Was Sie über Managed Security Services wissen sollten

Alarmmüdigkeit und der lange Weg vom Report zum Prozess

Es müssen Prozesse existieren, die sich mit den Ergebnissen und Erkenntnissen aus den gesammelten und destillierten Daten befassen und darauf basierend relevante Empfehlungen aussprechen. Dabei ist es wichtig, den Kontext des Unternehmens im Blick zu behalten.

Genau dieser Kontext und die notwendigen Kenntnisse darüber fehlen jedoch bei vielen Dienstleistern. Auch das beste SIEM, das kompetenteste SOC und der fähigste Service-Anbieter sind nicht in der Lage, Versäumnisse bei Prozessen innerhalb eines Unternehmens zu kompensieren.

Gleiches gilt für Informationen, die ein SIEM-Dienstleister übermittelt. Sind diese mehrdeutig, unvollständig oder fehlt der Kontext, gibt es ein Problem. So gehen schnell entscheidende Informationen unter, weil diese nicht korrekt interpretiert werden. Enthält ein Wochenbericht jedes Mal dutzende oder gar hunderte Einträge, die alle als "kritisch" oder "potenziell kritisch" klassifiziert sind, stellt sich ein Gewöhnungseffekt ein.

Man spricht hier auch von einem "Alert Fatigue", also einer Alarmmüdigkeit. Ein als kritisch markierter Eintrag, der bereits 300 Mal für unkritisch befunden wurde, wird es beim 301. Mal sehr wahrscheinlich ebenfalls werden, ohne dass irgendjemand dem ernsthaft nachgegangen wäre.

Ein Beispiel, das stellvertretend für viele Unternehmen stehen könnte: Schlägt ein Anbieter Alarm aufgrund einer Erkenntnis aus den sicherheitsrelevanten SIEM-Daten eines Netzwerkes, muss immer der Kontext in Betracht gezogen werden. Erst dieser entscheidet, ob Handlungsbedarf besteht. Ein klassisches Beispiel sind etwa Remote-Zugangsprogramme wie Teamviewer oder AnyDesk, die eine offene Verbindung nach außen unterhalten. Eine Bewertung, ob es sich hier um sicherheitskritische Erkenntnisse handelt, ist ohne Kontext unmöglich.

Es lässt sich nicht unterscheiden, ob hier eine berechtigte Nutzung vorliegt - etwa durch Dienstleister oder eigenes IT-Personal - oder ob hier ein Angreifer sich selbst einen komfortablen Zugang zum Netzwerk geschaffen hat. Die Kritikalität wäre im letztgenannten Fall maximal hoch.

Gibt es allerdings eine nachgewiesene legitime Nutzung, wäre der Fund möglicherweise vollkommen unkritisch. Da die meisten Anbieter jedoch eher vom ungünstigeren Szenario ausgehen, ergibt sich ein sehr lautes Grundrauschen in den Informationen, welches durch die unvermeidliche Alarmmüdigkeit echte Vorfälle schlimmstenfalls maskiert.

Ein anderer Klassiker ist weniger technischer, sondern vielmehr organisatorischer Natur. So kann in einem Report aus einem gemanagten SIEM auch eine Information auftauchen, bei der das Dienstleistungsunternehmen ein hochkritisches Verhalten meldet - etwa, weil mehrfach ein Account mit Domänen-Administrator-Berechtigungen Aktionen außerhalb eines Domaincontrollers vornimmt - beispielsweise Dienste startet, welche dann mit diesen höchsten Berechtigungen laufen.

Abgesehen davon, dass dies generell keine gute Idee ist, gibt es viele Unternehmen, in denen diese Praxis Alltag ist. Der Ausweg bestünde in einer entsprechenden Richtlinie, die die Verwendung dieser Berechtigung so eng wie möglich regelt. Dafür ist wiederum ein Prozess erforderlich.

Und so stapeln sich die Berichte über die fragwürdige Verwendung von Domänen-Administratorkonten - bis einmal genau der Bericht untergeht, der auf einen laufenden Angriff hingewiesen hätte, bei dem sich der Angreifer Domänen-Administratorrechte verschafft hat. Eine solche Domäne wäre als vollständig kompromittiert zu betrachten.

Handlungsempfehlungen: klar und konsumierbar

Doch selbst wenn wir vom Idealszenario ausgehen, in dem die notwendige Expertise beim Dienstleister vorliegt und alle notwendigen Prozesse auf Seiten des Auftraggebers etabliert und erprobt sind - selbst hier kann eine SIEM- oder SOC-Dienstleistung noch auf den letzten Metern bei den Handlungsempfehlungen straucheln.

Gerade bei einem aktiven Angriff sind Handlungsempfehlungen hochgradig zeitkritisch. Viel Zeit für Rätselraten darum, was genau nun zu tun ist, ist ein Luxus, den sich eine IT-Abteilung in einem solchen Fall nicht leisten kann. So wie ein Passagierflugzeug über eine Sammlung von Checklisten verfügt, die klar und verständlich jede Handlung für den Notfall detailliert darlegt. So ist es auch im Falle eines kritischen Sicherheitsvorfalls lebensnotwendig, auf den ersten Blick zu wissen, was nun zu tun ist. Ohne Interpretationsspielraum und ohne Wenn und Aber. Eine Handlungsempfehlung, die niemand sofort versteht, ist wertlos.

Zusammenarbeit ist der Schlüssel

Wer also auf der Suche nach einem Managed-Service-Partner für jegliche Art von Dienstleistungen rund um IT-Sicherheit ist, sollte sehr genau hinschauen. Ein guter Anbieter wird nicht sofort ungesehen versuchen, weitere Produkte zu platzieren, sondern gemeinsam mit dem Kunden einen Weg erarbeiten, Vorhandenes mit einzubeziehen. Nur so wird aus einer Sammlung von Produkten schlussendlich eine Lösung, die diesen Namen auch verdient. (jm)

Tipp: Sie möchten regelmäßig über alles Wichtige rund um das Thema IT-Sicherheit informiert werden? Abonnieren Sie doch einfach unseren kostenlosen Newsletter.