Automatisierte Incident Response
Die Angriffserkennung ist heutzutage mit SIEM-Systemen, KI und Threat Intelligence enorm leistungsfähig geworden. Kann man auf Basis dieser viel besseren Erkennung auf Securityvorfälle ohne Beteiligung eines Securityexperten reagieren? Eine Forschungsgruppe der Hochschule Weserbergland hat es ausprobiert.
Das Entdecken und Behandeln von Sicherheitsvorfällen dauert zu lange. Eine Reaktion benötigt trotz des Einsatzes spezialisierter Technik und gut ausgebildeter Experten viele Tage oder Wochen – von Echtzeit ist die Abwehrseite immer noch weit entfernt
Hier bilden sich am Markt folgerichtig Ökosysteme und APIs heraus, die das Ziel eines höheren Automatisierungsgrades verfolgen. Die verschiedenen Architekturbausteine der IT-Security arbeiten also zunehmend zusammen: Sandboxes erkennen gefährlichen Code in E-Mailanhängen und immunisieren eigenständig Endpoints im LAN oder stellen die Parameter der Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) ein. Etliche Hersteller von Sicherheitssystemen werben mit der eigenständigen Reaktion ihrer Produkte – um die viel zitierte Time to Response (TTR) signifikant zu verkürzen.