18. Sep. 2022
Fachkräftemangel: Wie XDR Security-Teams für die Zukunft wappnet
Unternehmen stehen vor ständig wachsenden Sicherheitsproblemen bei knapper oder gar schrumpfender Personaldecke. Um die Folgen für die Sicherheit abzumildern, können sie auf Automatisierung setzen, zum Beispiel mithilfe von Tools wie einer Extended-Detection-and-Response-(XDR)-Plattform. So lassen sich die herausfordernden Aufgaben bewältigen und ein zuverlässiger Schutz trotz der komplexen Bedrohungslandschaft gewährleisten, meint unser Autor.
Von Andreas Groß
Cyber-Sicherheitsteams können ihre Aufgaben kaum noch sachgemäß erledigen, denn es gibt unzählige und immer raffiniertere Angriffe. So verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) allein im Juli mehr als neun Millionen neue Malware-Varianten. Zudem ist die Personaldecke dünn: Bei einer aktuellen, von Trellix in Auftrag gegebenen Studie gaben 85 Prozent der befragten Cyber-Sicherheitsexperten an, dass sie ihre IT-Infrastrukturen nicht mehr optimal schützen könnten. An fehlender Motivation liegt das aber nicht: Die Untersuchung ergab, dass fast alle IT-Sicherheitsspezialisten (über 90 Prozent) ihre Tätigkeit für gesellschaftlich wichtig, sinnvoll und notwendig halten. Allerdings beklagen gleichzeitig 36 Prozent die mangelnde Anerkennung ihrer Arbeit. Auch die Dynamik des Bereichs und der Reiz des Neuen sind den IT-Sicherheitsspezialisten wichtig (52 Prozent). Darüber hinaus sind sich 41 Prozent sicher, immer wieder schnell einen neuen Job zu finden.
Ein optimiertes Arbeitsumfeld kann dabei helfen, wertvolle, aber überlastete Security-Temas im Unternehmen zu halten. Doch oft ist das Gegenteil der Fall: Die Unternehmen nutzen zahlreiche Speziallösungen, die unverbunden nebeneinander arbeiten und die das IT-Sicherheitspersonal mit einer Flut von Alerts überschütten, die kaum zu bewältigen ist. Strategische Aufgaben bleiben auf der Strecke. So müssen IT-Security-Teams darauf bauen, aus der Erfahrung heraus die bedrohlichsten Meldungen zu erkennen und zuerst abzuarbeiten. Schlimmstenfalls bleiben Angriffe jedoch lange unbemerkt und es entstehen so Schäden, die teuer sind, den guten Ruf kosten oder sogar rechtliche Konsequenzen für die betroffenen Firmen haben können.
XDR-Plattformen
Zumindest an dieser Stelle kann man die Sicherheitsteams mithilfe von Technologie, die verbesserte Arbeitsprozesse und schnellere Reaktionen verspricht, entlasten: Eine neue Möglichkeit, IT-Infrastrukturen wirksam zu schützen, sind Extended-Detection-and-Response-(XDR)-Plattformen. Laut des Marktforschungsunternehmens Gartner versteht man darunter SaaS-basierende Tools für die Bedrohungsanalyse und die Reaktion auf entsprechende Ereignisse in der gesamten Infrastruktur. Sie integrieren native Funktionen und mehrere Sicherheitsprodukte zu einem umfassenden und konsistenten Sicherheits-System mit vereinheitlichter Lizenzierung.
XDR-Lösungen sind in der Regel mit künstlicher Intelligenz (KI) und Machine-Learning ausgerüstet. Sie sind so lernfähig und erkennen frühzeitig Schwachstellen und Bedrohungen. Dafür gleichen sie den aktuellen Istzustand der gesamten Infrastruktur und ihrer Komponenten mit dem gesammelten Datenfundus ab, erkennen Abweichungen vom Normalverhalten sowie bisherige und neue Bedrohungsvektoren. Sie analysieren bestehende Risiken und Angriffe und schlagen Gegenmaßnahmen vor. Das erhöht die Produktivität des Sicherheitspersonals, führt zu besseren Erkennungs- und Abwehrraten und senkt die Kosten einer funktionierenden Cyberabwehr.
DLP schützt digitale Daten-Assets
Besonders wichtig ist der Schutz digitaler Daten-Assets, ohne die heute kaum eine Geschäftstätigkeit funktioniert. Deshalb sollte eine XDR-Plattform leistungsfähige Data-Loss-Prevention-(DLP)-Komponenten umfassen, die alle Daten schützen: im Ruhezustand (data at rest), auf dem Transportweg oder in Bewegung (data in motion) und in Benutzung (data in use).
Ein zeitgemäßes DLP-System sammelt Informationen besonders zu sensitiven Daten im Unternehmen, etwa zu Ersteller, Absender sowie Aufbewahrungsort, und unterstützt das Anlegen oder Optimieren diesbezüglicher Regeln. Es scannt die Infrastruktur und Datenbanken, um alle Daten zu lokalisieren und zu schützen. Zudem überwacht es die datenbezogenen Aktivitäten jeglicher Endgeräte und stellt sicher, dass die Sicherheitsfunktionen für Datenbanken und ähnliche Datenspeicher den Compliance-Anforderungen entsprechen, zum Beispiel der Datenschutz-Grundverordnung. Auch hilft ein solches System dabei, auf Sicherheitszwischenfälle richtig zu reagieren, indem es genaue Informationen dazu bereitstellt, welche Daten kompromittiert wurden.
Mit Intelligenz und Lernfähigkeit
Eine Plattform, die die komplexe Aufgabe des Schutzes von Infrastruktur und Daten wirksam unterstützen soll, kommt heute nicht mehr ohne Automatisierungsmechanismen, einer lückenlosen Überwachung sämtlicher Endgeräte und ohne eine übergreifende Integration vielfältiger Technologien aus. Dazu gehört möglichst auch Offenheit gegenüber Fremdprodukten. Denn die meisten Unternehmen verwenden heute viele unterschiedliche Sicherheits-Punktlösungen, die unter dem einheitlichen Dach noch mehr leisten sollten als für sich allein.
Wichtig sind aber die bereits genannten Komponenten künstliche Intelligenz und maschinelles Lernen – besonders mit Blick auf die Automatisierung. Die beiden Technologien helfen, Schwachstellen in der gesamten Infrastruktur schneller zu erkennen und zu beseitigen. Die Lernfähigkeit solcher Systeme erlaubt, Attacken rechtzeitig zu entdecken oder gar proaktiv zu verhindern. Gegenreaktionen erfolgen am besten mit angriffsspezifisch optimierten Methoden und vordefinierten Prozessen (Playbooks) nach dem aktuellen Stand der Technik. Dabei ermöglicht die Lernfähigkeit der Lösungen auch, mit dem schnellen Veränderungstempo elektronischer Schädlinge mitzuhalten und neue Angriffsvektoren weit im Voraus zu erkennen.
IT-Teams gewinnen Zeit fürs Wesentliche
Zusammenfassend ist XDR sicher kein Allheilmittel gegen Personalmangel. Aber die Technik kann dabei unterstützen, bestehende Teams deutlich zu entlasten. So können sich die Verantwortlichen gezielt mit den wichtigen Vorgängen befassen und sich beispielsweise wieder mit liegengebliebenen strategischen Überlegungen zur Sicherheitsarchitektur beschäftigen. Das steigert die Effektivität, die Motivation und damit die Chance, IT-Sicherheitsspezialisten im Unternehmen zu halten. Investitionen in bestehende Security-Tools werden geschützt, da sie sich in eine XDR-Plattform integrieren lassen – eine Win-Win-Situation für alle Beteiligten, welche die Sicherheit und damit auch die Wettbewerbsfähigkeit von Unternehmen steigert.
Andreas Groß (CISSP) ist Senior Manager PreSales bei Trellix.
