Das moderne SOC-System basiert auf einem brüchigen Fundament. Zero Trust kann das Problem lösen.

Im Jahr 2003 veröffentlichte Gartner das Papier, das später als„IDS is Dead“ bekannt wurde. Die Branche reagierte auf das Verschwinden von Intrusion-Detection-Systemen (IDS) mit der Entwicklung von Security-Information- und Event-Management-Systemen (SIEM).  

Mitte der 2010er Jahre wurde SIEM als Compliance-Tool anerkannt, woraufhin die Branche Endpoint Detection and Response (EDR) entwickelte. Als EDR nicht alles abdecken konnte, kam Network Detection and Response (NDR) auf den Markt.  

Dann kam Extended Detection and Response (XDR), sorgte für enorme Verwirrung und wurde seitdem von demselben Gartner, das auch das Ende von IDS miterlebt hat, für tot erklärt.  

Jeder Übergang wurde als Fortschritt dargestellt. Und doch, wie mir Dr. Anton Chuvakin, Sicherheitsberater im Büro des CISO bei Google Cloud, und Erik Bloch, Vizepräsident für Informationssicherheit bei Illumio, in der neuesten Folge des Podcasts „The Segment“erklärten, wurden die meisten Unternehmensumgebungen architektonisch nie so konzipiert, dass eine zuverlässige Erkennung gewährleistet ist.  

Die auf diesen Umgebungen aufbauenden SOC-Tools haben diesen Fehler geerbt, und die meisten der seitdem entwickelten neuen Tools haben ihn eher umgangen als behoben. Solange die Verantwortlichen für IT-Sicherheit die zugrundeliegende Architektur nicht angehen, wird sich der Kreislauf von Investitionen in Tools ohne verbesserte Ergebnisse fortsetzen.  

Zero Trust durchbricht diesen Kreislauf, indem es die Architektur als das zu lösende Problem und nicht als die Annahme, die es zu umgehen gilt, betrachtet.

Die Pflasterökonomie und warum sie so lukrativ ist

Als ich Erik fragte, warum sich die Ergebnisse bei der Erkennung und Reaktion trotz Milliardeninvestitionen und jahrzehntelanger Innovation nicht wesentlich verändert hätten, führte er dies darauf zurück, dass die Branche versuche, Symptome statt der eigentlichen Ursache zu beheben.

„Ich sehe mir heute viele Sicherheits-Startups an, und die bauen nur Notlösungen“, sagte er. „Die Investoren wissen, dass sie in kurzfristige Lösungen investieren können, sie wissen, dass diese Lösungen eine Zeit lang funktionieren, bis sie es nicht mehr tun, und dann können sie in die nächste kurzfristige Lösung investieren, anstatt die grundlegenden Probleme anzugehen, die die Schwierigkeiten überhaupt erst verursachen.“

Der Markt für Sicherheitsanbieter lebt von schrittweisen Verbesserungen der Erkennungsfähigkeit. Jede neue Welle von Erkennungs- und Reaktionstechnologien verspricht, diejenige zu sein, die letztendlich das Zünglein an der Waage ist. Und jede Welle enttäuscht, gemessen an den Ergebnissen, größtenteils.

Erik fuhr fort: „Es gibt architektonische Maßnahmen, die viele der Probleme lösen würden, mit denen wir heute konfrontiert sind.“ Tun wir das? NEIN. Wir kaufen immer mehr Pflaster, um die architektonischen Probleme zu kaschieren, und reagieren dann auch noch auf all diese Warnmeldungen.“

Das Problem der Suche nach der „Nadel im Heuhaufen“ – die Suche nach tatsächlichen Bedrohungen in einem Meer von Warnmeldungen – hat sich trotz jahrzehntelanger Investitionen in die Werkzeugentwicklung nicht verbessert. Erik stellte fest, dass das Verhältnis von tatsächlichen Bedrohungen zu Gesamtlärm hartnäckig zwischen 4 % und 7 % liegt.  

Weitere Tools haben diese Zahl nicht verändert, und das werden sie auch nicht, denn die Tools sind Teil des Problems.

Was „Architekturprobleme“ für einen CISO bedeuten

Wenn Erik und Anton über Architekturprobleme sprechen, beschreiben sie einen spezifischen Fehlermodus, mit dem die meisten Sicherheitsverantwortlichen täglich zu tun haben, den sie aber selten explizit benennen.

Die meisten Unternehmensumgebungen basierten auf implizitem Vertrauen, darunter flache Netzwerke, weitreichende Berechtigungen für die laterale Bewegung und die Annahme sauberer Perimeter. Wenn Sie die Erkennungsfähigkeit auf einer flachen, übermäßig berechtigten Umgebung aufbauen, verlangen Sie von Ihrem SOC im Grunde, die Nadel im Heuhaufen zu finden, den Sie absichtlich größer und schwieriger zu durchsuchen gemacht haben.

Ein flaches, übermäßig berechtigtes Netzwerk erzeugt ein Alarmaufkommen, das kein SOC realistisch bewältigen kann. Seitwärtsbewegungen sehen aus wie normaler Verkehr, weil die Architektur sie so behandelt. Kompromittierte Zugangsdaten bleiben unentdeckt, da der interne Zugriff nie auf eine Überprüfung ausgelegt war.  

Das SOC beseitigt ein Chaos, das die Umwelt selbst verursacht hat.

Zero Trust verändert grundlegend, was Ihr SOC überhaupt erst erkennen muss. Wenn Sie den Zugriff nach dem Prinzip der minimalen Berechtigungen erzwingen, die Identität kontinuierlich überprüfen und die Arbeitslasten so segmentieren, dass für die Ost-West-Bewegung eine explizite Autorisierung erforderlich ist, verringern Sie grundlegend die Angriffsfläche, die Ihre Erkennungswerkzeuge abdecken müssen.  

Man hört auf, den Heuhaufen zu vergrößern, und fängt an, ihn zu verkleinern.

Die architektonische Lösung, die Erik und Anton in unserem Gespräch beschrieben haben, bedeutet, die grundlegenden Annahmen darüber, wie Zugang und Vernetzung funktionieren sollten, neu zu gestalten.

Ein SoC aus den 1990er Jahren mit KI ist immer noch ein SoC aus den 1990er Jahren

Beide waren sich einig, dass KI im Bereich der Sicherheitsoperationen einen echten Mehrwert bietet. Die Anwendung von KI auf ein strukturell fehlerhaftes SOC führt jedoch zu einer schnelleren Version der gleichen fehlerhaften Ergebnisse.

Anton argumentierte, dass zu viele Organisationen KI-Investitionen als Vorwand nutzen, um einen umfassenderen Umbau zu vermeiden. Künstliche Intelligenz hat viele Sicherheitsteams von dieser grundlegenden und dennoch entscheidenden Aufgabe abgelenkt.

Wenn das SOC-Modell selbst 30 Jahre alt ist, beschleunigt KI lediglich alte Prozesse, ohne darauf einzugehen, warum der Prozess so wenig Signal liefert. Die Umgebung, die der SOC überwacht, war nie darauf ausgelegt, die richtigen Informationen zuverlässig zu liefern, und eine schnellere Analyse unzuverlässiger Signale ist immer noch unzuverlässig.

„Mithilfe von KI können bestimmte Glieder der Kette viel schneller und vielleicht auch viel besser funktionieren, aber im Großen und Ganzen ist die gesamte Kette immer noch da, wo sie war“, sagte Anton.

Eine Zero-Trust-Architektur verändert die gesamte Kette.  

Wenn Ihr Netzwerk segmentiert ist und Workloads nur über explizit zugelassene Pfade kommunizieren können, hat Ihr SOC eine deutlich kleinere Erkennungsfläche abzudecken.  

Das bedeutet, dass die KI, die Sie in dieser Umgebung einsetzen, tatsächlich so funktionieren kann, wie sie soll, weil das Signal-Rausch-Verhältnis mit der Angriffsfläche abnimmt. Zero Trust macht KI im SOC nützlich.

Jede Erfolgsgeschichte der SOC-Transformation beginnt mit der Architektur.

Im Laufe unseres Gesprächs beschrieb Anton die wenigen Organisationen, die diesen Kreislauf tatsächlich durchbrochen haben.  

Netflix verzichtete 2018 auf SOC-Richtlinien . Google verwendet ein ingenieurwissenschaftlich geprägtes Erkennungsmodell. Anton erwähnte sogar eine große europäische Bank, die ihr SOC von Grund auf komplett neu aufgebaut hat.

Diese Organisationen gingen anders vor, indem sie das Architekturproblem direkt angingen. Das bedeutet, dass wir die Funktionsweise des Zugriffs, die Vertrauenswürdigkeit des Datenverkehrs und die Struktur der Umgebung grundlegend überarbeiten müssen.  

Es ist eine langsame und teure Arbeit. Die meisten Organisationen entscheiden sich stattdessen für den Kauf von Tools, und der Kreislauf setzt sich fort.

Um aus dieser Sackgasse herauszukommen, bedarf es des organisatorischen Willens, der Zustimmung der Führungsebene und der Bereitschaft, mit dem Flicken aufzuhören und mit dem Neuaufbau zu beginnen. Es erfordert außerdem ein klares architektonisches Ziel.  

Zero Trust bietet dieses Ziel als eine Reihe von Designprinzipien, die, wenn sie auf die Umgebung angewendet werden, die Ihr SOC überwacht, die grundlegende Wirtschaftlichkeit der Erkennung verändern.

Zero Trust ist die einzige Antwort auf eine Angriffsfläche, die stetig wächst.

Künstliche Intelligenz erweitert die Angriffsfläche schneller als jede vorherige Technologiewelle, und die meisten SOCs sind nicht darauf ausgelegt, damit umzugehen.  

Die Annahme, dass der Perimeter bereits vor dem Aufkommen der KI nicht mehr gültig war, war widerlegt. Die Integration von KI-Tools in diese marode Grundlage führt zum gleichen Ergebnis wie jede vorherige Welle von Investitionen in Werkzeuge: schnellere Prozesse, aber die gleichen Ergebnisse.

Sowohl Erik als auch Anton waren sich in zwei Punkten einig. Die grundlegenden architektonischen Probleme, die zu schlechten Erkennungsergebnissen führen, sind gut bekannt und weitgehend ungelöst. Und die Teams, die sich entscheiden, diese Probleme anzugehen, sind nachweislich besser dran.

Zero Trust ist der Ausgangspunkt dieser Arbeit. Sie rückt die Architektur von einer festen Beschränkung in den Mittelpunkt der zu lösenden Kernproblematik. Diese Umstrukturierung steht jedem Sicherheitsverantwortlichen zur Verfügung, unabhängig von der Größe des Unternehmens, dem Budget oder bestehenden Schulden.  

Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.