finden die Security-Analysten etwas Verdächtiges, werden die Daten genauer untersucht und, falls nötig, Gegenmaßnahmen eingeleitet. Doch die durch die Digitalisierung immer komplexer und undurchsichtiger werdenden Angriffe bereiten traditionellen SOC-Teams zunehmend mehr Schwierigkeiten. Für Mitarbeiterinnen und Mitarbeiter wird es bei den vielen täglichen Warnmeldungen immer herausfordernder, den Überblick zu behalten. Dass Cloud-Dienste häufig nicht komplett in die Security-Landschaft integriert sind, erschwert die Situation zusätzlich.

Mit SIEM zur schnelleren Logfile-Analyse

Um SOC-Teams zu entlasten, lohnt es sich, in KI-gestützte Cloud-native Security zu investieren und Sicherheits-Tools zu automatisieren. Ein zentrales Werkzeug hierfür ist das Security Information and Event Management (SIEM). Indem es die Logdateien aller angeschlossenen Systeme sammelt, speichert und analysiert, dient es den Sicherheitsexperten als zentrale Informationsquelle. Der große Vorteil von SIEM besteht in den wenig ausgegebenen False Positives, denn das KI-gestützte System sortiert viele Fehlalarme bereits im Vorfeld aus. Dadurch reduziert sich die Zahl der sonst täglichen Hunderten bis Tausenden Alerts und die Mitarbeiterinnen und Mitarbeiter können sich auf die wirklich wichtigen Warnmeldungen fokussieren. Das entlastet nicht nur das Personal, sondern verkürzt auch erheblich die Reaktionszeit, um einem Hacker-Angriff entgegenzuwirken.

Mit SOAR zur schnelleren Workflow-Analyse

Das Security Information und Event Management unterstütz SOC-Teams demnach wesentlich in ihren ersten Arbeitsschritten. Doch um festzustellen, ob tatsächlich ein Cyberangriff vorliegt und welche Systeme dabei genau betroffen sind, müssen Analysten die Warnmeldungen aus dem SIEM genauer untersuchen. Dafür beziehen sie Threat Intelligence aus anderen Quellen ein und stellen Zusammenhänge her. Dies ist ebenfalls ein sehr aufwendiger Prozess, der viel Zeit und Energie kostet. Optimieren lässt sich dieser Prozess mit einer intelligenten Lösung, der Security Orchestration, Automation and Response, kurz SOAR. Hierbei lassen sich Arbeitsabläufe mithilfe von sogenannten Playbooks automatisieren. In ihnen sind Prozesse hinterlegt – wie beispielsweise ein Prüfvorgang zur Erkennung eines Phishing-Angriffs – die das System dann selbstständig abarbeitet. Die Hersteller solcher Playbooks liefern in der Regel mögliche Standard-Szenarien bereits mit, SOC-Teams können diese dann aber noch um eigene ergänzen und anpassen. Moderne SOAR-Lösungen dienen zudem auch als Kollaborationsplattform für Detection & Response-Aktivitäten und erleichtern ein koordiniertes und schnelles internes Vorgehen.

SIEM: Höhere Sicherheit durch Security-Automatisierung

Prozesse wie SIEM und SOAR können interne Sicherheitsbeauftragte bei weitem nicht ersetzen, sie unterstützen und entlasten sie aber erheblich in ihrer täglichen Arbeit. Im Idealfall kann ein Angriff so sofort abgefangen werden, bevor er überhaupt Schaden anrichtet. Dafür sind offene und ganzheitliche Ansätze gefordert. Damit SOC-Teams zukünftig aufwendige, manuelle Überprüfungen auf ein notwendiges Minimum reduzieren können, lohnt es sich, Prozesse zu automatisieren. 

Über den Autor:  Girish Bhat ist Vice President Security, Platform Marketing and Competitive Intel bei Sumo Logic. Das Unternehmen ist spezialisiert auf kontinuierliche Intelligenz, einer neuen Softwarekategorie, die es Unternehmen ermöglicht, die Herausforderungen und Chancen durch Daten anzugehen. Die Sumo Logic Continuous Intelligence Platform automatisiert die Erfassung, Aufnahme und Analyse von Anwendungs-, Infrastruktur-, Sicherheits- und IoT-Daten, um innerhalb von Sekunden umsetzbare Erkenntnisse abzuleiten. (sg)

Lesen sie auch: Cyberangriffe: Warum die Reaktionszeit in Unternehmen viel zu lang ist