Studien haben gezeigt, dass Zeit ein entscheidender Faktor ist, wenn es darum geht, eine Sicherheitsverletzung einzudämmen.

Je länger eine Bedrohung in einem Netzwerk aktiv ist, desto mehr Schaden fügt sie einer Organisation zu. Cybersecurity Ventures schätzt, dass die weltweiten Kosten von Cyberkriminalität pro Minute in diesem Jahr 11 Mio. US-Dollar übersteigen werden.

Das bedeutet, dass Sie, sobald Sie einen Angriff erkennen (und in der heutigen Welt muss man immer davon ausgehen), die Bedrohung eindämmen müssen – und zwar schnell.

Aber die Eindämmung ist nicht so einfach, wie das Ablegen einer Regel in einer Firewall. Vor allem im Falle einer fortgeschrittenen Bedrohung gibt es oft eine ganze Reihe von Massnahmen, die Sie ergreifen müssen. Manchmal müssen Sie beispielsweise mehrere Benutzerkonten deaktivieren oder einen physischen Host sperren und isolieren.

Dies erfordert eine Orchestrierung der Eindämmung in mehreren IT-Systemen. Security Orchestration, Automation and Response (SOAR) kann Ihnen dabei helfen. Mit SOAR können Sie Eindämmungsmassnahmen im Voraus planen und diese Massnahmen automatisieren, damit die Bedrohungen schnell eingedämmt werden können.

Immer mehr Unternehmen wenden sich an Cybersicherheitsexperten, die SOAR einsetzen, um Unterstützung bei der Bekämpfung wachsender Cyberbedrohungen zu erhalten. Auf diese Weise können diese Organisationen sich aus dem Bereich der Cybersicherheit zurückziehen, sich auf ihr Kerngeschäft konzentrieren und ihr Cyberrisiko verringern.

Aber was machen Unternehmen mit 60 bis 100 Standorten, mehreren Abteilungen und 10'000 Benutzern? Der Versuch, eine Reaktion zu automatisieren, wenn Sie all diese Ressourcen kontrollieren, ist fast unmöglich und es wird noch komplexer, wenn ein Cybersicherheits-Serviceanbieter beteiligt ist.

Es ist jedoch möglich, diese Komplexität zu überwinden, schnell zu handeln, um Bedrohungen einzudämmen und Schäden zu begrenzen. In diesem Artikel stelle ich Ihnen einige Best Practices vor, die Ihnen dabei helfen, das zu erreichen.

Beteiligen Sie Ihren Cybersicherheits-Serviceanbieter an Ihrem Geschäftsprozess

Es darf keine Mauer zwischen Ihnen und Ihrem Cybersicherheits-Serviceanbieter stehen. Betrachten Sie ihn als Ihren vertrauenswürdigen Partner. Stellen Sie sich diesen Partner als Erweiterung Ihres Teams vor.

Sie fragen sich vielleicht: „Wie mache ich das, wenn es sich bei dem Serviceanbieter um einen Drittanbieter handelt?" Ihre Bedenken sind nachvollziehbar. Schliesslich sind die Personen Ihres Serviceanbieters nicht Ihre eigenen Mitarbeitenden und es gibt rechtliche und Compliance-Implikationen bei der Zusammenarbeit mit einem Dritten.

Es gibt jedoch Ansätze und Tools, mit denen Sie die Kluft überbrücken können.

Setzen Sie ein Autorisierungs-Framework ein, damit Ihr vertrauenswürdiger Partner schnell handeln kann

Arbeiten Sie mit Ihrem Cybersicherheits-Serviceanbieter zusammen, um ein Autorisierung-Framework zu erstellen.

Darin werden bestimmte Aktionen bestimmt, für die Ihr Serviceanbieter im Falle einer Cyberbedrohung vorab autorisiert ist. Wenn beispielsweise der Anbieter des Cybersicherheits-Services eine Wahrscheinlichkeitsstufe von 95 % dafür ermittelt hat, dass ein Computer kompromittiert ist, sollte der Partner Sie nicht anrufen müssen.

Wenn Sie Ihren Serviceanbieter autorisieren, in solchen Situationen in Ihrem Namen zu handeln, kann Ihr vertrauenswürdiger Partner die Bedrohung sofort eindämmen. Anstatt mitten in der Nacht einen dringenden Anruf zu erhalten, erhalten Sie morgens eine E-Mail, in der Sie darüber informiert werden, dass einer Ihrer Computer kompromittiert wurde, Ihr Cybersicherheits-Serviceanbieter ihn jedoch sofort aus dem Netzwerk genommen hat.

Es muss nicht alles auf einmal geschehen

Man kann die Sache schrittweise angehen. Bestimmen Sie zunächst, bei welchen Ressourcen Sie die grössten Befürchtungen haben, dass sie angegriffen werden, und automatisieren Sie zuerst die Reaktion darauf.

Wenn Sie die Reaktion für diese eine Sache automatisieren, bewegen Sie sich in die richtige Richtung. Wenn Sie nicht so vorgehen, könnten Sie möglicherweise automatisierte Antworten als ein zu grosses Problem empfinden.

Wägen Sie sorgfältig ab, welche Massnahmen vorab autorisiert werden sollen – und welche nicht

Beachten Sie, dass die Vorautorisierung keine Schablone ist, wenn es sich um einen empfindlichen Rechner handelt. Sie möchten zum Beispiel wahrscheinlich keine Vorautorisierung für den Laptop eines CEO oder eines anderen VIP genehmigen.

Arbeiten Sie mit Ihrem Cybersicherheits-Serviceanbieter zusammen, um zu entscheiden, was Sie vorab autorisieren sollten. Berücksichtigen Sie dabei die regulatorischen und Governance-Modelle, die dabei einzuhalten sind.

Konzentrieren Sie Ihre vorab autorisierten Massnahmen zur Eindämmung auf Rohstoffressourcen. Auf diese Weise wird die Aktion Ihrem Geschäft nicht zu viel Schaden zufügen, wenn der Serviceanbieter aus irgendeinem Grund falsch liegt.

Erteilen Sie Ihrem Anbieter die entsprechende Berechtigung

Sie müssen eine Möglichkeit haben, zu delegieren und dafür sind Berechtigungen notwendig.

Geben Sie Ihrem Cybersicherheits-Serviceanbieter die entsprechende Berechtigung und wenden Sie das Prinzip der geringsten Berechtigung für diese Aufgabe an. Stellen Sie Ihrem Cybersicherheits-Serviceanbieter niemals die tatsächlichen Zugangsdaten zur Verfügung und erteilen Sie stattdessen die Berechtigung, Token zu verwenden, wenn Sie über die entsprechende Ebene für Audit und Kontrolle verfügen.

Behalten Sie die administrative Kontrolle über Ihre gesamte IT-Umgebung. Und stellen Sie sicher, dass Sie den Zugriff Ihres Cybersicherheits-Serviceanbieters jederzeit widerrufen können.

Seien Sie bereit, Ihren Einfluss bei Ihren Kollegen zu nutzen

Oft betrifft der Aspekt der Sicherheitsorchestrierung von SOAR solche Systeme, für die Chief Information Security Officers (CISOs) nicht verantwortlich sind. Das bedeutet, dass Sie möglicherweise den CIO oder IT-Leiter Ihrer Organisation davon überzeugen müssen, Ihrem Cybersicherheits-Serviceanbieter Zugriff auf diese Ressourcen zu gewähren.

Das kann heikel sein.

Nehmen Sie sich Zeit und überlegen Sie, wie Sie Ihre Kollegen dazu bringen können, Ihre Cybersicherheitsinitiative zu unterstützen. Und arbeiten Sie daran, Ihre einflussreiche Position gegenüber Ihren Kollegen zu stärken, um dies zu erreichen.

Sperren Sie Bedrohungsakteure schnell aus mit SOAR, Eindämmung und einem Autorisierungs-Framework

Ein Grossteil der Aufmerksamkeit in der Cybersicherheit konzentriert sich auf die Bedrohungserkennung. Das ist wichtig, denn mit der Erkennung fängt alles an. Die Erkennung bringt Sie jedoch nur ins Mittelfeld.

Sie müssen Ihre Cybersicherheitsstrategie über die Torlinie bringen. Das Ziel ist in diesem Fall, den Bedrohungsakteur auszusperren. Und Sie müssen dieses Ziel immer wieder erreichen, weil Bedrohungsakteure immer wiederkommen werden. Das steht ausser Frage, daher ist Eindämmung von entscheidender Bedeutung.

Mit einem Autorisierungs-Framework und SOAR sind Sie und Ihr Cybersicherheits-Serviceanbieter bereit, jedes Mal wenn ein Bedrohungsakteur in Ihrer IT-Umgebung auftaucht, schnelle und effektive Massnahmen zu ergreifen.

Ursprünglich am 1. März 2020 auf Forbes.com veröffentlicht.