Zurück 
Heutzutage sind Cybersicherheit, Risiken und Datenschutz Themen, die auf dem Radar der oberen Führungsebene stehen. Um mögliche Geschäftsunterbrechungen zu minimieren, engagieren sich Vorstandsmitglieder zunehmend in den Sicherheitsprogrammen des Unternehmens. Aktuelle Umfragen zeigen, dass 65 % der Unternehmen Vorstandsmitglieder einstellen, die sich mit Sicherheitsfragen auskennen.
Daher müssen sich IT-Teams auf Managementdiskussionen vorbereiten, in denen die Bereitschaft des Unternehmens zusammengefasst wird, Sicherheitsbedenken in einer riesigen Cloud-Umgebung aus Benutzern, Anwendungen, Daten und Bedrohungen anzugehen. Diese Diskussionen müssen mehr leisten als nur eine vierteljährliche Überprüfung der KPIs. Denn es geht darum, die Leistung zu messen, Strategien der Umsetzung zuzuordnen und zu beurteilen, ob die Dinge in die richtige Richtung gehen. Und wenn die Zahlen nicht gut sind, müssen sie wissen, was sie tun können, um sie zu verbessern.
Leider sind diese Erkenntnisse oft schwer zu gewinnen, da viele Sicherheitsteams mit Berichtstools arbeiten, die einige, aber nicht alle Informationen liefern, die für die sichere Teilnahme an derartigen umfassenden Gesprächen erforderlich sind. Immer scheint es Wissenslücken zu geben, oft weil die Informationen nicht verfügbar oder nicht leicht zu beschaffen sind. Und die Zeit, die jede Woche mit der Erstellung von Berichten und der Bearbeitung großer Datenmengen in Tabellenkalkulationen verbracht wird, raubt uns die Zeit, die wir für unsere Kernaufgabe, nämlich den Schutz des Unternehmens, benötigen.
Die Rolle von Analysen und Berichten verstehen
Warum ist es so schwierig, diese Antworten zu entlocken? Nahezu jedes Sicherheitsprodukt eines Unternehmens enthält Berichtstools. Doch ist eine Berichterstattung nicht die Antwort auf alle Fragen und die Gründe dafür sind nicht immer offensichtlich. Das Reporting ist darauf ausgelegt, sehr spezifische Fragen zu beantworten und von SecOps werden immer häufiger Dashboards verlangt, die Analysen erfordern. Zu verstehen, wo Analysen hilfreich sein können, ist der erste Schritt zum Aufbau einer besseren und effektiveren Kommunikation mit dem Managementteam.
Das Ziel der Berichterstattung besteht darin, den Inhalt großer Datensätze zusammenzufassen. Dies ist nützlich, wenn Sie verstehen müssen, was zu einem bestimmten Zeitpunkt vor sich geht. Da die Fragestellung bereits im Vorfeld bekannt ist (z. B. „Top 10 DLP-Ereignisse“), ist der Prozess zur Berichterstellung vordefiniert und fest codiert. Dies bedeutet auch, dass der zu analysierende Datensatz im Voraus bekannt ist, die Abfrage dieser Daten vordefiniert ist (Zählung der Anzahl der DLP-Verstöße), die Variablen, die zum Anpassen der Abfrage verwendet werden können, vordefiniert sind (ein Berichterstellungstool lässt möglicherweise einen Datumsbereich zu, bietet jedoch nicht die Flexibilität, einen Wochenbereich anzugeben) und das Format der Ergebnisse festgelegt ist (z. B. wie die Ergebnisse angezeigt, gefiltert oder sortiert werden können).
Die Berichterstellung erfüllt daher Anforderungen für allgemeine, oft wiederholte Fragen. Diese Berichte können für Personen in einer bestimmten Rolle sehr nützlich sein, beispielsweise für die Überwachung des aktuellen Geschehens durch SecOps. Die unausgesprochene Herausforderung besteht darin, dass Sicherheitsteams viele Fragen beantworten müssen, die über den Bereich des Vordefinierbaren hinausgehen. Sie müssen beispielsweise analysieren, warum etwas passiert, ob es schlimmer wird und warum es wichtig ist. Eine Informationslücke entsteht also dann, wenn die Analyse eine Anpassung der Fragestellung erfordert, die wiederum Änderungen in der Abfrage oder eine Manipulation und Transformation der Daten zur Aufklärung der zugrundeliegenden Ursachen nach sich zieht.
Da die fest codierten Komponenten der Berichte nicht angepasst werden können, müssen sich die Sicherheitsteams darauf verlassen, ihre Datensätze für den Import in andere Tools, wie beispielsweise die oben erwähnten Tabellenkalkulationen, zu extrahieren oder mit einem Business-Intelligence-Team zusammenzuarbeiten. Keiner dieser Ansätze ist so einfach wie er scheint, da der Datensatz an einem neuen Speicherort neu erstellt und die Daten normalisiert werden müssen, damit sie von allgemeinen Analysetools verwendet werden können. Es wäre viel schneller und einfacher, wenn das Sicherheitsteam seine eigenen Datensätze mit speziell entwickelten Tools untersuchen und analysieren könnte.
Argumente für Advanced Analytics
Was wäre, wenn das Sicherheitsteam über eigene native Analysefunktionen verfügte? Auf diese Weise können sie dort mit ihren eigenen Daten arbeiten, wo diese gespeichert sind, ohne auf den zeitaufwändigen Prozess einer externen Analyse zurückgreifen zu müssen. Mithilfe von Analysen verfügen SecOps über ein Framework zum Anpassen der zugrunde liegenden (und ansonsten unveränderlichen) Abfrage hinter einem Bericht und können so Fragen beantworten, die noch nicht gestellt wurden. Die Abfrage, der Datensatz und die Darstellung der Daten können geändert werden, sodass das SecOps-Team die Daten untersuchen und verzerren kann, um die tieferen zugrunde liegenden Wahrheiten zu finden, die das Management sehen möchte.
Unsere Kunden, die die Netskope Security Cloud verwenden, verfügen über wichtige Funktionen zur Analyse von Cloud- und Webaktivitäten mit Cloud XD, das mehr als 500 Kategorien von Metadaten generiert. Mithilfe von Netskope Advanced Analytics kann das SecOps-Team direkt auf diesen umfangreichen Datensatz zugreifen, um Antworten zu Cloud-Risiken, Bedrohungsprävention und Datenschutz zu erhalten. Die Ergebnisse lassen sich mithilfe von für das Management verständlichen Visualisierungen problemlos in einem Dashboard darstellen und bieten so eine gemeinsame Grundlage für bessere Kommunikationswege. Mithilfe von Advanced Analytics können SecOps außerdem weitere Untersuchungen an den Daten durchführen und die Daten aufschlüsseln, um die zugrunde liegenden Gründe für das Geschehen aufzudecken.
Diese Funktionen sind nur ein Bruchteil dessen, was Advanced Analytics für Sie tun kann. Ich empfehle Ihnen, mehr über Netskope Advanced Analytics zu erfahren, indem Sie https://www.netskope.com/products/advanced-analytics besuchen.
Den Blog lesen