Warum das Soc dans Der Krise Steckt - und wie sie das ändern

Warum das Soc dans Der Krise Steckt – und wie sie das ändern

Lucas Morel

Centre des opérations de sécurité (SOCS) Kosten Millionn. Dennoch Kommt es zu mehr Sicherheitsverletzungen als je Zuvor.

Trotz MillionNenInSpeTITIONN dans le centre d’opérations de sécurité (SOCS) UND Modernsten Detection-Technologien Sind Breachs Weiterhin an der Tagesordnung – Tendenz Weiterhin Steigend.

Dans Meiner Erfahrung Reagiert Nur Etwa Jedes Zwanzigste Soc Effektiv auf die Ausgeklügelten Identitätsbasierten angriffe, mit denen wir Heute Konfrontiert Sind. Das ist Allerdings Kein Technologisches, Sondern Ein ParadigmenProblem. Und es ist an der Zeit, Zu Erkennen, dass unser Derzeitiger Ansatz für den soc-betrieb gescheitert ist.

7 Gründe für die soc-krise

Bevor wir uns mit der lösung des soc-problems befassen, werfen wir zunächst einen blick auf die zentralen hérausforandungen, die soc-krise erst geschaffen haben.

1. Ki-Getütztes Social Engineering

Um die jahrelangen bemühungen um den aufbau ausgefeilter abwehrméchanismen im bereich identity & access Management Auszuhebeln, Bringen cyberkriminelle die nutzer Mittlerweile vornehmlich dazu, selbst ihre zugangsdaten zu « Liefern ». Zuträglich ist ihnen dabei auch und insbesondere künstliche Intelligenz (ki). SIE Ertöglicht ES, Social-Ingenering-Kampagnen Besonders überzeugend Zu Gestalten, Um Die Einzige Komponente Auszunutzen, Die Sich Nicht Patchen Lässt: Der Mensch.

Bei Einem Unserer Kunden Haben Wir Kürzlich Fast 100 Konten Vorgefunden, Die Immer Noch mit Abwandlungen des Nicht-Passworts ABC123 « Abgesichert » Waren. Wenn Daten im Dark web Verfügbar Sind und Ki Dabei Helfen Kann, Persönliche Informationen Für Gezielte angriffe Zu Sammeln, Werden Solche Schwachstellen Zu Riesigen Sicherheitslücken. Um diesen angriffsvektoren Entgegenzuwirken, Braucht es völlig neue Ansätze.

2. Die Identity-Security-Llulusion

MFA-Token, un seul signe sur le système UND, l’identité-management-plaft-plaftFormen Vermitteln ein gefühl der Sicherheit. Bis ein angreifer die identität eines légitimen benutzers annimmt – Dann sind all diese teureren kontrollmémanismen wirkungslos. Neben Social Engineering Kommen Auch Browser-Basierte Angriffe und Cookie-Diebstahl als Mögliche angriffsvektoren à Betracht, Um Authentifizierungs-Kontrollen Zu Umgehen.

DAS PROBLÈME LEEGT Darin, Dass Heutige Systeme Zwar Konten überprüfen, Aber Nicht, ob Die Person Die Sich Einloggt, Tatsächlich die Richtige ist. Gelangen angreifer an die Zugangsdaten von benutzern, können sie sich zudem meist über längère zeiträume im Netzwerk einnisten und im ra rahmen der norgalhen Paramètre Arieren. Nehmen Wir an, ein benutzer meldet sich normalerweise um 9 uhr morgens an, list die nachrichten, überprüft seine e-mails und folgt von montag bis mittwoch einem vorhersehbaren rassemblement. Am donnerstag greift er plötzlich auf die saas-anwendung eines drittanbieters zu, die er noch nie zuvor verwendet chapeau. Diese Abweichung Sollte Eigentlich Sofort Auffallen, Aber dans Den Meisten Socs Fehlen Die Dazu Nötigen Behavioral-Analytics-lösungen.

3. Outils Intégration ohne

Wenn sie heute ein croybiges soc in einem unternehmen betreten, funden sie im regelfall eine überwältendede auswahl antill vor. Etwa:

  • Scanner de vulnérabilité,
  • Edr-plaattformen,
  • Siem-systeme oder
  • Ki-gestützte menace-détection-lösungen.

Die Grundlegende Sicherheitshygine Lässt Jedoch Trotz Dieses Technologieschen Arsenals de Zu Wünschen übrig. Dans Meiner laufbahn habe ich unternehmen erlebt, die auf million-budgets für security sitzen – und dennoch weder über grundlegende actif-registre, noch einheitliche-srategie verfügen. Um es Klar Zu Sagen: Sämtliche Scanning Tools UND MONTENTING-PLATTOPLOFFOREN Nützen Nichts, Wenn Das Verständnis Darüber Fehlt, était Eigentlich Geschützt Werden Soll.

DAS PROBLÈME WURZELT ESTPRESCHEND AUCH NICHT Dans Den Tools Selbst, Sondern Vielmehr dans Einem Deployment-Flickenteppich-Ansatz, Mangelnder Intégration Zwischen Systemen Sowie Fehlender Feinabstimmung und optimierung.

4. KonfigurationsFehler

Noch BesorgniserRegener IST, Dass Traditionallle Vulnérabilité-Management-Programme KonfigurationsFehler Regelmäßig Völlig Außer Acht Lassen. Denn Diese Sind Insbesondere dans Großen Unternehmen Mit Organischem Systemwachstum, undernerschiedlichen System-Offer, Legacy-Umbungen und Schatten-Saas-Integrationen Unvermeidlich.

Identity-Systeme, Die DomänenüberGreifend Inkonsistent Konfiguruert Sind Oder Cloud Services Mit Zu Freizügigen Zugriffsrichtlien Ermöglichen Angeifern, sich latérale durch das netzwerk zu bewegen. Dennoch verfügen die meisten unternehmen nicht über einen systématischen ansatz, um diese architektonischen schwachstellen zu identifizeren und zu beeben.

5. Das Soc-modell

Das ideale soc wäre interne Ausgerichtet und mit mitarbeitertern besetzt, die den kontext, die systeme und die geschäftsprozesse ihres unternehmens verstehen. Diese Menschen Wissen, Welche Assets Kritisch Sind, Kennen Die Normalen Verhaltensmuster der Benutzer und Können Funderte Entscheidungen über die Risikotoleanz Treffen. Interne Socs Sind Jédoch Mit Étrens Kapazitätsengpässen Konfrontiert. Vor Allem Haben Unternehmen Schwierigkeiten Damit, analystage de Qualifizierte Für den 24/7-Betrieb Zu Finden. Finanzielle Zwänge Machen Es Zudem Schwierig, Die Gemeinkosten Zu Rechtfertigen – Insbesondere Wenn Anbieter Eine Gleichwertige Abdeckung Zu Niedrigeren Kosten versprechen.

Externe Soc-Anbieter Bieten Rund-um-die-uhr-monitoring und spezialisiertes fachwissen, aber ihnen fehlt der Organisatorische kontext, der es erst möglich, vorfälle Effektiv zu erkennen: Sie Verstehen Ihre Weiteres zwischen légitimen und verdächtigen aktivitäten unterscheiden und verfügen de nicht über die befugnisse, Entschlossen zu handeln. Dabei Spielt Auch Eine Rolle, wie sich die beziehung zwischen anbieter- und anwenderunternehmen gestaltet. Ich Habe Schon Erlebt, Dass externe Socs Bedrohungen Zwar Erkennen, Dann Aber Aufgrund von Haftungsbedenken Oder Unklaren Autorisierungsmaßnahmen Nicht Handeln.

Hybride SOCS Versuchen, Internen Kontext MIT Externer Abdeckung Zu Verbinden. Das Schafft Jedoch Häufig neue Problème à Bezug auf Verantwortlichkeiten und Koordination. Wenn Die Verantwortung Zwischen Internen und EXTERNEN Équipes verteilt ist, Können Wichtige Entscheidungen Verzögert Werden, Die Eine Umfassende Kompromittierung Verhindern.

6. Détection de mat

Kürzlich gelang es uns im Rahmen einer gemeinsamen simulationsübung mit einem kunden, innerhalb von drei sunden nach der ersten kompromittierung zugriff auf den domänenadministrator zu erlangen. Das Soc des Internehmens – Ein Renommierter Externer Anbieter – Identifizierte Während Dieses Gesamten Zeitraums Lediglich Zwei Geringfügige Indikator Für eine Komprotierung. Als wir ihnen mitteilten, dass ihr kunde vollständig kOMpromittitier wurde, war die überraschung groß.

Dieses szenario verdeutlicht die kluft zwischen unseren vermeintlichen détection-fähigkeiten und der praxis. Mourir angriffszeiten werden immer kürzer, die angriffspfade effizienter und die Verweildauer länger. Parallèle Benötigen Viele Socs Stunden Oder Sobeg Tage, Um Warnmedungen Zu Untersuchen, Die Eigentlich Sofortiges Handeln Erfordern Würden.

Diese Herausforderung ist Sowohl Psychologischer als Auch Organisatorischer Natur: Socs Haben Regelmäßig «Angst» Davor, Falschen Alarm Zu Schlagen, Schließlich Untergräbt Das Das Vertrauen und Kann dans Alert Münden. Diese Vorsicht Führt Allerdings Regelmäßig Dazu, Dass Subtile Frühindikator übersehen Werden, Die Eine Vollständige KOMPROMITTIERUNG VERHINDERN KOTHNNTEN. Zu Empfehlen Sind Deshalb Lösungen Zur Verhaltensanalyse, Die über Einzelne Endpunkte Hinausgehen und Muster über die Gesamte Unternehmensumgebung Hinweg Erfassen.

7. Kapazitäts-bottlenecks

Ich Habe Beobachtet, Wie Sicherheitsverantwortliche Durch lieferantenmanagement, vertragsverlängerungen und reporting-pflichten an den vorstand so überlastet Sind, dass sie keine zeit mehr haben, sich um Grundledede sichenerheitsproblemme zu kümmer. IST DAS DER FALL, STELLT der Zeitliche aufwand für Vendor Management und Co. Eine Massive, Verseckte Kostenposition Dar, Die Unternehmen Selten dans Ihren Security-Budgets Berückichtigen.

Diesbezüglich ist es an der zeit, unseren ansatz für den soc-betrieb und surveillant la sécurité imgemeinen grundlegend zu verändern. Sécurité Ist Nicht Durch Höhere Budgets, Zusätzliche Tools Oder Mehr Personal «Erkaufbar».

5 TIPPS ZUR Soc-Krisenbewältigung

WiR Müssen Anerkennen, Dass Unsere Aktuellen Soc-Modelle unzureichend Sind, und diese von Grund auf Neu Aufbauen. Die Frage Ist Nicht, ob ihr unternehmen mit einem Ausgeklügelten Identitätsbasierten angriff konfrontitier wird, Sondern ob ihr soc darauf vorbereitet ist. Erfolgreiche unternehmen betrachten ihr soc als eine lebendige fähigkeit, die ständiger schulung und weiterentwicklung bedarf, und nicht als einen statissen kann, den man auslagern und anschließend vergessen kann.

Diese fünf Tipps Können Sicherheisentscheider und cisos mit blick auf die soc-krisenbewältigung voranbringen:

  1. Zuerst Die Grundlagène: Bevor Sie dans Fortschrittliche Detection de la menace Invectionn, Sollten Sie Sicherstellen, Dass Grundlegende Sicherheitsmaßnahmen Vorhanden Sind. Gestion des actifs, Einheitliche Passwordtlien, Ein Umfassendes Patch Management und Angemessene Zugriffskontrollen Bilden Diese Grundlage, auf der Sich Dann Zielführen aufbauen Lässt.
  2. Tests in Den TaTrieb Integrieren: Jeder pénétration sollte eine schulungsmaßnahme für ihr soc sein. Bei Jedem Red-Team-Einsatz Sollte GetESTET Werden, ob ihre erkennungs- und reaktionsverfahren tatsächlich funktionieren. Machen Sie Sicherheitstetss Zu Einer Gemeinsamen aufgabe, die die opérativen fähigkeiten verbessesert.
  3. Implémentation de validation continue: Lassen Sie Jährliche Sicherheits-assements Hinter Sich und Validimeren Sie ihre Sicherheitskontrollen Konnuierlich. Testen Sie die Erkennnungsfähigkeiten Ihres Soc Regelmäßig Mit Kleinen, Realistischen Szenarien. Schaffen Sie Eine Kultur, dans Der es Mehr Zählt, von Simulerten Angriffen Zu Lernen, als auf Vermeintlich Perfekte Performance-Metriken Zu Starren.
  4. KontextBezogene Detection-Fähigkeiten aufbauen: Investieren Sie dans l’analyse comportementale. Die Benutzeraktivitäten Zu überwachen, Sollte Mehr Sein, als Nur Einfache Schwellenwertwarnungen. Nur so lassen sich subtile abweichungen erkennen, die auf eine kompromittierung hindeuten.
  5. ReaktionsBefugnisse définieren: Legen Sie Genau Fest, Welche Handlungsbefugnisse Ihr Soc Hat – Egal OB Internes Oder Externdes Modell. Dokumerieren Sie Diese Befugnisse Klar un und Stellen Sie Sicher, Dass alle Beteiligten Verstehen, Wann und Wie Sie Ausgeübt Werden Können.

(FM)

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

patch
L’utilisation des raccourcis Windows comme vecteur de malware pourrait être interrompue
Cables submarinos
Cybersécurité des câbles sous-marins : protéger les infrastructures critiques
Wie Unternehmen sich gegen neue KI-Gefahren wappnen
Wie Unternehmen sich gegen neue KI-Gefahren wappnen