“Eine integrierte Plattform ermöglicht Vereinfachung bei höherer Qualität”

Herr Maxeiner, ich war bei der Eröffnung des ersten Security Operation Centers (SOC) der Deutschen Telekom dabei. Das war 2017 und im SOC sah es damals aus wie im Spacecenter der NASA. Wie haben sich SOCs seitdem weiterentwickelt?

Thomas Maxeiner: Bis heute agieren wir in vielen SOCs sehr problemorientiert. Das heißt, für jedes Security-Problem gibt es ein eigenes Produkt. Das Thema EDR – Endpoint Detection and Response – kam auf, als der klassische Virenschutz nicht mehr ausreichte. Die nächste Fragestellung war, wie man reagiert, wenn der Angreifer schon den Sprung ins Kundennetzwerk geschafft hat. Dazu wiederum brauchen wir eine bessere Detektion im Netzwerk: Network Threat Analysis (NTA) erkennt Anomalien im Netzwerk.

Aber was bedeutet dieses Vorgehen operativ für unsere Kunden? Für jedes dieser Produkte wird meistens eine eigene Ausschreibung erstellt und ein dedizierter Proof-of-Concept mit Tests der unterschiedlichen Hersteller durchgeführt. Dann muss das Ganze auch noch implementiert werden. Und dann sehe ich eine Woche später, dass die Hacker Identitäten angreifen. Also brauche ich auch eine Anomalieerkennung auf Identitäten. Dafür gibt es wieder zahlreiche Hersteller und ich hole mir das nächste Produkt ins Haus.

Diese Vorgehensweise führt dazu, dass Unternehmen im Laufe der Zeit durchschnittlich 30 oder mehr Lösungen erwerben und versuchen, in einem SOC mit diesen zahlreichen Insellösungen eine korrelierte Sicht auf das Ganze zu bekommen. Aber eigentlich sind sie mit der schieren Anzahl an Alarmen überfordert und das Ganze noch gepaart mit den hohen operativen Aufwänden. Deswegen müssen wir im SOC umdenken und schauen, wie wir in Zeiten von Fachkräftemangel unsere Teams effektiver und effizienter machen, unterstützt durch Technologie.

Diese Einzellösungen machen aber jede für sich gesehen Sinn?

Lassen Sie mich das mit der Analogie eines Heuhaufens erklären. Wir machen Detektionen an verschiedenen Stellen, als ob wir den Heuhaufen – also die Daten – in zehn Teile aufteilen. Jeder Anteil wird für sich geschlossen von einzelnen Lösungen analysiert. Dabei wird aber übersehen, dass eine Lösung vielleicht in einem anderen Teil des Heuhaufens eine Nadel finden könnte, aber gar nicht die Möglichkeit bekommt, weil wir ihr nicht die Daten präsentieren.

Wir müssen also alles auf einer Plattform zusammenbringen, damit wir eine transparente und einheitliche Datenbasis haben. Das heißt, wir analysieren den Traffic zwar mit vielen unterschiedlichen Lösungen, setzen sie aber direkt in den richtigen Kontext. Das machen wir mit unserer SOC-Plattform Cortex XSIAM, in der wir die wichtigsten technischen Bausteine in eine nativ integrierte Plattform integriert haben.

Aus dem Heuhaufen wird also ein Ameisenhaufen. In einem äußerlich chaotisch wirkenden System wird ein Angriff in irgendeiner Ecke des Ameisenhaufens gezielt beseitigt.

Das ist im Wesentlichen das, was wir machen und ständig weiterentwickeln. Und das unterscheidet uns von anderen Plattformanbietern in der Security-Branche, die zwar viele Bereiche abdecken, aber sehr häufig noch viele einzelne Lösungen haben. Wir machen zum Beispiel kein Identity- und Access-Management, weil wir uns technologisch auf unsere Plattform fokussieren und darauf, die Bausteine wirklich nativ zu integrieren.

Das ist dann aber nicht Palo Alto Networks, sondern sind Lösungen anderer spezialisierter Anbieter.

Kunden kaufen Produkt A, Produkt B, Produkt C und Produkt D. Diese können durchaus vom gleichen Hersteller sein und eventuell auch miteinander kommunizieren. Das zählt schon als Plattform. Doch das adressiert nicht unsere operativen Herausforderungen, weil Unternehmen trotzdem überall Policies aufbauen müssen. Und dann versuchen sie, die verschiedenen Produkte in einem SIEM zusammenzuführen.

Was wir bei Palo Alto Networks unter Platformization verstehen, geht einen Schritt weiter. Wir haben die SOC-Plattform und wenn wir eine neue Technologie zukaufen, dann wird dies nicht als Anhängsel über eine API integriert, sondern nativ als Baustein in die Plattform eingebracht.

Ein Beispiel aus dem Netzwerkumfeld. Wir haben mit AI Access Security ein neues Modul für einen bestehenden Next Generation Firewall Kunden von uns. Wir schalten sozusagen ein virtuelles Blade in unsere Plattform, ohne ein neues Silo hochzuziehen. Unser Fokus ist, die bestehenden Plattformen zu optimieren und den Kunden die Möglichkeit zu geben, neue Herausforderungen einfacher umzusetzen, ohne durch diese ganzen operativen Prozesse zu gehen.

Das heißt, Sie integrieren Lösungen für den Kunden, ohne dass der Kunde es selber kaufen muss?

Wir sind eine offene Plattform und verfügen über einen Marketplace. Für rund 950 Third-Party-Anbieter haben wir in diesem Marketplace ein Datamodel geschrieben, um sie zu integrieren. Kunden können somit auch ihre bestehenden Investitionen nutzen. Wenn ich unsere Plattform mit den aktuellen Ansätzen von Unternehmen vergleiche, die auf Einzellösungen setzen, dann haben sie zwar die gleiche Datenbasis, nutzen aber eine Vielzahl unterschiedlicher Technologien und Rohdaten. Die Datenqualität ist dann häufig unzureichend. Ich frage dann immer: Glauben Sie, dass Konkurrenten untereinander ihre Kronjuwelen austauschen? Das Problem besteht darin, dass die Datenqualität dadurch beeinträchtigt wird. Aus diesem Grund ist es unerlässlich, dass der Kerntechnologie-Stack aus einem Haus kommt. Nur so kann die nötige Transparenz und Rohdatenbasis gewährleistet und Machine Learning optimiert werden, damit diese ganzen Nadeln im Heuhaufen auffindbar sind.

Bedeutet, dass das Hauptproblem der Unternehmen das Chaos an Lösungen ist?

In Kundengesprächen stelle ich regelmäßig die Frage nach der Definition einer Plattform. Wenn ein Kunde sagt, der Hersteller XY hat auch eine Plattform, dann lautet meine nächste Frage: Wie viele Konsolen muss man für diese Plattform betreiben? Die Konsolidierung ist in diesem Zusammenhang von entscheidender Bedeutung. Nur einen Hersteller im Boot und einen Support-Vertrag zu haben, reduziert den Verwaltungsaufwand enorm.

Wir sind der einzige Anbieter, der eine integrierte Plattform anbietet, was eine Vereinfachung bei höherer Qualität ermöglicht. Bei uns gibt es nur eine Konsole, also ein Single Back-End. Das bedeutet, dass wir unsere Lösung auf die gleiche Programmierbasis gehoben haben, sodass wir technische Bausteine miteinander verschmelzen können und darüber bessere Workflows und Security-Ergebnisse liefern.

KI gilt inzwischen auch in der Security als Wunderwaffe. Wie wirkt sich das auf die Zahl der benötigten Security-Experten aus?

Wir sind nicht in der Lage, zukünftige Entwicklungen vorherzusehen. Dass die KI in Zukunft so viel selbst übernimmt und der Mensch überflüssig wird, ist eher unwahrscheinlich. Die KI kann jedoch durchaus die weniger beliebten und zeitintensiven Aufgaben erledigen. Das größte Problem wird darin bestehen, dass das Security-Team zwar mehr Zeit hat, jedoch mehr Know-how gefragt ist, um finale Entscheidungen zu treffen. Die Frage ist also, wo man diese Experten findet, die den Herausforderungen gerecht werden, da nahezu jedes Unternehmen solche Experten brauchen wird.

Derzeit werden die meisten Analysten im sogenannten Level 1 eingesetzt, wo sie hauptsächlich mit der Analyse von Alarmen nach dem Schema „false positive“ und „true positive“ beschäftigt sind. Langfristig ist dies jedoch keine zufriedenstellende Lösung und auch Tendenzen im Markt zeigen, dass Analysten nach 15 bis 18 Monaten ihr Unternehmen verlassen, weil sie unzufrieden sind. Der Einsatz von KI kann hier Abhilfe schaffen und Analysten in komplexere Entscheidungsfindungen involvieren. Für weniger erfahrene Mitarbeiter setze ich einen Co-Pilot ein, der sie in natürlicher Sprache anleitet und sie on-the-job trainiert. So können mehr Nachwuchskräfte an die komplexeren Aufgaben herangeführt werden.

Laut der Forrester Studie ‚The 2020 State of Security Operations‘ bleiben in SOCs im Schnitt ungefähr 23 Prozent der Alarme unberührt. Die Dunkelziffer ist vermutlich noch viel höher. Dies ist ein wesentlicher Faktor, der zur erfolgreichen Durchführung von Angriffen beiträgt. In unserem eigenen SOC werden täglich 59 Milliarden Events beobachtet. Durch die Implementierung eines mehrstufigen Konzepts haben wir in unserem SOC den Level 1-Support vollständig automatisiert. Alarme werden durch unterschiedliche Konzepte automatisch abgearbeitet. Dadurch sind wir in der Lage, jeden Tag alle Alarme zu analysieren und damit alle Nadeln im Heuhaufen zu finden.

Thomas Maxeiner

ist Director Technical Solutions – Public Sector bei Palo Alto Networks.