Outsourcing vs. interne Cybersicherheits-Maßnahmen
14 Mar, 20235 minutesOperationen im Bereich der Cybersicherheit sind ein einfaches Konzept. Betriebliche Aufgaben...
Operationen im Bereich der Cybersicherheit sind ein einfaches Konzept. Betriebliche Aufgaben in der Wirtschaft beziehen sich auf alles, was ein Unternehmen tut, um sein Ziel zu erreichen. Um dies zu tun, muss das Unternehmen jedoch auch seine Vermögenswerte schützen, und hier kommt die Cybersicherheit ins Spiel.
Cybersicherheitsmaßnahmen sind die organisatorischen Aktivitäten, die erforderlich sind, um das gesamte Unternehmen - und insbesondere seine Informationswerte - vor Cybersecurity-Bedrohungen zu schützen.Der Schutz der Informationen, Websites, Datenbanken, Geschäftsprozesse und der Kommunikation des Unternehmens ist das Hauptziel der Cybersicherheitsmaßnahmen. Um dies zu erreichen, beobachten sie sowohl die internen als auch die externen Aktivitäten im Netz, um potenzielle Gefahren oder böswilliges Verhalten zu erkennen.
Infolge neuer Technologien und veränderter Kundenbedürfnisse wuchsen zahlreiche Netzwerke, so dass es für die Cybersicherheit kein zentrales Konzept gab, an dem man sich orientieren konnte. Die durch das Internet verursachte Störung machte es für die Unternehmen zwingend erforderlich, ihre Sicherheitsmaßnahmen zu verstärken und unter einem Dach zusammenzufassen. Aufgrund der zahlreichen Alarme, die von Intrusion Detection/Prevention-Systemen, Firewalls und anderen Systemen ausgelöst wurden, waren die Unternehmen gezwungen, ihre Sicherheitsarchitektur genauer zu überprüfen.
Die Unternehmen waren nicht nur besorgt, dass Warnungen aufgrund eines Mangels an geschultem Personal nicht untersucht wurden, sondern auch, dass die Menge der Warnungen einfach zu groß für eine schnelle Diagnose war. Die Unternehmen hatten Angst vor dem, was sie in Bezug auf die Überwachung von Bedrohungen nicht verstanden.
Outsourcing oder interne Entwicklung sind die beiden Optionen, die diesen Unternehmen für den Aufbau von SOC-Kapazitäten (Security Operations Center) zur Verfügung stehen.
Die Überwachung von Netzwerkalarmen ist eine akzeptable Technik zur Auslagerung von Cybersicherheitsaufgaben. Die Auslagerung von Cybersicherheitsaufgaben bedeutet im Wesentlichen, dass ein Vertrag mit einem Anbieter von verwalteten Sicherheitsdiensten geschlossen wird, damit dieser die Netzwerkalarme auf schädliche Aktivitäten untersucht. Diejenigen, die nicht bösartig sind, werden vom MSSP (Managed Security Service Provider) aussortiert, während diejenigen, die tatsächlich Schaden anrichten könnten, gemeldet werden.
Outsourcing (MSSP)
Vorteile
- Geschultes Personal: Da erfahrene Mitarbeiter sofort zur Verfügung stehen, spart ein Unternehmen Zeit und Kosten für die Einstellung und Schulung der für die Analyse erforderlichen Mitarbeiter.
- Infrastruktur: Der MSSP (Managed Security Service Provider) verfügt bereits über die Einrichtungen und Tools, die für diese Aufgabe erforderlich sind, und spart so Zeit und die Kosten für den Aufbau eines internen SOC.
- Kontinuierliche Überwachung von Bedrohungen: MSSPs sollten SIEM-Funktionen zur Verfügung stellen, die Falschmeldungen herausfiltern, sodass forensische Untersuchungen nur bei legitimen Bedrohungen durchgeführt werden. Dies ist eine proaktive und kontinuierliche Bedrohungssuche und -überwachung, die das Cybersicherheitsteam eines Unternehmens allein nur schwer durchführen kann.
- Vorausschauende Planung: Die Auslagerung von Cybersicherheitsoperationen kann Sicherheitsanalysefunktionen bereitstellen, während ein Unternehmen sein eigenes internes SOC aufbaut.
Nachteile
- Wie viel Analyse bietet der MSSP? : Das Outsourcing von Cybersicherheitsfunktionen bietet in der Regel keine Funktionen wie eine mehrstufige Analyse von Warnmeldungen oder einen Incident Response Service. Stattdessen bieten viele ausgelagerte Cybersicherheitsoperationen nur das Äquivalent einer Cybersicherheitsoperationsanalyse der Stufe 1.
- Was geschieht mit Warnungen, die der MSSP nicht löschen kann? : Der MSSP kann nur eine Teilmenge der von einer Organisation generierten Warnprotokolle analysieren. Warnungen von bestimmten Anwendungen wie Datenbanken und Webanwendungen fallen möglicherweise nicht in seinen Zuständigkeitsbereich. Wenn der MSSP auch ein Anbieter von Tools oder Hardware ist, kann er möglicherweise nur die Protokolle seiner eigenen Produkte analysieren.
- Detaillierte Analyse potenzieller Bedrohungen: Eine Organisation benötigt immer noch einige interne Analysefähigkeiten, um mit der kleineren Anzahl von Warnungen umzugehen, die nicht ohne weiteres vom MSSP beseitigt und somit an den Kunden zurückgeschickt werden können.
- Compliance-Management: Das SOC muss in Übereinstimmung mit den Vorschriften und Standards arbeiten, die das Unternehmen einhalten muss. Der MSSP sollte Vorlagen für die geforderten und empfohlenen Compliance-Prozesse bereitstellen und bei der Entwicklung von Schwachstellenanalysen für das Unternehmen die gesetzlichen Standards berücksichtigen.
In-house SOC
Vorteile
- Bedarfsgerechter Betrieb: Die Sicherheitsabläufe und Überwachungsfunktionen werden so konzipiert, dass sie den Anforderungen des Unternehmens am besten entsprechen.
- Speicherung vor Ort: Die interne Speicherung von Ereignisprotokolldaten verringert die Risiken, die mit der für die Meldung von Sicherheitsvorfällen erforderlichen externen Datenübertragung verbunden sind.
- Verbesserte Kommunikation: Die Transparenz von Sicherheitsverletzungen und die Koordination der Reaktion auf Vorfälle sind in der Regel viel einfacher und schneller, wenn die Prozesse intern durchgeführt werden.
- Aufbau einer einheitlichen Sicherheitsstrategie : Ein internes Cybersecurity Operations Center kann die Grundlage für eine umfassende Sicherheits-, Bedrohungs- und Vorfallreaktionsfähigkeit bilden.
Nachteile
- Planung und Implementierung: Die Zeit, die benötigt wird, um ein internes Cybersecurity Operations Center einzurichten und in Betrieb zu nehmen, kann leicht ein Jahr betragen und ist wahrscheinlich länger. CISOs und anderes Sicherheitspersonal müssen einen erheblichen Zeitaufwand für die Planung und Implementierung des SOC aufbringen.
- Kosten: Die Einrichtung eines internen SOC erfordert ein beträchtliches Budget mit Vorabinvestitionen in IT und Personal
- Suche nach gutem Personal: Die Einstellung von Mitarbeitern mit den richtigen Fähigkeiten, Ausbildungen und Erfahrungen oder die Entwicklung und Schulung vorhandener interner Mitarbeiter kann zeitaufwändig und teuer sein.
- Anschaffung mehrerer Sicherheitstechnologien : Die kontinuierliche Erkennung von Bedrohungen und die Überwachung der Einhaltung von Vorschriften in mehreren Abteilungen erfordert wahrscheinlich die Anschaffung mehrerer KI-gesteuerter Sicherheitstools. Dies kann das Budget der Sicherheitsabteilungen übersteigen, insbesondere in kleineren Unternehmen.
-----------------------------------------------------------------------
Wie bei vielen Entscheidungen im Bereich der Cybersicherheit besteht die beste Vorgehensweise für viele Unternehmen darin, das perfekte Gleichgewicht zwischen der internen Verwaltung der Cybersicherheitsfunktion und der Auslagerung an einen MSSP zu finden.
Die Geschwindigkeit zu nutzen, die das Outsourcing bietet, während das Unternehmen seine eigenen Cybersicherheitsabläufe entwickelt, ist eine faire Alternative, vornehmlich für Unternehmen, die eine interne Cybersicherheitsabteilung aufbauen wollen. Das Unternehmen kann von den qualifizierten, erfahrenen Mitarbeitern profitieren, die ein MSSP zur Verfügung hat, während es die Dienste aufbaut, die es selbst anbieten möchte, indem es zumindest einige der jetzt erforderlichen Cybersicherheitsdienste auslagert.