zurück zur Übersicht

Das Geheimnis erfolgreicher Security Teams

teamIn Kundengesprächen höre ich häufig von Mitarbeitern der Security-Abteilungen, dass sie selbst an den Fähigkeiten ihres Teams zweifeln. Das Team ist zu klein, die Mitglieder haben nicht das richtige Know-how, die Budgets sind zu niedrig, das Team ächzt unter einer Vielzahl von Aufgaben.

Doch was machen erfolgreiche Teams anders? Zunächst einmal haben diese Teams Vertrauen in sich und ihre Fähigkeiten. Es geht nicht um Selbstüberschätzung oder Überhöhung, aber ohne Vertrauen in das eigene Tun, ist das Erreichen guter Ergebnisse doppelt schwierig. Aufgabe und Resignation verstellen oft den Blick, um das Potential für Optimierungen zu erkennen. Doch Automatisierung ist der Schlüssel, wenn Teams mit Personalmangel zu kämpfen haben.

Der kritische Blick auf regelmäßig wiederkehrende Tätigkeiten lohnt sich, um Abläufe effizienter gestalten zu können. Die Bandbreite möglicher Zeitverschwender ist groß und Security Teams sind oft nicht in der Lage ihre Zeit effektiv zu nutzen. So bleiben Sicherheitsvorfälle unerkannt bis der Schaden nicht mehr abwendbar ist, weil vorhandene Tools aus Zeitmangel nicht richtig konfiguriert sind oder wichtige Alarme im Rauschen der Fehlalarme untergehen. Doch es geht auch anders. Es gibt Unternehmen in denen 2 FTE Tausende Systeme überwachen und das mit großem Erfolg.

Doch was ist ihr Geheimnis?

Die wichtigsten Zeitfresser auf einen Blick

  • False Positives
    Fehlalarme nehmen viel Zeit in Anspruch. Treten sie in großen Mengen auf, gehen valide Alarme völlig unter. Deshalb weg damit, wo immer es geht, False Positive Tuning ist Pflicht! Durch konsequentes Rückverfolgen und intelligente Filterregeln lassen sich Fehlalarme deutlich reduzieren. So bleibt bald mehr Zeit für die wirklichen Incidents.
  • Information Lookups
    Manuell durchgeführte Information Lookups zu Domains, Hashes verdächtiger Dateien, IoCs, Thread Feeds verschwenden ebenfalls Zeit. Bestmögliche Integration in Analyse-Tools muss hier das Ziel sein.
  • Reporting
    Reports erstellt keiner gern, noch dazu wenn dies manuell erfolgen muss. Doch dient das Reporting auch dazu, die Leistungen des Security Teams darzustellen. Die Beschränkung auf aussagekräftige Kerninformationen und ein hoher Automatisierungsgrad stellt sicher, dass Reports regelmäßig und nach gleichem Vorgehen erstellt werden und damit auch vergleichbar sind.
  • System Management
    Security Teams sind meist, wenn auch oft nur anteilig, am Betrieb von Systemen beteiligt, die sie zur Erfüllung ihrer Aufgaben benötigen. Egal ob SIEM, IPS oder Vulnerability Scanner, diese Systeme wollen gemanagt werden. Auch hier lohnt der kritische Blick auf mögliches Optimierungspotenzial. Je weniger Zeit Security Teams mit der Systempflege verbringen müssen, desto mehr können sie sich um die Angriffserkennung und -abwehr kümmern.

Schulterschluss zwischen IT und IT-Security

Das Verhältnis zwischen IT- und IT-Security-Teams ist oft ambivalent. Feinde? Nein, aber in den Augen des Einen gilt der Andere oft als Verhinderer. Das Security-Team verhindert, dass Dinge einfach funktionieren und die IT verhindert, dass Sicherheitsmaßnahmen schnell umgesetzt werden können. Doch der Schulterschluss zwischen beiden ist dringend notwendig. Je mehr präventive Schutzmaßnahmen gut in IT Services integriert sind, desto leichter wird das Leben der Security Guys & Gals.

Abgestimmte Toolbasis

Oft werden viele verschiedene Tools beschafft und eingesetzt ohne ihr volles Potential auszuschöpfen. Die Folge: Hohe Betriebsaufwände und eine Flut von Informationen, die verarbeitet werden müssen. Besser ist es hier wenige Tools gezielt und aufeinander abgestimmt einzusetzen, ihre Konfiguration zu optimieren, sie durchgängig zu implementieren und zu tunen. Konsolidierung ist das Zauberwort. Erst dann sollte die Suche nach ergänzenden Werkzeugen beginnen. Oft genügen eine Handvoll mit Bedacht gewählter Lösungen und Informationen, um einen guten Job in Sachen Security zu machen.

Selbständigkeit

Stumpfes Reagieren auf Alarme hilft wenig. Security Teams müssen selbständig und flexibel sein. Sie müssen über den Tellerrand schauen, um neue Bedrohungen zu erkennen. Und sie müssen ermutigt werden dies zu tun. Gute Arbeitsbedingungen und eine ausgewogene Work-Life-Balance tragen dazu bei, dass diese wertvollen Mitarbeiter konzentriert arbeiten können. Es hilft auch, sie langfristig an das Unternehmen zu binden und damit auch das Know-how im Unternehmen zu halten.

Nur wenn Mitarbeiter Selbstvertrauen haben und überzeugt sind, etwas bewegen zu können, werden sie sich mit ihrer Aufgabe identifizieren. Cyber Resilience ist nicht nur eine Frage der technischen Komponenten und Systeme, sondern vor allem auch der Menschen die sie benutzen.

Schreibe einen Kommentar