IT-Security ist nicht einfach. Es gibt aber Wege, die Komplexität im Security Operations Center deutlich zu verringern.  IT security is not easy. But there are ways to significantly reduce complexity in the Security Operations Centre.
Bei IT-Security ist Verteidigung in der Tiefe gefragt mit überlappenden Komponenten, die sich gegenseitig verstärken. Dieses engmaschige Verteidigungsnetz aufzubauen, ist keine leichte Aufgabe.

Laut Gartner „beschleunigt sich die Konvergenz der Sicherheitstechnologien, angetrieben durch die Notwendigkeit, die Komplexität zu reduzieren, den Verwaltungsaufwand zu verringern und die Effizienz zu steigern. Neue Plattformansätze wie Extended Detection and Response (XDR), Security Service Edge (SSE) und Cloud Native Application Protection Platforms (CNAPP) beschleunigen die Vorteile konvergenter Lösungen“.

Gartner prognostiziert außerdem, dass „die Konsolidierung von Sicherheitsfunktionen die Gesamtbetriebskosten senken und die Betriebseffizienz langfristig verbessern wird, was zu einer besseren Gesamtsicherheit führt“. Insbesondere im Bereich der Bedrohungserkennung und Vorfallsreaktion (Threat Detection and Incident Response, TDIR) ist die Vereinfachung für Cyber-Teams, die mit zu vielen Tools arbeiten und ständig zwischen diesen wechseln müssen, von großer Bedeutung.

Andy Grolnick, CEO des SIEM-Lösungsanbieters Graylog, nennt die drei besten Methoden, um die Komplexität im Security Operations Center (SOC) deutlich zu reduzieren:

  1. Automatisierungsmöglichkeiten identifizieren

Alle Sicherheitsorganisationen weltweit investieren in Automatisierung. Automatisierung eliminiert lästige, sich wiederholende Aufgaben und schließt Fehlerquellen aus. Laut einer aktuellen Umfrage, die die Jahre 2022 und 2023 vergleicht, halten 75% der Sicherheitsverantwortlichen die Automatisierung im Bereich der Cybersicherheit für wichtig, verglichen mit 68% im Jahr 2022. Die Teams gehen die Automatisierung in einer Vielzahl von Bereichen an.  Der größte Anstieg ist bei der Alarmierung zu verzeichnen, mit 30 % gegenüber 18 % im Jahr 2022. Beim Schwachstellenmanagement ist ein Anstieg auf 30 % zu verzeichnen, 5 % mehr als im Jahr 2022. Ein weiterer häufiger Anwendungsfall für Automatisierung im Jahr 2023 ist Phishing.

  1. Rationalisierung der Protokolle

Der zweite Schritt besteht darin, alle relevanten Daten aus verschiedenen Quellen in einer einzigen, zugänglichen Plattform wie einem Security Information and Event Management (SIEM) zu sammeln. Unternehmen müssen ihre Silostrukturen aufbrechen und sich auf Daten aus dem gesamten Unternehmen konzentrieren. Nur so erhalten sie einen ganzheitlichen Überblick über die Bedrohungslandschaft. Eine klar definierte Protokollierungsstrategie ist notwendig, um die Kosten im Griff zu behalten und einen umfassenden Überblick über die Risiken zu gewährleisten. Weitere Informationen zum Log-Management finden Sie im englischen Blog-Eintrag.

  1. Erweiterung des TDIR-Fokus um Threat Intelligence

Threat Detection, Investigation and Response (TDIR) ist die primäre Funktion von SOC-Teams und umfasst viele bewegliche Teile, darunter mehrere Tools, Threat Intelligence, NDR, EDR, SIEM, SOAR, UEBA und jetzt XDR in einem ständig wachsenden Akronym-Albtraum. Integration ist notwendig und wertvoll, aber die Rationalisierung der Prozesse ist eine Herausforderung.

Innovative Tools verpacken Bedrohungsdaten in so genannte Illuminate Content Packs. Dies vereinfacht den SOC-Betrieb für viele Unternehmen, die sich keine zusätzlichen Sicherheitstools leisten können oder nicht über die Fähigkeiten oder das Personal verfügen, Bedrohungsdaten selbst zu integrieren. Dieser Ansatz verspricht eine Neudefinition der Effektivität und Effizienz, mit der Unternehmen Bedrohungen identifizieren und abwehren können.

„Content war für SOCs schon immer wertvoll, aber bisher nur für anspruchsvollere SOCs, die in der Lage waren, Erkennungsregeln und Warnmeldungen zu schreiben, um das Rauschen zu eliminieren und die Erkennung zu optimieren. Die Illuminate Content Packs von Graylog beschleunigen die Erkennung und Reaktion auf Bedrohungen, die auf dem MITRE ATT&CK® Framework basieren. Graylog erweitert diese Fähigkeit, indem es die Intelligenz von SOC Prime mit anderen Datenkontexten verknüpft und so die Risikoidentifizierung und die Effizienz der Ermittlungen verbessert“, erläutert Andy Graylog die Technologiepartnerschaft mit SOC Prime.

„Im Gegensatz zu anderen Partnerschaften handelt es sich hier um eine technische Integration der SOC Prime-Funktionen in die Graylog-Plattform. Jeder Graylog Security Kunde wird über die Illuminate-Pakete von Graylog ohne zusätzliche Kosten oder Aufwand auf vorkuratierte SOC Prime Inhalte zugreifen können. Das spart dem Sicherheitspersonal an vorderster Front Zeit und Geld“, so Grolnick abschließend.

IT security requires defence in depth, with overlapping components that reinforce each other. Building this tightly-knit defensive network is no easy task.

According to Gartner, „the convergence of security technologies is accelerating, driven by the need to reduce complexity, minimise management overhead and increase efficiency. New platform approaches such as Extended Detection and Response (XDR), Security Service Edge (SSE) and Cloud Native Application Protection Platforms (CNAPP) are accelerating the benefits of converged solutions“.

Gartner also predicts that „the consolidation of security functions will reduce the total cost of ownership and improve operational efficiency in the long term, resulting in better overall security“. Simplification, particularly in the area of threat detection and incident response (TDIR), is critical for cyber teams that are working with too many tools and constantly switching between them.

Andy Grolnick, CEO of SIEM solution provider Graylog, outlines the three best ways to significantly reduce complexity in the security operations centre (SOC):

  1. Identify automation opportunities

All security organisations around the world are investing in automation. Automation eliminates tedious, repetitive tasks and removes sources of error. According to a recent survey comparing 2022 and 2023, 75% of security leaders believe automation is important in cybersecurity, up from 68% in 2022. Teams are tackling automation in a variety of areas.  Alerting has seen the biggest increase, at 30%, compared to 18% in 2022. Vulnerability management has also increased to 30%, up 5% from 2022. Another common use case for automation in 2023 is phishing.

  1. Streamline logs

The second step is to collect all relevant data from multiple sources into a single, accessible platform, such as a security information and event management (SIEM) system. Organisations need to break down silos and focus on data from across the enterprise. This is the only way to gain a holistic view of the threat landscape. A clearly defined logging strategy is necessary to keep costs under control and ensure a comprehensive view of risks. For more information on log management, see the blog post.

  1. Expand the TDIR focus to include threat intelligence

Threat Detection, Investigation and Response (TDIR) is the primary function of SOC teams and involves many moving parts, including multiple tools, threat intelligence, NDR, EDR, SIEM, SOAR, UEBA and now XDR in an ever-growing acronym nightmare. Integration is necessary and valuable, but streamlining processes is a challenge.

Innovative tools are packaging threat intelligence into Illuminate Content Packs. This simplifies SOC operations for many organisations that cannot afford additional security tools or do not have the skills or personnel to integrate threat data themselves. This approach promises to redefine the effectiveness and efficiency with which organisations can identify and defend against threats.

„Content has always been valuable for SOCs, but until now only for the more sophisticated SOCs that were able to write detection rules and alerts to eliminate the noise and optimise detection. Graylog’s Illuminate Content Packs accelerate threat detection and response based on the MITRE ATT&CK® framework. Graylog extends this capability by combining SOC Prime’s intelligence with other data contexts to improve risk identification and investigation efficiency,“ said Andy Graylog, explaining the technology partnership with SOC Prime.

„Unlike other partnerships, this is a technical integration of SOC Prime capabilities into the Graylog platform. Every Graylog Security customer will be able to access pre-curated SOC Prime content through Graylog’s Illuminate packages at no additional cost or effort. This will save frontline security personnel time and money,“ concludes Grolnick.

Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner