Christian Have, CTO bei LogPoint, wirft einen Blick zurück, um sich Gedanken über die Entwicklungen in der Cybersicherheitslandschaft 2022 zu machen. Hier kommen nun seine fünf wichtigsten Beobachtungen.
1. Beschleunigte Einführung von Konsolidierungs- und Integrationsplattformen für die Cybersicherheit
Im Jahr 2022 wird es eine beschleunigte Verlagerung weg von erstklassigen punktuellen Implementierungen hin zu einheitlichen und konsolidierten Cybersicherheitsinfrastrukturen geben, insbesondere bei mittelständischen Unternehmen.
Von den Fortune-500-Unternehmen abwärts gibt es Tausende von Unternehmen, denen es an Cybersicherheitsressourcen und -reife mangelt. Sie stehen unter dem Druck, ihre Cybersecurity-Budgets zu rechtfertigen und als Ergebnis ihrer Investitionen signifikante Verbesserungen der Effizienz oder eine Verringerung der Risiken vorzuweisen. Dieser Kreislauf wiederholt sich, da CISOs zwar in der Lage sind, erstklassige Tools zu kaufen, aber oft nicht über das Fachwissen verfügen, um die hochentwickelten Funktionen eines Produkts zu nutzen. Darüber hinaus steht nie genug Budget oder Zeit zur Verfügung, um den Betrieb ihrer zahlreichen Tools zu integrieren und sicherzustellen, dass diese den erwarteten Nutzen bringen. Sie suchen eher nach einem konsolidierten und einheitlicheren Ansatz, entweder von einem einzigen Anbieter oder durch die Nutzung offener Standards, um ein einheitliches Ergebnis zu erzielen.
2. Die Automatisierung der Cybersicherheit wird einen Quantensprung machen
Die KI-gesteuerte Automatisierung der Erkennung und Reaktion auf Bedrohungen wird es CISOs ermöglichen, menschliches Verhalten und Handeln durch Automatisierung zu ersetzen. Viele Hindernisse müssen überwunden werden, bevor ein einzelner Prozess automatisiert werden kann, ganz zu schweigen von mehreren, miteinander verknüpften Prozessen. Die Technologien der künstlichen Intelligenz (KI) und der robotergestützten Prozessautomatisierung (RPA) sind auch zum Nutzen der Cybersicherheit gereift.
Tatsächlich werden sich KI und Automatisierung als die einzige Möglichkeit erweisen, mit den sich ständig ändernden Methoden der Cyberkriminellen und ihrem wachsenden Angriffsvolumen Schritt zu halten. Ein echter „Quantensprung“ ist bekanntermaßen eigentlich recht klein, hat aber eine große Wirkung. Das ist der Effekt, den die KI-gesteuerte Automatisierung auf die Cybersicherheitsoperationen haben wird.
3. Bei Response Playbooks heißt es Statik raus und Dynamik rein
Die Reife von KI- und Automatisierungstechnologien wird mittelständische Unternehmen und die MSSPs, die viele von ihnen bedienen, dazu bringen, ihre Pläne für die SOC-Automatisierung zu beschleunigen. Mit der Kombination von KI und RPA kommt das Ende des klassischen Sicherheits-Playbooks in Sicht. Die heute verwendeten Playbooks sind statisch. Sie erfordern ein hohes Maß an Raffinesse und Fachwissen von Analysten. Mit KI-gesteuerter oder KI-unterstützter Erkennung und Reaktion wird das statische Playbook durch ein dynamisches Echtzeit-Playbook abgelöst, das auf den aktuellen Bedrohungsvorfall zugeschnitten ist.
Das KI-gesteuerte System erstellt auf der Grundlage der Analyse von Vorfallsdaten, Telemetriedaten, historischen Fällen und deren Behebung, Bedrohungsdaten aus dem Internet und anderen Quellen das beste Playbook an Ort und Stelle.
4. SIEM-Technologie in einer ganzheitlichen Konstellation
Die Zukunft von SIEM ist für Unternehmen auf der ganzen Welt wichtig. In der EU gibt es Vorschriften, die CISOs dazu veranlassen, ihr eingesetztes SIEM entweder vor Ort oder bei einem in der EU ansässigen Cloud-Anbieter zu belassen und nach XDR (Extended Detection and Response) oder anderen Konsolidierungslösungen zu suchen, die sich damit integrieren lassen. Und zwar aus folgendem Grund: Wenn ein Unternehmen in der EU tätig ist oder EU-Bürger bedient, muss es sicherstellen, dass jedes System, das personenbezogene Daten von EU-Bürgern speichert, über EU-konforme Datenschutzmaßnahmen verfügt.
Die neue EU-Verordnung zeigt, dass die Daten eines EU-Bürgers unter das EU-Recht fallen, unabhängig davon, wo die Daten gespeichert sind. Das hindert Unternehmen daran, ein Cloud-basiertes SIEM zu wählen, das außerhalb der EU gehostet wird oder einer Nicht-EU-Einheit gehört. Die Verordnung ist fast so kompliziert zu erklären, wie sie einzuhalten ist.
5. Daten werden alles bestimmen
Ein weiterer Grund, warum CISOs im Jahr 2022 Konsolidierungslösungen wie XDR bevorzugen werden, ist, dass die einheitliche Instrumentierung einen umfassenden datengesteuerten Ansatz für die Cybersicherheitsstrategie und -implementierung ermöglicht. Wenn Cybersicherheitsmetriken und -daten leicht verdaulich sind und über den technischen Aspekt hinausgehen, können CISOs viel produktivere Gespräche über Leistung und Finanzierung führen.
Das Potenzial für 2022 hängt von Daten ab – genauen, vollständigen und vertrauenswürdigen Daten, von Daten in Echtzeit und historischen Daten. Unternehmen benötigen alle diese Daten, um eine effektive Verteidigung gegen externe und interne Bedrohungen aufzubauen. Sie benötigen eine Plattform, die alle ihre Cybersicherheitsdaten zusammenführt, verifiziert, in einen Kontext stellt und vereinfacht. Und die auf der Grundlage von Dringlichkeit, bisherigen Erfahrungen, potenziellem Schaden, bereits entstandenem Schaden und vielen anderen Faktoren diese Informationen priorisiert. Sie benötigen Daten, um die verschiedenen Tools in ihrer Cybersicherheitsinfrastruktur so zu koordinieren, dass jedes Tool seine Rolle voll und ganz erfüllt und maximalen Nutzen bringt. Sie brauchen Daten, um zu automatisieren. Wenn man seinen Daten nicht trauen kann, kann man die Prozesse, die sie nutzen, nicht automatisieren.
Fazit
Das nächste Jahr ist das Jahr der ganzheitlichen Bedrohungserkennung und Incident Response. Diese Technologie-Wende wird sich rasch beschleunigen und durch KI-gesteuerte Konsolidierung von Fähigkeiten, einheitliche Instrumentierung und Automatisierung gekennzeichnet sein. Der ganzheitliche Ansatz könnte die Form einer XDR-Plattform oder einer selbst entwickelten Lösung annehmen.
Viele Cybersicherheitsunternehmen investieren in den Bereich der Automatisierung. Aber egal, wo man hinsieht, die Anbieter bauen Automatisierungsplattformen zur Optimierung eines SOC mit 30, 50 oder 100 Mitarbeitern auf. Diese ausgefeilten und komplexen Plattformen haben für den CISO eines mittelständischen Unternehmens keinen Wert. Sie sind sowohl preislich als auch praktisch nicht umzusetzen.
Unternehmen gehen deshalb zu einem konsolidierten und ganzheitlichen Ansatz über, bei dem sie nicht mehr einfach die besten Tools anschaffen. Sie konzentrieren sich stattdessen auf die Nutzung von KI und Automatisierung, um ihre Sicherheitsabläufe einfacher, effizienter und effektiver zu gestalten.