von Christian Have, CTO, LogPoint
Wenn es an der Zeit ist, Prognosen für das kommende Jahr abzugeben, versuchen wir oft, die eine seismische Verschiebung zu identifizieren, die alles verändern wird. Spoiler-Alarm – wir sehen keine großen Umwälzungen auf dem Markt für Cybersicherheit. Anstelle eines Umbruchs erwarten wir einen Wandel in der Art und Weise, wie Unternehmen über ihre Herausforderungen in der Cybersicherheit denken und wie sie diese bewältigen möchten. Dieser Wandel steht für einen ganzheitlichen Ansatz im Security-Betrieb und hat schon lange auf sich warten lassen.
Dies sind fünf Entwicklungen, die Sie erwarten können:
Schnellere Einführung von Plattformen zur Konsolidierung und Integration von Cybersicherheit
Im Jahr 2022 wird es eine schnellere Verlagerung weg von erstklassigen, punktuellen Lösungen und hin zu einheitlichen, konsolidierten Infrastrukturen für die Cybersicherheit geben – insbesondere bei mittelständischen Unternehmen.
Ausgehend von den Fortune-500-Unternehmen, gibt es eine Ebene darunter Tausende von Unternehmen, die nicht in diese Größenordnung fallen, und denen es an Ressourcen und ausgereiften Lösungen für die Cybersicherheit mangelt. Sie haben ständig damit zu kämpfen, ihr Cybersecurity-Budget zu rechtfertigen, und als Ergebnis ihrer Investitionen signifikante Verbesserungen der Effizienz oder eine Verringerung der Risiken zu erzielen. Dieser Kreislauf wiederholt sich, da CISOs zwar in der Lage sind, erstklassige Tools zu kaufen, aber oft nicht über das erforderliche Fachwissen verfügen, um die hochentwickelten Funktionen eines Produkts zu nutzen. Darüber hinaus steht nie genug Budget oder Zeit zur Verfügung, um den Betrieb ihrer zahlreichen Tools zu integrieren und sicherzustellen, dass sie den erwarteten Nutzen aus ihnen ziehen können. Für viele Unternehmen sind erstklassige Tools alleine keine erfolgversprechende Lösung. Sie suchen nach einem konsolidierten, einheitlichen Ansatz – entweder mit der Lösung von einem einzigen Anbieter oder mittels der Nutzung offener Standards, um ein einheitliches Ergebnis zu erzielen.
Die Automatisierung der Cybersicherheit wird einen Quantensprung machen
Die KI-gestützte Automatisierung der Erkennung und Reaktion auf Bedrohungen wird es CISOs ermöglichen, die Vorgehensweisen und Handlungen von Menschen durch etwas zu ersetzen, das weit über das hinausgeht, was sie jemals für möglich gehalten hätten. Automatisierung ist jedoch ein langer und steiniger Weg. Bevor ein Unternehmen einen einzelnen Prozess – geschweige denn mehrere, miteinander verknüpfte Prozesse – automatisieren kann, muss es viele Hindernisse überwinden. Die Technologien der künstlichen Intelligenz (KI) und der robotergestützten Prozessautomatisierung (RPA) sind heute bereits sehr ausgereift – zum Nutzen vieler, verschiedener Branchen. Cybersicherheit ist da keine Ausnahme.
Tatsächlich werden sich KI und Automatisierung als die einzige Möglichkeit erweisen, mit den sich ständig ändernden Methoden der Cyberkriminellen und ihrer Unverfrorenheit Schritt zu halten sowie dem wachsenden Angriffsvolumen entgegenzuwirken. Wie wir wissen, ist ein echter „Quantensprung“ eigentlich recht klein, hat aber eine große Wirkung. Dies ist der Effekt, den die KI-gestützte Automatisierung auf den Security-Betrieb haben wird.
Die Playbooks für Reaktionsmaßnahmen: von statisch zu dynamisch
Die Reife von KI- und Automatisierungstechnologien wird mittelständische Unternehmen und deren MSSPs dazu bewegen, ihre Pläne für die SOC-Automatisierung schneller umzusetzen. Die Kombination von KI und RPA wird das Ende des klassischen Security-Playbooks einläuten. Die heute eingesetzten Playbooks sind statisch. Sie erfordern ein hohes Maß an Expertise und Fachwissen von den Analysten, die alle Angriffsszenarien berücksichtigen müssen – auch unbekannte Angriffe. Sie müssen bedenken, wie sie in der Vergangenheit reagiert haben, und wie sie in Zukunft reagieren möchten. Diese Prozesse sind viel zu zeitaufwendig. Es ist praktisch unmöglich, diese Playbooks auf einem aktuellen Stand zu halten.
Mit KI-gesteuerter oder KI-unterstützter Erkennung und Reaktion auf sicherheitsrelevante Vorfälle wird das statische Playbook durch ein dynamisches Echtzeit-Playbook abgelöst, das auf den aktuell drohenden Vorfall zugeschnitten ist.
Das KI-gesteuerte System erstellt unmittelbar das beste Playbook, und zwar auf Basis der Analyse der Incident-Daten, der Telemetriedaten, der historischen Vorfälle und deren Behebung, der Bedrohungsinformationen aus dem Internet sowie aus weiteren Quellen. Sie können die Reaktionsmaßnahmen automatisiert durchführen oder den Analysten auffordern, die Playbook-Aktionen zu bestätigen. So einfach wird es sein.
SIEM-Technologie in einer ganzheitlichen Konstellation
Die Zukunft von SIEM ist für alle Unternehmen weltweit von großer Bedeutung. SIEM wird es immer geben. In der EU gibt es Vorschriften, die CISOs dazu veranlassen, ihr eingesetztes SIEM entweder On-Premises oder bei einem in der EU ansässigen Cloud-Provider zu belassen, und nach XDR oder anderen Lösungen für die Konsolidierung zu suchen, die sich integrieren lassen. Dies ist der Grund dafür: Ist ein Unternehmen in der EU tätig ist oder steht im Dienst von EU-Bürgern, muss es sicherstellen, dass jedes System, das personenbezogene Daten von EU-Bürgern speichert, über EU-konforme Datenschutzmaßnahmen verfügt.
Erst kürzlich wurde eine neue EU-Verordnung erlassen, die besagt, dass die Daten eines EU-Bürgers unter das EU-Recht fallen, unabhängig davon, wo die Daten gespeichert sind. Dies wird verhindern, dass Unternehmen ein cloudbasiertes SIEM wählen, das außerhalb der EU gehostet wird oder einem Nicht-EU-Unternehmen gehört. Es ist fast so kompliziert zu erklären, wie es einzuhalten ist.
Daten werden alles bestimmen
Ein weiterer Grund, warum CISOs sich im Jahr 2022 für Lösungen für die Konsolidierung und Vereinheitlichung wie beispielsweise XDR entscheiden werden: Diese Lösungen ermöglichen eine einheitliche Instrumentierung sowie einen umfassenden, datengesteuerten Ansatz für die Cybersecurity-Strategie und -Implementierung. Wenn Metriken und Daten rund um die IT-Sicherheit klar und verständlich sind und über die technischen Aspekte hinausgehen, können CISOs produktivere Gespräche über die Leistungen und die Finanzierung führen.
Das Potenzial, das wir für das Jahr 2022 sehen, hängt von Daten ab. Von genauen Daten. Von vollständigen Daten. Von vertrauenswürdigen Daten. Von Daten in Echtzeit. Von historischen Daten. Unternehmen benötigen all diese Daten, um eine effektive Abwehr sowohl gegen externe als auch gegen interne Bedrohungen zu etablieren. Sie benötigen eine Plattform, die alle ihre Cybersecurity-Daten zusammenführt, verifiziert, in einen Kontext stellt, vereinfacht, und auf der Grundlage von Dringlichkeit, bisherigen Erfahrungen, potenziellem Schaden, bereits entstandenem Schaden und vielen weiteren Faktoren priorisiert. Sie benötigen Daten, um die verschiedenen Tools in ihrer Cybersecurity-Infrastruktur so zu orchestrieren, dass jedes Tool seine Rolle voll und ganz erfüllt und maximalen Nutzen bietet. Sie benötigen Daten für die Automatisierung. Wenn Sie sich auf Ihre Daten nicht verlassen können, können Sie die Prozesse, die sie nutzen, nicht automatisieren.
2022 ist das Jahr der ganzheitlichen Lösungen zur Erkennung von Bedrohungen und Reaktion auf sicherheitsrelevante Vorfälle
Die Quintessenz des Ganzen? Das nächste Jahr ist das Jahr der ganzheitlichen Bedrohungserkennung und Reaktion auf sicherheitsrelevante Vorfälle – gekennzeichnet durch höhere Geschwindigkeit, KI-gestützte Konsolidierung, einheitliche Instrumentierung sowie Automatisierung. Der ganzheitliche Ansatz könnte die Form einer XDR-Plattform oder einer selbst entwickelten Lösung annehmen. Die Zeit wird es zeigen.
Viele Cybersecurity-Unternehmen investieren in den Bereich der Automatisierung. Ganz gleich, wo Sie hinsehen, die Anbieter entwickeln Automatisierungsplattformen, um ein SOC mit 30, 50 oder 100 Mitarbeitern zu optimieren. Diese hochentwickelten, komplexen Plattformen haben für den CISO eines mittelständischen Unternehmens keinen Wert. Sie sind sowohl preislich als auch praktisch unerreichbar.
Aus diesem Grund sehen wir Tausende von Unternehmen, die sich einem konsolidierten und ganzheitlichen Ansatz zuwenden, bei dem der Fokus nicht auf den besten Tools mit viel Schnickschnack liegt, sondern auf der Nutzung von KI und Automatisierung, um ihre Sicherheitsabläufe einfacher, effizienter und effektiver zu gestalten, als sie es je für möglich gehalten hätten.