Sicherheitsvorgänge

  • Artikel

Dieser Artikel enthält strategische Anleitungen für Führungskräfte, die eine Funktion für Sicherheitsvorgänge einrichten oder modernisieren. Bewährte Methoden für Architektur und Technologie finden Sie unter Bewährte Methoden für Sicherheitsvorgänge.

Mit Sicherheitsvorgängen wird das Risiko verringert, indem der Schaden durch Angreifer eingeschränkt wird, die Zugriff auf die Ressourcen Ihrer Organisation erlangen. Sicherheitsvorgänge konzentrieren sich darauf, die Zeit zu reduzieren, in der Angreifer Zugriff auf Ressourcen besitzen, indem sie Angriffe erkennen, darauf reagieren und die Wiederherstellung nach aktiven Angriffen unterstützen.

Schnelle Reaktion und Wiederherstellung schützen Ihre Organisation, indem sie die Rendite (Return on Investment, ROI) des Kontrahenten beeinträchtigen. Wenn Angreifer vertrieben werden und gezwungen sind, einen neuen Angriff zu starten, steigen ihre Kosten für einen Angriff auf Ihr Unternehmen.

Sicherheitsvorgänge (SecOps) werden manchmal als Security Operations Center (SOC) bezeichnet oder strukturiert. Die Verwaltung des Sicherheitsstatus der Betriebsumgebung ist eine Funktion der Governancedisziplin. Die Sicherheit des DevOps-Vorgangs ist Teil der Disziplin Innovationssicherheit.

Schauen Sie sich das folgende Video an, um mehr über SecOps und seine wichtige Rolle bei der Verringerung des Risikos für Ihre Organisation zu erfahren.

Personen und Prozesse

Sicherheitsvorgänge können sehr technisch sein, aber vor allem ist es eine menschliche Disziplin. Personen sind das wichtigste Gut bei Sicherheitsvorgängen. Durch ihre Erfahrungen, Fähigkeiten, Erkenntnisse, Ihre Kreativität und Ihre Ressourcen wird diese Disziplin effektiv.

Angriffe auf Ihre Organisation werden auch von Kriminellen, Spionen und Hacktivisten geplant und durchgeführt. Während einige herkömmliche Angriffe vollautomatisch ablaufen, werden die schädlichsten oft von menschlichen Angreifern live ausgeführt.

Konzentrieren Sie sich auf die Unterstützung von Personen: Ihr Ziel sollte nicht sein, Menschen durch Automatisierung zu ersetzen. Unterstützen Sie Ihre Mitarbeiter mit Tools, die ihre täglichen Workflows vereinfachen. Diese Tools ermöglichen es ihnen, mit den menschlichen Kontrahenten Schritt zu halten oder ihnen einen Schritt voraus zu sein.

Das schnelle Aussortieren von Signalen (echte Erkennungen) aus dem Rauschen (falsch positive Ergebnisse) erfordert eine Investition in Menschen und Automatisierung. Automatisierung und Technologie können menschliche Arbeit reduzieren, aber Angreifer sind menschlich, und menschliches Urteilsvermögen ist entscheidend, um sie zu besiegen.

Diversifizieren Sie Ihr Denkportfolio: Sicherheitsmaßnahmen können sehr technisch sein, aber es ist auch nur eine neue Version der forensischen Untersuchung, die in vielen Berufsfeldern wie der Strafjustiz auftaucht. Scheuen Sie sich nicht, Personen mit ausgeprägter Kompetenz in der Untersuchung oder deduktiven oder induktiven Denkmustern einzustellen und sie in der Technologie zu schulen.

Stellen Sie sicher, dass Ihre Mitarbeiter in eine gesunde Kultur eingebunden sind und die richtigen Ergebnisse messen. Diese Praktiken können die Produktivität und die Freude der Mitarbeiter an ihrer Arbeit erhöhen.

SecOps-Kultur

Zeigt die Liste der wichtigsten kulturellen Elemente an.

Wichtige kulturelle Elemente, auf die sie sich konzentrieren sollten, sind beispielsweise:

  • Missionsausrichtung: Da diese Aufgaben sehr anspruchsvoll sind, sollten die Sicherheitsverantwortlichen immer ein klares Verständnis davon haben, wie ihre Arbeit mit dem Auftrag und den Zielen der Gesamtorganisation zusammenhängt.
  • Kontinuierliches Lernen: Sicherheitsmaßnahmen sind sehr detaillierte Aufgaben und ändern sich ständig, weil Angreifer kreativ und hartnäckig sind. Es ist entscheidend, kontinuierlich zu lernen und daran zu arbeiten, sich stark wiederholende oder hochgradig manuelle Aufgaben zu automatisieren. Diese Arten von Aufgaben können die Moral und die Effektivität des Teams schnell zermürben. Stellen Sie sicher, dass die Kultur das Lernen, Suchen nach und Beheben dieser Problempunkte honoriert.
  • Teamarbeit: Wir haben gelernt, dass der „einsame Held“ bei Sicherheitsvorgängen nicht funktioniert. Niemand ist so schlau wie das ganze Team zusammen. Durch Teamarbeit wird auch eine Arbeitsumgebung mit hohem Druck angenehmer und produktiver. Es ist wichtig, dass jeder dem anderen den Rücken freihält. Tauschen Sie Erkenntnisse aus, koordinieren und überprüfen Sie die Arbeit der anderen, und lernen Sie ständig voneinander.

SecOps-Metriken

Zeigt eine Liste der wichtigsten Messungen, der Reaktionsfähigkeit und der Effektivität an.

Metriken steuern das Verhalten, daher ist die Erfolgsmessung ein entscheidendes Element, um richtig zu liegen. Metriken übersetzen die Kultur in klare, messbare Ziele, die zu Ergebnissen führen.

Wir haben gelernt, dass es entscheidend ist, sich Gedanken darüber zu machen, was gemessen wird und wie man sich auf diese Metriken konzentriert und sie durchsetzt. Erkennen Sie, dass Sicherheitsabläufe wichtige Variablen verwalten müssen, die außerhalb ihrer direkten Kontrolle liegen, etwa Angriffe und Angreifer. Jede Abweichung von den Zielvorgaben sollte in erster Linie als Lernmöglichkeit für Prozess- oder Toolverbesserungen betrachtet werden, anstatt davon auszugehen, dass das SOC ein Ziel nicht erreicht hat.

Die wichtigsten Metriken, auf die Sie sich konzentrieren sollten und die direkten Einfluss auf das Unternehmensrisiko haben, sind:

  • Mittlere Zeit bis zur Bestätigung (Mean Time To Acknowledge, MTTA): Die Reaktionszeit ist eines der wenigen Elemente, auf die SecOps einen direkten Einfluss hat. Messen Sie die Zeit zwischen einer Warnung, z. B. wenn das Licht zu blinken beginnt, und dem Zeitpunkt, an dem ein Analyst diese Warnung sieht und mit der Untersuchung beginnt. Um diese Reaktionsfähigkeit zu verbessern, dürfen Analysten keine Zeit mit der Untersuchung falsch positiver Ergebnisse verschwenden. Dies kann durch eine rigorose Priorisierung erreicht werden, die sicherstellt, dass jeder Warnungsfeed, der eine Reaktion des Analysten erfordert, eine Erfolgsbilanz von 90 Prozent echter positiver Erkennungen aufweisen muss.
  • Mittlere Zeit bis zur Behebung (Mean Time To Remediate, MTTR): Effektivität der Maßnahmen zur Risikominderung im nächsten Zeitraum. Dieser Zeitraum erstreckt sich vom Beginn der Untersuchung durch den Analysten bis zur Behebung des Vorfalls. MTTR gibt an, wie lange SecOps braucht, um den Zugriff des Angreifers aus der Umgebung zu entfernen. Mithilfe dieser Informationen können Sie ermitteln, wo in Prozesse und Tools investiert werden muss, um Analysten bei der Risikominderung zu unterstützen.
  • Behobene Vorfälle (manuell oder mit Automatisierung): Die Messung, wie viele Vorfälle manuell und wie viele automatisiert behoben werden, ist eine weitere wichtige Methode, um Entscheidungen über Personal und Tools zu treffen.
  • Eskalationen zwischen den einzelnen Ebenen: Verfolgen Sie, wie viele Vorfälle zwischen Ebenen eskaliert wurden. Dies trägt dazu bei, dass die Workload genau nachverfolgt wird, um Mitarbeiter- und andere Entscheidungen zu treffen. Beispielsweise, damit die Arbeit an eskalierten Vorfällen nicht dem falschen Team zugewiesen wird.

Sicherheitsbetriebsmodell

Sicherheitsmaßnahmen behandeln eine Kombination aus Vorfällen mit hohem Volumen und hoher Komplexität.

Abbildung, die das Sicherheitsbetriebsmodell zeigt.

Sicherheitsbetriebsteams konzentrieren sich häufig auf drei wichtige Ergebnisse:

  • Incident Management: Verwalten aktiver Angriffe auf die Umgebung, einschließlich:
    • Reaktives Reagieren auf erkannte Angriffe.
    • Proaktive Suche nach Angriffen, die herkömmlichen Bedrohungserkennungen entgangen sind.
    • Koordinierung der rechtlichen, kommunikativen und sonstigen geschäftlichen Auswirkungen von Sicherheitsvorfällen.
  • Vorbereitung von Vorfällen: Unterstützen der Organisation bei der Vorbereitung auf zukünftige Angriffe. Die Vorbereitung auf einen Vorfall ist eine breitere strategische Gruppe von Aktivitäten, die darauf abzielen, das Erinnerungsvermögen und den Kontext auf allen Ebenen der Organisation aufzubauen. Diese Strategie bereitet Mitarbeiter darauf vor, mit größeren Angriffen besser umzugehen und Erkenntnisse zur Verbesserung von Sicherheitsprozessen zu gewinnen.
  • Threat Intelligence: Sammeln, Verarbeiten und Weiterleiten von Bedrohungsinformationen an den Sicherheitsbetrieb, die Sicherheitsteams, die Sicherheitsleitung und die Beteiligten der Unternehmensleitung durch die Sicherheitsleitung.

Um diese Ergebnisse zu erzielen, sollten Sicherheitsbetriebsteams so strukturiert sein, dass sie sich auf wichtige Ergebnisse konzentrieren. In größeren SecOps-Teams werden die Ergebnisse häufig zwischen Unterteams aufgeschlüsselt.

  • Triage (Ebene 1): Die erste Reaktionsmöglichkeit bei Sicherheitsvorfällen. Die Triage konzentriert sich auf die Verarbeitung von Warnungen mit hohem Volumen und wird in der Regel durch Automatisierung und Tools generiert. Die Triageprozesse lösen die meisten der gängigen Vorfallstypen und beheben sie innerhalb des Teams. Komplexere Vorfälle oder Vorfälle, die noch nicht gesehen und gelöst wurden, sollten an Ebene 2 eskaliert werden.
  • Untersuchung (Ebene 2): Der Schwerpunkt liegt auf Vorfällen, die eine weitere Untersuchung erfordern und häufig eine Korrelation von Datenpunkten aus mehreren Quellen verlangen. Diese Untersuchungsebene soll wiederholbare Lösungen für Probleme bieten, die an sie eskaliert wurden. Sie ermöglicht dann der Ebene 1, spätere Wiederholungen dieses Problemtyps zu beheben. Ebene 2 reagiert auch auf Warnungen für unternehmenskritische Systeme, um die Schwere des Risikos und die Notwendigkeit schnellen Handelns zu berücksichtigen.
  • Suche (Ebene 3): Konzentriert sich in erster Linie auf die proaktive Suche nach hochkomplexen Angriffsprozessen und die Entwicklung von Anleitungen für die weiteren Teams, um die Sicherheitskontrollen als Ergebnis zu verbessern. Das Team der Ebene 3 fungiert auch als Eskalationspunkt für größere Vorfälle, um forensische Analysen und Reaktionen zu unterstützen.

SecOps-Geschäftsberührungspunkte

SecOps verfügt über mehrere potenzielle Interaktionen mit der Unternehmensführung.

Abbildung, die die Praxisübungen der SecOps-Berührungspunkte, geschäftliche Prioritäten und den Status wichtiger Vorfälle zeigt.

  • Geschäftskontext für SecOps: SecOps muss verstehen, was für das Unternehmen am wichtigsten ist, damit das Team diesen Kontext auf fließende Echtzeitsicherheitssituationen anwenden kann. Was hätte die meisten negativen Auswirkungen auf das Unternehmen? Ausfallzeiten kritischer Systeme? Ein Verlust des Rufs und des Kundenvertrauens? Offenlegung vertraulicher Daten? Manipulation kritischer Daten oder Systeme? Wir haben gelernt, dass es entscheidend ist, dass wichtige Führungskräfte und Mitarbeiter im SOC diesen Kontext verstehen. Sie kämpfen sich durch die ständige Informationsflut und die Triage von Vorfällen und priorisieren ihre Zeit, ihre Aufmerksamkeit und ihren Aufwand.
  • Gemeinsame Praxisübungen mit SecOps: Führungskräfte sollten SecOps regelmäßig bei der Reaktion auf größere Vorfälle begleiten. Dieses Training baut das Muskelgedächtnis und die Beziehungen auf, die für eine schnelle und effektive Entscheidungsfindung unter dem hohen Druck realer Vorfälle entscheidend sind, und reduziert das organisatorische Risiko. Diese Vorgehensweise verringert auch Risiken, indem Lücken und Annahmen im Prozess aufgezeigt werden, die behoben werden können, bevor ein echter Vorfall auftritt.
  • Updates für wichtige Vorfälle durch SecOps: SecOps sollte Beteiligten des Unternehmens Updates für größere Vorfälle zur Verfügung stellen, sobald diese eintreten. Diese Informationen ermöglichen es Führungskräften, ihr Risiko zu verstehen und proaktive und reaktive Schritte zum Verwalten dieses Risikos zu unternehmen. Weitere Informationen zu größeren Vorfällen durch das Microsoft-Erkennungs- und -Antwortteam finden Sie im Referenzleitfaden zur Reaktion auf Vorfälle.
  • Business Intelligence aus dem SOC: Manchmal stellt SecOps fest, dass die Angreifer ein System oder einen Datensatz ins Visier nehmen, von dem es nicht erwartet wurde. Wenn diese Erkenntnisse gewonnen werden, sollte das Threat Intelligence-Team diese Signale an die Unternehmensleitung weitergeben, da sie für die Unternehmensleitung zu neuen Erkenntnissen führen können. Beispielsweise kennt jemand außerhalb des Unternehmens ein geheimes Projekt, oder unerwartete Angreiferziele heben den Wert eines sonst übersehenen Datasets hervor.

SecOps-Modernisierung

Genau wie andere Sicherheitsdisziplinen ist auch der Sicherheitsbetrieb mit den Auswirkungen der sich ständig weiterentwickelnden Geschäftsmodelle, Angreifer und Technologieplattformen konfrontiert.

Die Transformation von Sicherheitsvorgängen wird hauptsächlich durch die folgenden Trends gesteuert:

  • Berücksichtigung der Cloudplattform: Sicherheitsabläufe müssen Angriffe im gesamten Unternehmensbereich (einschließlich Cloudressourcen) erkennen und darauf reagieren. Cloudressourcen sind eine neue und sich schnell weiterentwickelnde Plattform, die SecOps-Experten häufig nicht vertraut ist.
  • Wechsel zu identitätszentrierter Sicherheit: Traditionelle SecOps stützt sich stark auf netzwerkbasierte Tools, muss aber nun Identitäts, Endpunkte, Anwendungen und andere Tools und Fähigkeiten integrieren. Diese Integration erfolgt aus folgenden Gründen:
    • Angreifer haben Identitätsangriffe wie Phishing, Diebstahl von Anmeldeinformationen, Kennwort-Spraying und andere Angriffsarten in ihr Arsenal aufgenommen, die sich zuverlässig netzwerkbasierten Erkennungsmaßnahmen entziehen.
    • Wertvolle Ressourcen, z. B. Bring Your Own Devices (BYOD), verbringen einen Teil oder ihren gesamten Lebenszyklus außerhalb des Netzwerkumkreises, was den Nutzen von Netzwerkerkennungen einschränkt.
  • Internet der Dinge (IoT) und Betriebstechnologieabdeckung (OT): Angriffe sind aktiv auf IoT- und OT-Geräte als Teil ihrer Angriffsketten aus. Diese Ziele können der letztendliche Zweck eines Angriffs oder ein Mittel zum Zugreifen auf die Umgebung oder Durchlaufen der Umgebung sein.
  • Cloudverarbeitung von Telemetriedaten: Die Modernisierung des Sicherheitsbetriebs ist aufgrund des enormen Anstiegs relevanter Telemetriedaten aus der Cloud erforderlich. Diese Telemetriedaten sind mit lokalen Ressourcen und klassischen Techniken schwierig oder unmöglich zu verarbeiten. Dies treibt SecOps dazu an, Clouddienste zu nutzen, die Analysen im großen Maßstab, maschinelles Lernen und Verhaltensanalysen bieten. Diese Technologien helfen, den Wert schnell zu extrahieren, um die zeitkritischen Anforderungen von Sicherheitsvorgängen zu erfüllen.

Es ist wichtig, in aktualisierte SecOps-Tools und -Schulungen zu investieren, um sicherzustellen, dass Sicherheitsvorgänge diese Herausforderungen bewältigen können. Weitere Informationen finden Sie unter Aktualisieren von Prozessen zur Reaktion auf Vorfälle für die Cloud.

Weitere Informationen zu Rollen und Zuständigkeiten für Sicherheitsvorgänge finden Sie unter Sicherheitsvorgänge.

Weitere architektur- und technologieorientierte bewährte Methoden finden Sie unter Bewährte Microsoft-Sicherheitsmethoden für Sicherheitsvorgänge und in den Videos und Präsentationen.

Nächste Schritte

Die nächste Disziplin ist Ressourcenschutz.