Kürzlich schickte mir einer der besten Sicherheitsberater von DXC im Nahen Osten eine einzigartige Kundenfrage: Wie würde ein SOC (Security Operations Center) wohl im Jahr 2030 aussehen? Und wie würden wir es heute konzipieren?

Als Strategen konzentrieren wir uns auf die Zukunft, die wir einschätzen können, oder, besser gesagt, die Zukunft, von der wir ausgehen, dass sie sich höchstwahrscheinlich so ereignen wird. Da immer die Gefahr besteht, für eine der unzähligen, sich ständig verändernden Varianten einer möglichen Zukunft zu planen – eine, die vielleicht nie zustande kommt –, müssen wir alle verfügbaren Daten über Technologie, Gesellschaft, Wirtschaft, Geopolitik und Bedrohungsentwicklungen berücksichtigen, um einzuschätzen, was wahrscheinlich passieren wird.

Unterm Strich sieht das Verhältnis der Strategen zur Zukunft recht einfach aus. Wir schätzen: Es gibt Fragen, die wir heute noch nicht beantworten oder über die wir heute noch nicht einmal spekulieren können und andere Fragen, die wir noch nicht in der Lage sind zu formulieren. Der Chemiker Aryeh Frimer hat einmal gesagt: „Ich kann eher mit einer guten Frage leben als mit einer schlechten Antwort.“ Für Sicherheitsstrategien ist der vertraute Umgang mit unbekannten Größen eine Voraussetzung für kluge Entscheidungen.

Doch was bedeutet dieser Wandel für SOCs? Wir wissen heute, dass die meisten Unternehmen einen digitalen Wandel durchlaufen und es zu einer grundlegenden Neugestaltung von Dienstleistungen, Produkten und Geschäftswerten kommen wird. Während also die digitale Transformation den Geschäftswandel vorantreibt, werden sich auch die Erwartungen der Kunden weiter ändern und die Prognosen für 2030 beeinflussen. Aus diesen Ungewissheiten ergeben sich folgende Konsequenzen:

1. DevSecOps führt zur Disruption von Unternehmenssicherheitsarchitekturen.

Das Zeitalter monolithischer, vom weiteren Geschäft abgetrennter Sicherheitsfunktionen ist vorbei. Um den Anforderungen an die beschleunigte Markteinführung gerecht zu werden, werden die Entwicklungsmaßnahmen durch den Einsatz von DevOps intensiviert. Um Schritt zu halten, muss Sicherheit in die DevOps-Teams integriert werden. Dank der dadurch entstehenden DevSecOps kann Sicherheit von Anfang an mitwachsen, anstatt nachträglich aufgesetzt zu werden.

Unternehmensweite Sicherheitsfunktionen wie Governance und spezialisierte Funktionen verbleiben bei einem dedizierten Sicherheitsteam, aber das Risiko wird größtenteils auf die DevSecOps-Teams übertragen. DevSecOps-Teams müssen ihre eigenen Revisionen, Tests und ein Schwachstellenmanagement für sicheren Code durchführen.

Allerdings werden DevSecOps-Fachleute nie über die speziellen Sicherheitskenntnisse verfügen, wie sie engagierte InfoSec-Spezialisten besitzen. Deshalb muss das zentrale Sicherheitsteam Tools, Training- und Mentoring-Services für die DevSecOps-Teams bereitstellen. Außerdem müssen wir die DevSecOps-Pipeline im Rahmen der Unternehmenssicherheit sichern. SecOps-Teams müssen neue Beziehungen zu DevSecOps-Gruppen aufbauen, schnell handeln und eine angemessene, unternehmensweite Überwachung und Reaktion sicherstellen.

 

2. Die Automatisierung verkürzt die Problembehebungszeit von Monaten auf Sekunden.

Die durchschnittliche Zeit von der Entdeckung bis zur Behebung von Verstößen beträgt laut jüngster Ponemon-Umfrage 69 Tage. Dies ist ein Geschenk für jeden Gegner, der auch Monate, nachdem er entdeckt wurde, noch plündern und zerstören kann. Wir werden diese Zeit von Monaten auf Sekunden reduzieren. Eine automatisierte Problembehebung (Automated Remediation, AR) ist enorm komplex, aber wir haben die meisten Sicherheitskomponenten, die wir brauchen. Uns fehlt lediglich noch ein großer Teil des „Bindegewebes“ bzw. der Dirigent, der talentierte Solokünstler in ein einzigartiges Orchester verwandeln kann.

SOCs sollten bestrebt sein, innerhalb der nächsten drei Jahre in mindestens 95 Prozent der Fälle eine automatisierte Problembehebung (AR) einzusetzen.

Wir müssen aber auch akzeptieren, dass AR Risiken mit sich bringt. Bei AR besteht die Möglichkeit, dass etwas schief läuft – ähnlich, wie ein schlechter, hastig angewandter Patch zu Produktionsproblemen führen kann. AR birgt eine Gefahr, da komplexe Logik angewandt wird, um Code zu zerstören oder Konten zu entfernen. Ein langsamerer, eher manuell ausgerichteter Ansatz kann dieses Risiko reduzieren, verschafft den Gegnern aber mehr Zeit.

AR mag auf Unternehmensebene derzeit noch nicht bereit sein, aber ohne AR können wir diesen Kampf nicht gewinnen. SOCs sollten bestrebt sein, innerhalb der nächsten drei Jahre in mindestens 95 Prozent der Fälle AR einzusetzen.

 

3. Maschinen werden gegen Maschinen kämpfen; Soldaten werden zu Generälen.

Zwar steckt die Anwendung von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) auf den Bereich der Sicherheit noch in den Kinderschuhen, doch entwickelt sich dieser Bereich rasch weiter. Bis Anfang der 2020er werden KI/ML zentrale Sicherheitsfunktionen isoliert verwalten. Unsere Gegner verwenden KI/ML bereits, um Malware zu entwickeln und zu testen. Wenn wir die 2020er Jahre erreichen, werden sie bereits in der Lage sein, autonom innerhalb der Netzwerke ihrer Opfer zu agieren.

Aktuell verbringen SOC-Verantwortliche einen Großteil ihrer Zeit mit manuellen Tätigkeiten, aber sie werden zunehmend für die Programmierung defensiver und responsiver Logik verantwortlich sein. Sie werden zu Generälen statt zu Soldaten, um umfangreiche Funktionen zu kontrollieren, um Sicherheitsverstöße zu verhindern und feindlichen Code zu beseitigen.

In den 1990er Jahren waren die meisten Sicherheitsexperten hochkarätige Programmierer, aber heute, da es so viele Anbieter für umfassende Portale und Lösungskonfigurationen gibt, ist Programmierung als Kompetenz im Sicherheitsbereich nicht mehr so verbreitet. Im Jahr 2030 wird die Fähigkeit, APIs mit datenwissenschaftlichen Methoden kodieren zu können, eine entscheidende Rolle spielen.

In den Echtzeitkämpfen werden Maschinen gegen Maschinen antreten oder, genauer gesagt, Code gegen Code. Häufig wird die Logik darüber entscheiden, wer als Sieger hervorgeht. Die SOCs der Zukunft werden mit Subject Matter Experts (SMEs) besetzt sein, die sich in dieser neuen Welt auskennen.

 

4. Kriegsführung wird in erster Linie digital erfolgen. SOCs müssen in ständiger Einsatzbereitschaft sein.

Es wird davon ausgegangen, dass etwa 30 Länder Fähigkeiten zur Cyber-Kriegsführung entwickeln. Geopolitik und Cybersicherheit sind untrennbar miteinander verbunden.

Nationalstaaten versuchen, ihre Propaganda über das Internet zu verstärken und das Geschehen in anderen Ländern zu beeinflussen. Für SOCs, die für den Schutz kritischer Infrastrukturen von Aktienhandelsplattformen bis hin zu Energieversorgern verantwortlich sind, ist die Gefahr real und potenziell lebensbedrohlich.

Die WannaCry-Angriffe 2017 auf die Krankenhausnetzwerke des britischen National Health Service hatten mit ziemlicher Sicherheit körperliches Leid bei den Patienten zur Folge, deren Diagnosen sich verzögerten oder deren Operationen ausfielen. Nationalstaaten werden zahlreiche Länder ins Visier nehmen, nicht nur, um derartige Schäden und Störungen zu verursachen, sondern auch, um Erkenntnisse zu gewinnen.

Zerstörerische Angriffe, die darauf abzielen, strategische geopolitische Ziele zu erreichen, erfordern in der Regel eine umfassende Vor- und Nachbereitung. Daher müssen militärische Cyber-Kräfte das Schlachtfeld „vorbereiten“, indem sie in Netzwerke eindringen und lernen, wie man bestimmte Ziele umsetzt.

SOCs müssen in ständiger Einsatzbereitschaft sein. Friedenszeiten wird es nicht mehr geben, und in vielen Fällen geht es um Leben oder Tod.

 

5. Die Cloud wird einen schnellen Technologietransfer ermöglichen. Für Verträge wird die gleiche Flexibilität benötigt.

Die wichtigsten Vorteile der Cloud für das SOC liegen in der Speicherung und Verarbeitung von exponentiell ansteigenden Datenmengen. Ein weniger häufig genannter Vorteil ist die Möglichkeit, rasch zwischen den Technologieanbietern wechseln zu können. Das Sicherheitsgeschäft besteht heutzutage aus 3-Jahres-Verträgen. Die Cloud ermöglicht es jedoch, sehr schnell die neuesten Sicherheitstechnologien einzusetzen, sodass zukünftige SOCs die Anbieter dazu bringen können, flexiblere Verträge anzubieten.

Dies wiederum motiviert die Anbieter, kontinuierlich auf die Kunden einzugehen, um sicherzustellen, dass diese zufrieden sind. Anbieter müssen kontinuierlich einen Mehrwert nachweisen und die SOCs bei der schnellen Einführung neuer Technologien unterstützen.

 

6. Von SOC zu ROC: Aus dem Security Operations Center (SOC) wird in naher Zukunft ein Risk Operations Center (ROC) werden.

Cybersicherheit, digitale Risikooperationen und Betrugsermittlungen werden Teil des ROC sein. Viele der Methoden sind identisch und miteinander verknüpft. So können beispielsweise Technologien zur Analyse des Nutzerverhaltens, die darauf abzielen, externe Akteure innerhalb des Netzwerks zu erkennen, auch eingesetzt werden, um anormale Insideraktivitäten zu erkennen, die auf betrügerische Absichten von Mitarbeitern hinweisen.

Top-Führungskräfte erwarten auch einen konvergenten Einblick in digitale Risiken und deren Bewältigung. Der Aufbau von ROCs wird einen komplexeren kulturellen Wandel mit sich bringen als der technologische Wandel. Letztendlich wird sich diese Vision in Form von ROCs äußern, die einen dynamischen Blick auf Bedrohungen ermöglichen und Führungskräften „Hebel“ bieten, um Risiken je nach Gefahrensituationen und Prioritäten zu regulieren. SOCs müssen sich weiterentwickeln, wenn sie auch in den 2020er Jahren für die Führungsebene relevant sein sollen.

 

Wie gestalten wir SOCs für die Zukunft?

Wandel ist die einzige Konstante. Selbst wenn wir für die oben genannten Trends planen oder wissen, dass es ohne sie keine tragfähige Zukunft gibt, stellt sich die Frage, welche anderen Variablen existieren. Hier müssen wir letztendlich mit einer guten Frage statt einer schlechten Antwort leben, doch gibt es einige Grundprinzipien, die ich anbieten kann.

Zunächst einmal wissen wir, dass im Zentrum der Sicherheitsmaßnahmen die richtigen Mitarbeiter stehen müssen. Dies wird zwar von den Chief Information Security Officers oft gesagt, bleibt jedoch nach meinem Eindruck eines der häufigsten Versäumnisse in der Branche. Angesichts eines enormen Fachkräftemangels im Sicherheitsbereich müssen wir einem Kernkader unserer SMEs einen stärkeren Sinn für institutionelle Loyalität vermitteln. Das bedeutet, sie bereits während des Studiums ausfindig zu machen, kontinuierlich in sie zu investieren, sie herauszufordern und ihnen eine überdurchschnittliche Vergütung zu zahlen. In der Folge sollten Unternehmen hohe Erwartungen an ihre SMEs und Elite-SOCs stellen. Zu oft investieren wir in teuren, gut aussehenden Schnickschnack, aber nicht in das Know-how, um aus diesen Kästen aus Silizium und Aluminium greifbaren Nutzen zu ziehen. Das müssen wir ändern. Menschen werden immer das größte Kapital des SOC sein.

Eine zweite Frage, die sich stellt, ist die, ob Unternehmen es in den nächsten zehn Jahren allein schaffen können. Meiner Ansicht nach lautet die Antwort darauf eher nein, zumindest nicht ohne übermäßigen Aufwand. Ich bin mir bewusst, dass ich als Chief Technology Officer eines globalen Anbieters für verwaltete Sicherheitsdienste (MSSP) voreingenommen bin, doch ist dies auch meine Einschätzung als Technologe und Wissenschaftler. Ich glaube, das optimale SOC-Modell ist eine kleine elitäre Zelle innerhalb eines Unternehmens, die mit Unterstützung eines MSSP spezifisches Wissen über das Unternehmen vermittelt.

Drittens müssen wir uns, wenn Wandel die einzige Konstante darstellt, fragen, wie wir für 2030 gestalten sollen. Charles Darwin beschrieb die Evolution der Arten als natürliche Selektion bzw. „survival of the fittest“. Diese Aussage wird häufig falsch interpretiert. Darwin meinte damit nicht die Arten, die am schnellsten laufen, am höchsten klettern oder im Schwergewicht gewinnen würden. Er meinte die Arten, die sich am ehesten an ein sich ständig veränderndes Umfeld anpassen können. Eine schnelle Anpassung ist der einzige Vorteil von Dauer. Dies ist das zentrale Designprinzip für das SOC der Zukunft. Wir müssen für die schnelle Entwicklung von Bedrohungs- und Verteidigungsszenarien planen, eine Kultur des souveränen Umgangs mit Unsicherheit kultivieren und mit der Vergänglichkeit aller Aspekten des SOC-Designs rechnen.

Ich möchte mit einem Zitat von Peter Drucker abschließen, das ich Sicherheitstechnologen regelmäßig vorbete: „Der beste Weg, die Zukunft vorherzusagen, ist, sie zu gestalten.“

 

Weitere Informationen über die Zukunft der Sicherheit und die Cyber-Referenzarchitektur von DXC finden Sie unter DXC Labs | Security, der Adresse für innovatives Denken und Technologieprototypen, die Sicherheit für Unternehmen im digitalen Zeitalter bieten. Abonnieren, um regelmäßige Updates zu erhalten.