Verfasst von Leon Ward, VP Product Management, ThreatQuotient
Bei wichtigen außenpolitischen Entscheidungen trommeln Regierungsoberhäupte oft ihre Berater und Experten zusammen. Nacheinander beschreibt jeder Teile des Vorfalls, während der Präsident Fragen stellt und Maßnahmen anordnet, bis der Vorfall vorüber ist oder ein entscheidender Schritt zur Bekämpfung des Feindes gelungen ist. Das nennt man ein Lagezentrum.
Genau genommen befindet sich das Lagezentrum mitten in der Realität – zum Beispiel in den USA. 1961 eingerichtet, werden in einem solchen Raum die richtigen Menschen und Informationen zusammengebracht, um die Mitarbeiter des Weißen Hauses über wichtige Ereignisse informieren zu können. Wäre es nicht eine gute Idee, etwas Ähnliches zur Verfügung zu haben, wenn es in einer Organisation zu einer Datenschutzverletzung kommt?
Die richtigen Daten zusammenführen
Bei der Cybersicherheit dreht sich alles um schnellere Erkennung eines Datenschutzverstoßes. Die Branche ist auf dem Weg, durch Automatisierung die MTTD (Mean Time to Detection, mittlere Erkennungszeit) sowie die MTTR (Mean Time to Respond, mittlere Reaktionszeit) zu reduzieren. Der Schnellste zu sein, ist jedoch nicht das A und O. Tritt ein Datenschutzverstoße ein, ist die richtige Reaktion auf einen solchen Verstoß bei weitem besser als eine übereilte Reaktion. Bei einer unmittelbaren Reaktion gibt es eine Menge Chaos und man hat wenig Zeit, die einzelnen Informationen zu verdauen. Eine solche Reaktion kann sich auch als kurzsichtig erweisen, wenn nicht berücksichtigt wird, was sonst noch vor sich geht.
Es gibt Millionen von Datenpunkten, die von modernen Sicherheitssystemen aufgenommen werden können, doch durchzuarbeiten, welche Informationen relevant sind, und zu entscheiden, welche Reaktion die richtige ist, kann viel Zeit kosten. Es können viele Sicherheitsanalysten an unterschiedlichen Datenpunkten arbeiten, um ihren Teilbereich zu verstehen. Doch kann es sich dabei um einen kleineren und nicht so sinnvollen Teil handeln, wenn er aus dem Zusammenhang gerissen untersucht wird, während aktuell größere Probleme vorliegen. Bei enger Sichtweise wird der rote Faden übersehen, der sich durch diese Datenpunkte zieht.Schneller reagieren, bedeutet, dass die Notwendigkeit, zusammenzuarbeiten, noch nie größer war.
Die richtigen Personen zusammenbringe
Analysten aus ihren jeweiligen Silos herauszuholen, ist ein wichtiger Aspekt, wenn es um die Verringerung der Reaktionszeit geht. Der übliche isolierte Ansatz im Umgang mit Datenschutzverstößen bedeutet, dass Wissen nicht geteilt werden kann; darüber hinaus macht er Dinge im Allgemeinen weitaus weniger effizient, als sie sein könnten.
Kooperation ist in vielen Lebensbereichen einer Organisation der Weg in die Zukunft, um Geschäftsziele zu erreichen und Wachstum zu fördern. Das ist bei der Cybersicherheit nicht anders. Die richtigen Leute zusammenzubringen, wenn ein Cyberangriff erfolgt, ist für die Frage, wie erfolgreich der Angriff abgewickelt wird, von entscheidender Bedeutung. Dabei geht es nicht nur darum, die richtigen Leute im Raum oder bei einer Konferenzschaltung zu haben. Das hilft per se ein großes Stück weiter, aber alle Teilnehmer müssen eine Vorstellung davon haben, wo das Problem liegt, wo die Anzeichen dafür liegen, was getan wird und von wem.
Den größeren Zusammenhang sehen
Die gute Nachricht ist, dass man gerade eine solche Plattform gelauncht haben, um den entsprechenden Personen die Möglichkeit zu geben, zu sehen, was vor sich geht und die richtigen Entscheidungen schneller zu treffen. Sie ermöglicht Nutzern, eine visuelle Darstellung verschiedener Komponenten eines Cyberangriffs zu verstehen, und macht es leichter, die Lage aufzuarbeiten – das Äquivalent Ihres ureigenen Lagezentrums.
Sie hilft einer Organisation, sich auf verschiedene Aspekte einer Untersuchung zu fokussieren, ohne in einer Flut von Einzelheiten unterzugehen. Nutzer können sich durch große Datenmengen arbeiten, um die Erkennung zu verbessern. Die Plattform kann Bedrohungsdaten mit Angaben zur Frage, wer an was arbeitet, überlagern. Dies ermöglicht den Aufbau von Beziehungen zwischen Datenpunkten, um wichtige Informationen erzeugen zu können. Ist die Bedrohung erkannt und richtig analysiert worden, können Sicherheitsteams dann die entsprechenden Mitglieder zuordnen, die verschiedene Teile der Analyse untersuchen und bearbeiten sollen. Ihnen können Aufgaben und Termine zur Beschleunigung von Sicherheitsmaßnahmen zugeteilt werden.
Dadurch können Informationen an die Plattform zurückgegeben werden, was wiederum ermöglicht, dass die richtigen Reaktionen schneller getroffen und umgesetzt werden können, als dies bisher möglich war.
Eine solche Plattform ist ein sehr effektives Instrument, Teams vollständige Echtzeit-Sichtbarkeit und Interaktion für die Untersuchung zu bieten, an der sie arbeiten. Das bedeutet, Organisationen können zusammenarbeiten und Aktionen koordinieren, die sowohl die mittlere Erkennungszeit als auch die mittlere Reaktionszeit verkürzen. Die richtige Reaktion ist besser als eine schnelle, doch noch besser ist die richtige Reaktion so schnell wie noch nie.