Was ist Sicherheitsautomatisierung?

By Derek Robertson and Annie Badman

Definition der Sicherheitsautomatisierung

Sicherheitsautomatisierung nutzt künstliche Intelligenz (KI), maschinelles Lernen (ML) und vordefinierte Workflows, um Cyberangriffe mit minimalem menschlichem Eingreifen automatisch zu identifizieren, zu verhindern und darauf zu reagieren. 

Durch das Einbetten von Automatisierung in jede Phase des Sicherheitslebenszyklus – von der Suche nach Sicherheitslücken bis hin zur Durchsetzung identitätsbasierter Zugriffskontrollen – können Unternehmen die Reaktionszeiten verkürzen und ihre allgemeine Sicherheits- und Governance-Haltung stärken.

Die Automatisierung zeitaufwändiger und repetitiver Aufgaben – wie das Blockieren feindlicher Domains, das Scannen nach offengelegten Geheimnissen und die Untersuchung häufiger Bedrohungen – hilft Teams dabei, schneller und präziser auf Bedrohungen zu reagieren. Sicherheitsteams können Alarmermüdung (Alarm Fatigue) reduzieren und sich auf strategischere Initiativen wie proaktive Bedrohungserkennung und Richtlinienoptimierung konzentrieren.

Laut dem IBM Data Breach Kostenreport können Unternehmen, die Sicherheitsautomatisierung einsetzen, die Verstoßzeiten um durchschnittlich 80 Tage verkürzen und die durchschnittlichen Kosten von Sicherheitsverletzungen um 1,9 Millionen USD senken.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Wichtige Sicherheitsautomatisierungsplattformen 

Unternehmen setzen in der Regel mehrere Automatisierungsplattformen ein, die gemeinsam Sichtbarkeit, Orchestrierung und kontinuierlichen Schutz in hybriden Umgebungen bieten.

Endpoint Detection and Response (EDR) 

Tools für Endpoint Detection and Response (EDR) sammeln Daten von allen Endgeräten – Desktop- und Laptop-Computern, Servern, Mobilgeräten, Geräten des Internets der Dinge (IoT) – und analysieren neue Bedrohungen in Echtzeit.
Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR)

Plattformen für Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) bieten eine zentrale Konsole, die andere Sicherheitslösungen in Bedrohungsreaktions-Workflows integriert und Routineaufgaben, Untersuchungen und Sanierungen automatisiert.
Security Information and Event Management (SIEM)

Sicherheitsinformations- und Ereignismanagementsysteme (SIEM) bündeln Daten über mehrere Funktionen hinweg, um Bedrohungen zu identifizieren, Sicherheitswarnungen zu generieren und Compliance-Dokumentationen für Audits und Berichterstattungen zu pflegen.
Erweiterte Erkennung und Reaktion (XDR)

Erweiterte Detection and Response (XDR) Plattformen sammeln und analysieren Sicherheitsdaten von Endgeräten, Netzwerken und aus der Cloud, um eine automatische Incident Response zu ermöglichen.

Moderne Implementierungen ergänzen diese Sicherheitsautomatisierungslösungen zunehmend durch Policy-as-Code-Frameworks und Secret-Scanning-Funktionen.

Policy-as-Code hilft dabei, einheitliche Sicherheits- und Compliance-Standards in hybriden Umgebungen durchzusetzen, während Secret-Scanning offengelegte Zugangsdaten schon früh in der Entwicklungspipeline identifiziert. Diese Praktiken entsprechen den umfassenderen Prinzipien des Security Lifecycle Managements, bei denen der Schutz, die Inspektion und die Verwaltung sensibler Assets während ihrer gesamten Lebensdauer im Vordergrund stehen.

Beispiel für einen Sicherheitsautomatisierungsworkflow 

  1.  Ein Benutzer meldet sich von einem ungewöhnlichen Ort aus an.  

  2. Das EDR führt eine Geolokalisierung der IP-Adresse durch und leitet die Ergebnisse an die SOAR-Plattform weiter.  

  3. Die SOAR-Plattform führt ein Playbook aus, um die Identität und Authentifizierung des Benutzers zu validieren.

  4. Das SIEM protokolliert den Vorfall zur Einhaltung der Vorschriften.

Wie funktioniert die Sicherheitsautomatisierung?

Workflows zur Sicherheitsautomatisierung bestehen allgemein aus vier Hauptphasen: Erstellung von Playbooks, Erkennung und Analyse von Bedrohungen, automatische Reaktion und Dokumentation von Vorfällen. 

Plattformen wie XDR und hochmoderne SIEMs können mehrere Schritte innerhalb dieses Workflows abwickeln, decken aber selten alles ab. Stattdessen setzen Unternehmen in der Regel mehrere Kerntools ein, die Daten über Programmierschnittstellen von Anwendungen (API) und Dashboards innerhalb der IT-Umgebung teilen. 

Immer mehr Unternehmen entwickeln Workflows zur Automatisierung, die einen kompletten Sicherheitslebenszyklus unterstützen – von der Erstkonfiguration über die Rotation der Zugangsdaten bis hin zur Außerbetriebnahme.

Einige Teams integrieren auch geheime Scans in ihre Pipelines, um offengelegte Anmeldeinformationen oder API-Schlüssel früh im Entwicklungsprozess zu erkennen und Sicherheitslücken zu beheben, bevor sie die Produktion erreichen.

Eine typische Implementierung der Sicherheitsautomatisierung könnte Folgendes umfassen: 

  • SOAR orchestriert Workflows und Playbooks systemübergreifend. 
     
  • EDR erkennt und reagiert in Echtzeit auf Bedrohungen von Endgeräten. 
     
  • SIEM erfasst Logs für die Compliance.

  • XDR koordiniert die Antworten in der Cloud, im Netzwerk und auf den Endgeräten.  

Da KI- und ML-gestützte Pipelines immer öfter genutzt werden, ist die Aufrechterhaltung einer strengen Geheimhaltung unerlässlich. Zugangsdaten oder Token können versehentlich in Trainingsdatensätze für Modelle aufgenommen werden, was neue Risiken mit sich bringt.

Automatisierungs-Playbooks

Playbooks sind Prozesspläne, die Standard-Sicherheitsprozesse wie die Erkennung von Bedrohungen, Untersuchungen und die Reaktion auf Vorfälle beschreiben. Playbooks können sich über mehrere Tools, Apps und Firewalls in der gesamten Sicherheitsinfrastruktur eines Unternehmens erstrecken und manuelle Prozesse durch automatisierte Workflows ersetzen.

Sie können vollautomatisch (Blockieren bekannter bösartiger IPs) oder halbautomatisch (Erfordernis einer menschlichen Genehmigung vor der Abschaltung entscheidender Systeme) sein. SOAR-Plattformen zeichnen sich häufig durch ihre Fähigkeiten aus, komplexe Playbooks auszuführen, die Aufgaben über mehrere Tools hinweg automatisieren.

In einer automatisierten Umgebung definieren Playbooks Workflows, die mehrere Sicherheitstools miteinander verknüpfen, um komplexe Abläufe auszuführen. Die Teams erstellen Sicherheitsrichtlinien, die die Dringlichkeit von Bedrohungen priorisieren und automatische Reaktionen für jede Art von Vorfall definieren. 

Erkennung von Bedrohungen

Die Sicherheitsautomatisierung verwendet vier Hauptansätze zur Bedrohungserkennung in der sich entwickelnden Bedrohungslandschaft:

  1. Signaturbasiert, um bekannte feindliche Datei-Hashes und IP-Adressen zu markieren.

  2. Anomaliebasiert, wodurch Abweichungen von erwarteten Mustern erkannt werden.

  3. Verhaltensbasiert, wobei ungewöhnliche Aktivitäten im Vergleich zu Trends im Zeitverlauf identifiziert werden. 

  4. Intelligenzgesteuert, um eine externe Threat-Intelligence zu integrieren. 

Verschiedene Tools zur Sicherheitsautomatisierung können unterschiedliche Bedrohungen erkennen, indem sie sich auf verschiedene Facetten eines Systems konzentrieren:

Unternehmen wählen je nach Geschäftsanforderungen und Risikoniveau Tools zur Automatisierung aus, um ihren Sicherheitsstatus zu optimieren. Ein Unternehmen, das sensible Daten verarbeitet, könnte ITDR zum Schutz vor Phishing-Angriffen bereitstellen oder Secret-Scanning integrieren, um das Risiko der Offenlegung von Zugangsdaten zu verringern.

Größere Unternehmen können zusätzlich XDR verwenden, um umfassendere Sicherheitsaufgaben zu erfüllen, wie zum Beispiel Fehlalarme zu erkennen, Reaktionen zu koordinieren und einen einheitlichen Schutz über die gesamte Angriffsfläche zu gewährleisten.

Die Integration von Policy-as-Code in diese Systeme trägt dazu bei, sicherzustellen, dass Reaktionen – wie das Blockieren von Datenverkehr, der Widerruf des Zugriffs oder das Durchsetzen von Verschlüsselung – konstant und automatisch in der gesamten Umgebung angewendet werden.

Automatisierte Antwort

Wenn Bedrohungen identifiziert werden, automatisieren Sicherheitsteams die Reaktion auf Sicherheitsvorfälle – den Prozess zur Eindämmung und Behebung von Sicherheitsverletzungen. 

Automatisierte Systeme ordnen Vorfälle gemäß den Playbook-Prioritäten aus. Die Sicherheitsautomatisierung führt dann Sanierungsmaßnahmen wie das Blockieren von Domains, das Bereitstellen von Patches, das Aktualisieren von Antivirensoftware, das Scannen nach Malware, das Neuverschlüsseln von Daten und das Ändern von Benutzerzugriffsrechten durch. 

Verschiedene Arten von Plattformen können unterschiedliche Aspekte der Reaktion auf Vorfälle automatisieren. XDR-Plattformen bieten im Allgemeinen die umfassendsten Funktionen: das Trennen betroffener Geräte, die Protokollierung von Benutzern aus dem Netzwerk, das Unterbrechen von Prozessen und das Offline-Schalten von Datenquellen. 

Unternehmen, die nicht über ein voll ausgestattetes Security Operations Center (SOC) verfügen, können MDR-Anbieter (Managed Detection and Response) nutzen, um Bedrohungen in Echtzeit zu überwachen, zu erkennen und darauf zu reagieren, indem sie externe SOC-Mitarbeiter einsetzen.

Compliance-Automatisierung

Je nach Standort und Branche können Unternehmen Gesetzen oder Vorschriften unterliegen, die eine spezifische Protokollierung und Dokumentation von Sicherheitsvorfällen vorschreiben. Die Sicherheitsautomatisierung kann diesen Prozess optimieren.

Der Payment Card Industry Data Security Standard (PCI-DSS), die Datenschutz-Grundverordnung (DSGVO), der Health Insurance Portability and Accountability Act (HIPAA) und der Sarbanes-Oxley Act (SOX) sind nur einige der Standards, die Unternehmen möglicherweise berücksichtigen müssen.

SIEM-Systeme haben sich zwar zu Allzweck-Tools für die Sicherheitsautomatisierung entwickelt, doch ihr ursprünglicher Zweck war die Überwachung von Sicherheitsdaten aus Gründen der Compliance. Eine automatisierte Berichterstattung kann dazu beitragen, die für die Einhaltung gesetzlicher Vorschriften erforderlichen Ressourcen zu reduzieren und das Risiko menschlicher Fehler zu mindern.

Dokumentationstools können auch dabei helfen, Daten für KI- und ML-Tools zu aggregieren, die eine anomaliebasierte Bedrohungserkennung durchführen. Zum Beispiel kann das SIEM während eines Datenlecks Benutzer, Zeit und IP-Adresse protokollieren und diese Informationen in einem Data Lake speichern, um sie weiter zu analysieren. Sie dient außerdem dazu, bestehende Erkennungsregeln zu verfeinern oder neue zu implementieren. 

Unternehmen, die in ihrer Auditbereitschaft Fortschritte machen, verwenden zunehmend Policy-as-Code, um Compliance-Regeln in automatisierte Leitplanken umzusetzen. Mit diesem Ansatz wird durch die Erstellung, Bereitstellung und Verwaltung von Richtlinien im Code sichergestellt, dass die Infrastruktur standardmäßig immer konform ist und versionskontrollierte Prüfprotokolle für die Durchsetzung der Richtlinien bereitgestellt werden.

Wichtigste Funktionen der Sicherheitsautomatisierung

Sicherheitsautomatisierungstools erkennen und reagieren auf Sicherheitsbedrohungen und helfen dabei, Bedrohungsjagd, Schwachstellenmanagement und Risikobewertung zu optimieren – Schlüsselelemente der unternehmerischen Cybersicherheit.

Bedrohungsjagd

Durch Automatisierung kann die Bedrohungsjagd von einem manuellen, zeitintensiven Prozess zu einem kontinuierlichen, skalierbaren Vorgang werden. Anstatt dass Sicherheitsanalysten Protokolle von Dutzenden von Systemen manuell überprüfen müssen, können automatisierte Tools kontinuierlich Millionen von Ereignissen analysieren und die Anomalien kennzeichnen, die menschliches Eingreifen erfordern.  

Ein NDR kann beispielsweise das aktuelle Netzwerkverhalten mit historischen Mustern vergleichen und subtile Abweichungen identifizieren, die auf eine fortgeschrittene, persistierende Bedrohung hinweisen könnten. Durch diesen Vergleich wird die Untersuchungszeit von Tagen auf Stunden verkürzt. Sicherheitsautomatisierungstools können auch die Funktionen eines SOC zur Bedrohungsjagd verbessern, indem sie die Workloads automatisieren und so die Mitarbeiter des Sicherheitsteams für die persönliche Untersuchung von Cyberbedrohungen freistellen. 

Schwachstellenmanagement

Schwachstellenmanagement – der Prozess, Sicherheitslücken in der Infrastruktur eines Unternehmens kontinuierlich zu entdecken und zu beheben – kann von der Automatisierung profitieren. 

Eine Software zur Schwachstellenanalyse überprüft automatisch Sicherheitssysteme auf Fehler und Schwächen. Scanner werden häufig in Sicherheitsautomatisierungstools wie SIEMs und EDRs integriert, um die Sanierung zu priorisieren.

Wenn ein Scanner beispielsweise ein unbekanntes Gerät identifiziert, das auf das Intranet zugreift, kann er diese Information an den EDR weitergeben, der ein Playbook ausführt, um das Gerät bis zur Authentifizierung zu trennen. 

Viele Plattformen laden Patches automatisch herunter und testen sie. Während EDR-Plattformen neue Patches automatisch bereitstellen, können Unified Endpoint Management (UEM) Systeme dazu beitragen, sicherzustellen, dass sie Benutzergeräte erreichen und installiert werden. 

Zu den fortgeschrittenen Praktiken gehört auch die Pflege von Zugangsdaten, wie z. B. die automatische Rotation von Token, wodurch die Gefährdung von Codes reduziert und die Skalierung von Hybrid Cloud und Multicloud unterstützt werden kann.

Risikoscoring

Die Automatisierung verbessert die Risikobewertung, indem Bedrohungen und Schwachstellen numerische Werte zugewiesen werden. 

SIEM-Systeme erfassen riesige Datenmengen, die Sicherheitsteams dabei helfen, Risikobewertungen zu ermitteln, indem sie mithilfe von Algorithmen des maschinellen Lernens Ereignisse identifizieren, die am engsten mit Sicherheitsverletzungen in Verbindung stehen. Diese Scores können in SOAR-Dashboards integriert werden, um Tools und Benutzern bei der Priorisierung von Bedrohungen zu helfen. 

Die Risikobewertung ist ein Beispiel für einen Bereich, in dem die Automatisierung ergänzend, aber nicht vollständig agiert. Menschliches Urteilsvermögen bleibt für die Entscheidungsfindung oft unverzichtbar, um die Ergebnisse mit den Sicherheitsprioritäten des Unternehmens in Einklang zu bringen. 

Autoren

Derek Robertson

Staff Writer

IBM Think

Annie Badman

Staff Writer

IBM Think
Weiterführende Lösungen
Sicherheitslösungen für Unternehmen

Transformieren Sie Ihr Sicherheitsprogramm mit Lösungen vom größten Anbieter von Unternehmenssicherheit.

 Cybersicherheitslösungen entdecken
Cybersicherheit-Services

Transformieren Sie Ihr Unternehmen und verwalten Sie Risiken mit Beratungsleistungen im Bereich Cybersicherheit sowie Cloud- und Managed-Security-Services.

         Mehr über Cybersicherheitsservices
    Cybersicherheit mit künstlicher Intelligenz (KI)

    Verbessern Sie die Geschwindigkeit, Genauigkeit und Produktivität von Sicherheitsteams mit KI-gestützten Cybersicherheits-Lösungen.

         KI für Cybersicherheit erkunden
    Machen Sie den nächsten Schritt

    Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

     

         Lösungen zur Bedrohungserkennung erkunden IBM Verify erkunden