Fachleute für IT-Sicherheit – oft die erste Verteidigungslinie eines Unternehmens – erleben Burnouts. Der Grund ist häufig eine Informationsüberflutung.
Angesichts einer Flut von Warnmeldungen (darunter auch Mehrfachmeldungen aus verschiedenen Tools) ist es schwierig, zu entscheiden, welche Bedrohungen besonders schwerwiegend für ein Unternehmen sind und zuerst bekämpft werden sollten. Sicherheitswarnungen sind natürlich sinnvoll, doch in einer aktuellen Studie räumen 68 % der IT-Sicherheitsfachleute ein, dass sie die Zahl der Meldungen bestimmter Warnfunktionen reduzieren. 49 % geben sogar zu, dass sie Lösungen, die eine große Zahl von Warnmeldungen ausgeben, vollständig abschalten.
Wenn solche Sicherheitsprotokolle gelockert werden, sinkt der Aufwand, der damit verbunden ist, jeder einzelnen Meldung nachzugehen. Zugleich verschärften sich dadurch aber die Sicherheitlücken, wodurch die Gefahr einer Kompromittierung steigt. Das kann schwerwiegende Folgen haben. Eine übersehene Warnung kann zu einem Datenleck führen, die Kosten für die Angriffsabwehr in die Höhe treiben oder Tür und Tor für weitere Attacken öffnen.
Wie IBM in dem Bericht „Cost of a Data Breach“ aus dem Jahr 2021 feststellt, dauert es schon jetzt etwa 212 Tage, um ein solches Datenleck zu erkennen und weitere 75 Tage, um die Sicherheitslücke zu schließen. Und diese Zeit dürfte sich noch weiter ausdehnen, wenn das Problem nicht angegangen wird.
Es gibt zwei wesentliche Gründe, aus denen bei Sicherheitsfachleuten Ermüdungserscheinungen zu registrieren sind. Erstens haben viele Unternehmen eine vollständige oder teilweise Umstellung auf Cloud-Computing vollzogen. Es kann aufwendig sein, diese hybride Infrastruktur zu konfigurieren, verwalten und gegen eine Zahl immer gefährlicherer Bedrohungen abzusichern. Hinzu kommt, dass nicht alle Sicherheitsprodukte sowohl für On Premise- als auch für Cloud-Umgebungen geeignet sind. Das zwingt Unternehmen, auf zusätzliche Lösungen zum Schutz ihrer Nutzer und Daten zurückzugreifen.
Zweitens fügen Firmen ihrem Stack immer weitere Sicherheitsprodukte hinzu, wodurch auch die Mengen an Überwachungsdaten zunimmt. Diese Daten sind maßgeblich, um zu verstehen, mit welchen Bedrohungen ein Unternehmen konfrontiert ist und um diese abzuwehren. Allerdings kann die zu analysierende Datenmenge überwältigende Ausmaße annehmen.
Die Vernachlässigung der Überprüfung von Warnmeldungen wird durch mehrere weitere Faktoren noch verstärkt:
In einer Umfrage des Ponemon Institute berichteten Teilnehmende von einer falsch-positiv-Rate von 20–50 %, was die IT-Sicherheitsabteilungen daran hindert, sich ein realistisches Bild von den Bedrohungen für ihre Unternehmen zu machen.
Einzelprodukte greifen nicht notwendigerweise so ineinander, dass sie eine Optimierung der Menge und der Qualität der übermittelten Daten ermöglichen. Das kann die korrekte Beurteilung des Sicherheitsniveaus eines Unternehmens und eine Analyse von neu auftauchenden Bedrohungen erschweren. Herkömmliche Tools zur Sicherheitsüberwachung – ob sie auf Host-, System-, Anwendungs- oder Netzwerk-Ebene eingesetzt werden – verlassen sich oft allzu sehr auf manuelle Abläufe für die Nachverfolgung und Klärung von Sicherheitsvorfällen. Viele cloudbasierte Sicherheitswerkzeuge wiederum sind nicht auf die Dimensionen oder die Komplexität hybrider Umgebungen ausgelegt.
Da Protokolle oft in Hardware oder Software abgeschottet sind, können sie keinen Kontext liefern, in dem die gesamte Infrastruktur eines Unternehmens berücksichtigt wird. Einen Angriff zu erkennen und zu durchkreuzen kann sowohl zeitaufwendig als auch schwierig sein, weil große Mengen an technischen Daten geprüft werden müssen.
Mit dem falschen Instrumentenkasten wird jedem Zwischenfall gleich große Bedeutung beigemessen. Dadurch ist es für IT-Sicherheitsfachleute mühsam, die drängendsten Bedrohungen manuell zu erkennen. Die richtige Kombination aus Tools erlaubt es ihnen, die eingehenden Daten automatisch zu priorisieren und so die ihre Unternehmen betreffenden Angriffsmuster sowie die Entwicklung anderer Sicherheitsrisiken zu erkennen, ohne wertvolle Zeit oder Ressourcen zu verschwenden.
Wenn die Mitarbeitenden in den IT-Sicherheitsabteilungen der Überprüfung von Warnmeldungen und der Verwaltung von Überwachungstools nicht mehr gewachen sind, steigt das Risiko für ihre Unternehmen.
Die Bekämpfung der Abstumpfung gegenüber Sicherheitskontrollen verlangen nicht allein die Verwendung des „perfekten“ Sicherheitstools, vielmehr muss Netzwerksicherheit neu gedacht werden.
Anstatt mit zahlreichen Einzellösungen zu hantieren (die weder auf eine Integration noch auf die Deduplizierung von Warnmeldungen ausgelegt sind und auch keinen umfassenden Überblick bieten), würde eine einzige Steuerungsebene der IT-Sicherheitsabteilung eine unkomplizierte Verwaltung ihrer Sicherheits- und Überwachungstools erlauben. Wenn Funktionen zur Bedrohungserkennung und -abwehr an ein und demselben Ort verwaltet werden, können Unternehmen nicht nur Sicherheitslücken schließen, sondern sich auch einen besseren Überblick und größere Kontrolle verschaffen.
Durch Folgendes kann die Bedrohungserkennung weiter optimiert werden:
Eine Protokollierung ist dann am nützlichsten, wenn die Sicherheitsabteilung ein klares und präzises Bild von den für ihr Unternehmen bestehenden Bedrohungen hat. Die Protokolldaten können durch Implementierung einer oder mehrerer der folgenden Funktionen angereichert werden:
KI-gesteuerte und ursachenorientierte Analyse: Die Erfassung der Vorgänge vor vor, während und nach einem Sicherheitsvorfall
Vorausschauende Analyse: Erkennung der Schwachstellen in der Infrastruktur, die vor Auftreten eines Sicherheitsvorfalls behoben werden sollten
Erkennung im Netzwerk und Reaktion: Die Beseitigung von Kommunikationshürden zwischen DevOps, Microservices und API-basierten Integrationen für einen umfassenden Überblick über den Datensicherheitszyklus
Referenzdaten zu Verhaltensweisen sammeln: Erfassung erwarteter und unerwarteter Maßnahmen und Verhaltensweisen
Einige Bereiche der Bedrohungserkennung erfordern manuelle Eingaben. Doch dort Automatisierung einzuführen, wo es möglich ist – idealerweise bei taktischen, wiederholbaren Etappen der Nachforschung und Analyse – kann die Arbeitslast für die IT-Sicherheitsabteilung bei der Bedrohungserkennung verringern. Das automatische Scannen von Endpunktgeräten oder E-Mails-Accounts beispielsweise funktioniert schneller, als den Scan jedes Mal händisch durchzuführen.
Die vorhandenen Instrumente zur Sicherheitsüberwachung sollten regelmäßig überprüft und optimiert werden, um sicherzustellen, dass sie wie erwartet funktionieren.
Anstatt das Sicherheitsniveau zu senken, können Unternehmen die Komplexität ihres Netzwerks reduzieren, indem sie ihre Sicherheitslösungen auf einer einzigen Plattform bündeln. Sie stärken dadurch ihr Sicherheitsniveau, beseitigen Sicherheitslücken und bieten eine unterstützendere Umgebung, in der sich Sicherheitsfachleute besser auf die schwerwiegenden Bedrohungen konzentrieren können.
Um wichtige Sicherheitsdienste zu konsolidieren und von der Netzwerk-Edge aus einzusetzen, können Sie die Zero Trust Network as a Service-Platform Cloudflare One nutzen. Das übergeordnete einzelne Cloudflare-Dashboard erlaubt es der IT-Sicherheitsabteilung, durch leicht zu konfigurierende und verwaltende visualisierte Analysen, ausführliche Protokolle und maßgeschneiderte Benachrichtigungen mit neuen Bedrohungen Schritt zu halten.
Aufbauend auf ein weitreichendes globales Netzwerk, das zur besseren Erkennung und Neutralisierung von Bedrohungen auf Informationen aus Millionen von Websites zurückgreift, profitieren Unternehmen von einer nativ integrierten Sicherheit, die sich mit zunehmender Ausweitung des Cloudflare-Netzwerks immer weiter verbessert.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Weshalb 68 % der Sicherheitsfachleute die Zahl der Warnmeldungen drosseln
Wie zahlreiche Sicherheitseinzellösungen zu Informationsüberflutung und Burnout beitragen
Empfehlungen, um einer Abstumpfung in IT-Sicherheitsfragen entgegenzuwirken
Die Deduplizierung von Warnmeldungen und die Überwachung sind wichtige Aspekte eines Zero Trust-Sicherheitsmodells. Ein besseres Verständnis dafür, welche Rolle sie bei der allgemeinen Umstellung auf Zero Trust spielen, vermittelt Ihnen unser Whitepaper „Wegweiser zum Zero Trust-Sicherheitsmodell“.