3min. read

Die Erfassung und Aufbewahrung aller Daten ist nicht das eigentliche Ziel. Vielmehr geht es darum, das zu sammeln, was Sie brauchen, und die richtigen Personen, Prozesse und Technologien zur Verbesserung Ihrer Cybersicherheit zu haben.

In den letzten Jahren haben Unternehmen aller Größen steigende Volumen an Verkehrs- und Anwendungstelemetriedaten von verschiedenen Geräten, Protokollen und Services gesammelt. Viele dieser Daten bilden eine Basis für betriebliche und strategische Entscheidungen. Die gleichen Daten haben jedoch auch das Potenzial, die Sicherheitslage eines Unternehmens enorm zu stärken. Allerdings nur, wenn sie effektiv verarbeitet und genutzt werden.

Unternehmen können viele Daten erfassen, die ihnen dabei helfen, die Geschehnisse in ihren Umgebungen zu verstehen und so ihre Cybersicherheit zu verbessern. Relevante Daten stammen aus Protokolldateien, Systemereignissen, Netzwerkverkehr, Anwendungen, Bedrohungserkennungssystemen, Datenfeeds und einer Vielzahl von anderen Quellen. Das hohe Datenvolumen kann jedoch eine große Herausforderung für Unternehmen darstellen, wenn es darum geht, informativen Wert für Sicherheitsrichtlinien, Bedrohungserkennung und Risikominderung zu extrahieren.

Wenn Ihr System die gesammelten Daten nicht verarbeiten kann, dann können Sie sie auch nicht sortieren und verstehen, was vor sich geht. In diesem Fall bleiben Sie nur auf nutzlosen Protokollen sitzen. Zusätzlich zu dieser Herausforderung sind gesammelte Daten oft voneinander isoliert, sodass es Sicherheitsexperten kaum möglich ist, Zusammenhänge zu erkennen und potenzielle Probleme zu identifizieren. Analysten sollten nicht vor 25 Bildschirmen brüten müssen, um solche Zusammenhänge manuell und kosten- sowie zeitintensiv herzustellen. Dies lenkt nur von dem eigentlichen Ziel – der Bedrohungserkennung – ab.

Die Cybersicherheitsbranche hat eine Welt erschaffen, in der es so viele verschiedene Punktlösungen gibt, dass Unternehmen effektiv zu Installateuren werden mussten, um all diese Lösungen miteinander zu verknüpfen. Da viele der genutzten Tools nicht darauf ausgelegt sind, miteinander zu interagieren, ist es meiner Meinung nach an der Zeit, einen automatisierten und integrierten Weg zu finden.

Größerer Nutzen aus Ihren Daten mit Automatisierung und Playbooks

Die richtigen Daten zu sammeln und den größten Wert aus ihnen zu schöpfen, ist nicht eine einzige Aufgabe oder Tätigkeit, sondern ein fortlaufender Prozess mit mehreren Komponenten.

Technologie: Aus technologischer Sicht müssen Sie sich zuerst ihr Inventar ansehen. Können Ihre Tools moderne Bedrohungen tatsächlich identifizieren? Falls das nicht der Fall ist, steht Ihnen eine große Herausforderung bevor, da Sie vermutlich nicht die Protokolle und Telemetriedaten erfassen, die Sie für fundierte Entscheidungen benötigen.

Automatisierung spielt ebenfalls eine kritische Rolle in der Datenwertschöpfung. Durch das hohe Volumen an erfassten Daten können einzelne Mitarbeiter einfach nicht mithalten – selbst wenn es sich um die richtigen Daten handelt. Ein wichtiger Schritt ist, die Identifizierung kritischer Vorfälle zu automatisieren. Dazu benötigen Sie Informationen, mit denen einfache Protokolldaten korreliert und angereichert werden und die so detaillierte Einblicke gewähren.

Personen: Die Automatisierung steht im direkten Zusammenhang damit, welche Daten Mitarbeiter für wichtig und nutzbringend halten. In vielen Unternehmen verbringen SOC-Experten ihre Acht-Stunden-Schichten damit, ständig auf „Aktualisieren“ zu klicken und Protokolle zu verfolgen. Das wird ihnen nicht dabei helfen, wichtige Informationen zu finden.

Hinzu kommt, dass Daten üblicherweise zunächst von Level-1-Analysten untersucht werden, die aufgrund der Monotonie des dauerhaften Durchforstens von Protokollen und der Entscheidungsaufgabe, welche Meldungen eskaliert werden müssen, oft innerhalb eines Jahres ein Burn-out erleiden. Denken Sie darüber nach: Die unerfahrensten und am schlechtesten bezahlten Mitarbeiter müssen entscheiden, welche Vorfälle weitergeleitet werden sollen. Dieses Modell ergibt keinen Sinn und muss dringend geändert werden.

Durch den Einsatz von A