Wie Security-Tool-Integration nicht geht

Unternehmen nehmen ständig neue Sicherheits-Tools und -Services in Anspruch, um auf aktuelle Anforderungen und neue Bedrohungen reagieren zu können. Dabei sollte eine wichtige Überlegung sein, wie sich diese Lösungen - in vielen Fällen von unterschiedlichen Anbietern - in die bestehende Infrastruktur integrieren lassen, um eine konsistente Sicherheitsstrategie zu unterstützen.

Zwar hat die Verlagerung in die Cloud die Security-Integration allgemein etwas vereinfacht, der Prozess kann für Unternehmen aber nach wie vor eine große Hürde darstellen. Wir haben die sieben gängigsten Fallstricke bei der Integration von Security Tools für Sie zusammengefasst.

1. Zu viele Tools

Ein großes Problem liegt häufig darin, dass schlicht zu viele Sicherheitslösungen, -produkte und -services zum Einsatz kommen. "Die schiere Menge unterschiedlicher Sicherheits-Tools und der Mangel an nativer Interoperabilität zwischen ihnen ist heute eine der größten Herausforderungen für Cybersecurity-Initiativen", meint Chris Meenan, Vice President of Product Management bei IBM Security. "Jedes neue Sicherheits-Tool muss mit Dutzenden von anderen integriert werden, was zu einer steigenden Anzahl von benutzerdefinierten Integrationen führt, die zwischen den einzelnen Tools verwaltet werden müssen - und das in einem Umfang, der einfach nicht mehr stemmbar ist."

"Tausende von Cybersecurity-Tools sind heute auf dem Markt, mit einem Mischmasch aus unterschiedlichen Funktionen und Fähigkeiten", stimmt Kelly Bissell, Global Managing Director von Accenture Security, ein. "Jeder Sicherheitsverantwortliche, unabhängig von seiner Erfahrung, kann bei dem Versuch, die 'richtige' Auswahl für ein Unternehmen zu treffen, leicht überfordert sein." Das Ergebnis sei oft eine zusammengeschusterte Sicherheitsinfrastruktur mit 50 oder gar 100 verschiedenen Tools: "Wenn neue Tools eingeführt werden, die nicht mit anderen Plattformen oder Werkzeugen kommunizieren können, wird es noch schwieriger, einen Überblick über die Bedrohungslandschaft zu erhalten."

Unternehmen müssten einen 'Frühjahrsputz' vornehmen und ihre Cybersicherheits-Tool-Landschaft rationalisieren oder konsolidieren, empfiehlt Bissell. "Sie sollten sich außerdem auf einige wenige Hauptanbieter beschränken, um mehr von ihnen zu profitieren. Das spart Kosten bei der Lizenzierung und Integration und vereinfacht gleichzeitig den Footprint."

2. Keine Interoperabilität

Viele der heute erhältlichen Sicherheits-Tools verwendeten laut Meenan proprietäre Interfaces und Data-Exchange-Sprachen: "Zwar stehen inzwischen viele offene APIs zur Verfügung, diese basieren aber nicht unbedingt auf einheitlichen Standards. Für die Integration von Produkt A mit Produkt B ist deshalb immer noch spezifischer, benutzerdefinierter Programmcode nötig."

Mehrere Sicherheits-Communities versuchten das Interoperabilitäts-Problem zu lösen. Dabei konzentrierten sie sich darauf, gemeinsamer Datenmodelle, offene Standards und Open-Source-Tools zu entwickeln, die Hersteller- und Tool-übergreifend eingesetzt werden können: "Wenn Sicherheitsteams ein Tool leichter gegen ein anderes austauschen können, erleichtert das nicht nur den Umgang mit neuen Tools, sondern verhindert auch eine zu starke Anbieterabhängigkeit", erklärt der IBM Security-Experte.

Ein gutes Beispiel dafür, dass diese Art von Gemeinschaftsarbeit Wurzeln schlage, sei die Open Cybersecurity Alliance (OCA) - ein branchenübergreifender Zusammenschluss von Anbietern, Verbrauchern und NGOs: "Organisationen wie der OCA geht es darum, Akteure aus der gesamten Sicherheitsgemeinschaft zusammenzubringen, um offene und transparente Standards zu definieren. Unternehmen können bereits heute nach Software Ausschau halten, die auf Open-Source-Tools und -Standards basiert, um ihren Aufwand für die Integration von Security Tools zu reduzieren - sowohl jetzt als auch in Zukunft."

3. Defekte Funktionen

Einige Security-Lösungen benötigen Zugriff auf bestimmte Systeme oder Netzwerk-Traffic, um richtig zu funktionieren. Kommen neue Tools hinzu, könne das dazu führen, dass vorhandene nicht mehr wie vorgesehen funktionieren, weiß Eric Cole, Gründer und CEO von Secure Anchor Consulting: "Das liegt daran, dass bei der Installation neuer Tools häufig Änderungen an Konfigurationen vorgenommen werden. Diese werden aber häufig auch von zuvor installierten Tools verwendet. Dieses Problem tritt vor allem bei Sicherheits-Tools für Endgeräte und bei Lösungen auf, die direkt auf einem System installiert werden müssen."

Bei Netzwerk-Devices oder Appliances sei das weniger ein Problem, so Cole weiter. Der Experte empfiehlt Unternehmen, sich im Fall von host- oder serverbasierten Tools, die lokal installiert werden müssen, auf eine Suite oder ein Tool zu beschränken, um eine herstellerübergreifende Kontamination zu minimieren.

4. Begrenzte Netzwerktransparenz

Modernere Sicherheits-Tools fokussieren sich darauf, Verhaltensmodelle zu entwickeln, um Netzwerk-Traffic und Nutzerverhalten besser verstehen zu können. Auf Grundlage dieser Daten sind solche Lösungen in der Lage, ungewöhnliche Aktivitäten aufzudecken. "Damit diese Modelle effektiv sind, müssen sie den gesamten Netzwerkverkehr untersuchen und analysieren", erklärt Cole. "Wenn die Tools nur eine Teilmenge sehen, sind die Modelle weder genau noch effektiv. Das ist vor allem bei Netzwerkgeräten und Appliances ein Problem. Wenn ein neues Netzwerkgerät vor einer bestehenden Technologie installiert wird, kann es den Datenverkehr blockieren und die Sichtbarkeit der bestehenden Systeme einschränken. Wird das neue Gerät hinter den vorhandenen Geräten installiert, verfügt es nur über begrenzte Informationen und ist nicht effektiv."

Die Lösung bestehe darin, für jedes virtuelle lokale Netzwerk oder Netzwerksegment eigene Netzwerk-Tools zu implementieren: "So ermöglicht ein einziges Tool einen vollständigen Überblick über den Teil des Netzwerks, den es schützt."

5. Fehlalarm-Häufung

Nach Meinung des Chefberaters neigten moderne Security Tools auch zur Versprechung, Angriffe erkennen zu können, lieferten aber kaum akkurate oder verlässliche Informationen.

"Je mehr Tools installiert werden, desto mehr Warnungen werden ausgelöst und desto höher ist die Gesamtzahl der Fehlalarme", meint Cole. "Dieses Problem lösen Sie, indem Sie ein System zur Verwaltung von Sicherheitsvorfällen und -ereignissen verwenden, die Daten aus verschiedenen Quellen korrelieren und nur Alarmmeldungen bei Aktivitäten zuzulassen, die über mehrere Tools hinweg konsistent sind."

6. Erwartungen verfehlt

"Sicherheitsanbieter beschönigen gelegentlich die Integrationsfähigkeit ihrer Produkte - oder versäumen es, alle Voraussetzungen zu erwähnen, die gegeben sein müssen, um die gewünschten Ergebnisse zu erzielen", sagt Brian Wrozek, CISO beim Security-Anbieter Optiv. Das könne wiederum dazu führen, dass Sicherheitsentscheider oder -teams Erwartungen an die Geschäftsanwender stellen, die nicht erfüllt werden können.

"Business-Entscheider sind mit Geschäftsanwendungen besser vertraut als mit Sicherheitsanwendungen", sagt Wrozek. "Es ist daher unerlässlich, alle Einschränkungen der Lösung zu erklären, statt sich ausschließlich auf die Vorteile zu konzentrieren."

7. Keine Skills

Jeder, der im Bereich Security tätig ist, weiß, wie schwerwiegend der Skill Gap sich auf Unternehmen auswirkt. Die Nachfrage nach Security-Experten übersteigt das Angebot um ein Vielfaches - in praktisch jedem Aspekt der Security. Folglich gilt das auch für die Fähigkeiten, die für die Integration verschiedener Sicherheits-Tools und -Services erforderlich sind.

"Der Mangel an geschultem Personal, das die Integration von Sicherheits-Tools managen und bestimmen kann, welche Maßnahmen ergriffen werden müssen, ist heute eine der größten Herausforderungen," weiß Bissell. "Je mehr Tools man hat, desto mehr Zeit und Knowhow braucht man. Das bindet oft Ressourcen in erheblichem Maße." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.