Guten Tag, herzlich willkommen zu unserem KuppingerCole Webinar, Mehr Widerstandsfähigkeit gegen Cyberangriffe, das Automatisierte SOC oder Security Operations Center. Dieses Webinar wird unterstützt von Palo Alto Networks und die Sprecher heute sind Thomas Maxeiner, Senior Manager Resales bei Palo Alto Networks und ich selbst Martin Kuppinger, ich bin Principal Analyst bei KuppingerCole Analysts. Bevor wir in das Thema einsteigen, möchte ich kurz ein paar Informationen zum Housekeeping geben.
In den Grundregeln in dem Webinar, vom Audio her, Sie müssen nichts tun, Sie werden zentral stumm geschaltet und müssen an der Stelle jetzt erst mal nichts machen. Wir werden während des Webinars zwei Umfragen durchführen. Wenn die Zeit da ist, werden wir gegebenenfalls auch auf die Ergebnisse noch während der Frage und Antwort Runde eingehen. Die findet am Ende des Webinars statt, Sie können aber jederzeit Fragen stellen über das GoToWebinar Control Panel. Das ist üblicherweise auf der rechten Seite Ihres Bildschirms, da gibt es im Bereich Fragen.
Dort können Sie dann entsprechend Ihre Fragen eingeben und wir machen ein Record des Webinars. Das läuft auch schon und wir werden sowohl das Recording als auch die Folien, die wir zeigen, dann zeitnah nach dem Webinar zur Verfügung stellen, sodass wir jetzt nicht alles mitschreiben müssen, sondern einfach sich auf die Inhalte und die Vorträge konzentrieren können. Und wie bei den meisten Webinar, die wir machen, ist das Ganze dann aufgeteilt in drei Teile.
Im ersten Teil werde ich so ein bisschen Grundlagenarbeit machen in diesem Fall, also einfach mal auf das Thema SOAR, was steht dahinter und auf das Thema Security Operation Center eingehen. Also was macht eigentlich ein modernes Security Operation Center heute aus? Im zweiten Teil geht dann Herr Magdeiner auf das Thema XSOAR ein, die Extended SOAR Perspektive von Parallel Networks, wie man sich über SOAR hinausdenkt und wie das Ganze auch technisch umgesetzt werden kann.
Das heißt, er wird viel auch darüber reden, wie Parallel Networks es selbst gemacht hat, als seine eigene, letztlich Best Practice. Dann der dritte Teil, wie ich schon gesagt habe, ist der Frage-Antwort-Teil. Das heißt, da werden wir dann auf Ihre Fragen eingehen. Je mehr Fragen wir haben, desto besser. Also nutzen Sie auch die Möglichkeit einfach, dass Sie direkt Fragen an uns stellen können und eben zwei Experten haben, die eben dann auch nochmal auf Ihre konkreten Fragen eingehen können.
Bevor wir jetzt einsteigen, möchte ich eine erste kleine Umfrage starten und würde mich freuen, wenn Sie da kurz auch Ihre Antwort geben. Und da geht es mir jetzt erstmal darum, welches dieser Cyber Security Themen ist für Sie aktuell am wichtigsten? Also geht es wirklich um ein SOC-Thema, das Operation Center, geht es um mehr Faktorauthentifizierung ohne Kennwörter, den Schutz von Endgeräten oder mehr holistisch generalistisch so das Thema Zero Trust, dieses Schlagwort mit Leben zu erfüllen? Nehmen Sie sich kurz Zeit und wie gesagt, je mehr teilnehmen, desto besser ist es.
Also ich freue mich, wenn viele jetzt auf diese Umfrage antworten. Ja, worüber spreche ich? Ich möchte ein bisschen sprechen über das Thema, was ist eigentlich SOAR, dieser Begriff? Was steht dahinter? Welche Rolle spielt das für ein Security Operation Center? Dieser Begriff SOAR, der hat sich in den letzten Jahren entwickelt, es hat sich auch ganz am Markt hier entwickelt von Werkzeugen und SOAR steht erstmal begrifflich für Security Orchestration Automation Response und damit geht es auch letztlich um Kampffunktionen, die man heute in einem modernen SOC braucht.
Das heißt, ich brauche heute, das ist so ein bisschen der Hintergrund des Gesamten, eben nicht mehr nur Werkzeuge, mit denen ich irgendwelche Logs nach irgendwelchen Ereignissen durchsuche, sondern ich muss mehr machen. Ich muss natürlich diese Analyse machen. Ich muss diese Threat Intelligence haben, wie auf dieser Grafik. Ich muss meine Schwachstellen erkennen können. Ich muss aber auch darauf reagieren können.
Das ist, glaube ich, der ganz zentrale Punkt, bei dem es darum geht, bei diesem gesamten Thema, auch bei dem Thema SOC, dass ich die Prozesse, die eigentlich rund um diese Identifikation von Schwachstellen, die Erkennung von Eingriffen, von Threats, von Indicators of Compromise, also diesen möglichen Angriffen, sind, dass ich darauf dann möglichst effizient, aber auch möglichst strukturiert und wohl geplant reagieren kann. Das heißt also einfach dieses Thema Automatisierung als ein ganz zentraler Aspekt, dass ich auch nicht alles selbst mache.
Ich meine, wahrscheinlich wird es hier in diesem Webinar keinen Teilnehmer geben, der sagt, okay, also für uns, wir haben kein Skills-Thema. Wir kriegen die Leute, die wir brauchen. Alles easy. Wir können da einfach noch mal fünf Leute mehr draufsetzen. Das ist ja nicht die Realität. Und die Realität ist, dass man hinderingend nach Experten sucht. Das heißt, wir müssen automatisieren, wir müssen effizient sein. Wir müssen strukturierte, vorbereitete Antworten haben, also auch dieses, wie reagiere ich, wenn ich etwas erkenne?
Da kommen Themen wie, wir können noch ein bisschen näher drauf ein, wie Playbooks zum Beispiel ins Spiel. Das heißt also letztlich vordefinierte Regelwerke, vordefinierte Reaktionen auf Angriffe. Und wir müssen auch die vielen Tools, die wir letztlich oft haben, sauber orchestrieren. Denn am Ende des Tages ist es ja so, dass es eben nicht nur ein Analyse-Tool ist, sondern wir haben eine ganze Reihe von Werkzeugen, die uns Informationen liefern. Diese Informationen fließen zusammen.
Wir müssen integrieren, orchestrieren und nur dann werden wir die Effizienz erzielen können, die man benötigt, um eben heute auf diese sehr umfassende, sehr komplexe Angriffssituation und die Herausforderungen, die wir im Bereich der Cybersicherheit haben, adäquat reagieren zu können. Das heißt also, SOAR kommt eigentlich jetzt als ein Versprechen und nicht nur ein Versprechen, sondern auch etwas, was eingelöst wird.
Diese Tools haben sich ein ganzes Stück entwickelt in den letzten Jahren als etwas, das eben sagt, nicht nur irgendwo Lochs durchnudeln, sondern strukturierte Bearbeitung und effiziente Bearbeitung mit dem hohen Automatisierungsgrad, um eben dann wirklich ganz gezielt die Risiken, die kritischen Aspekte identifizieren und darauf auch gezielt reagieren zu können. Und letztlich ist das Ganze ein ganzes Stück weit eben dann auch so eine Technologie Konvergenz, die da passiert.
Das heißt also, statt eben eine Reihe von Einzeltools zu haben, die die nebeneinander stehen, geht es darum, dass man eben sagt, wie kann ich diese Dinge miteinander bündeln? Und da geht es natürlich erst mal um diese Bedrohungsanlöse, um diese Threat Intelligence, auch um die Visualisierung dessen, was passiert. Das heißt also, wo passieren Dinge, wie passieren Dinge, in welchen Regionen, auf welchen Systemwelten passieren Dinge.
Und diese diese Informationen, die ja dann auch aus aus vielen Systemen kommen und in vielen unterschiedlichen Systemen verarbeitet werden, also wo Theme und Vulnerability Management und dann aber auch Ticketsysteme zur Bearbeitung, Endpoint Detection, Network Detection Response Themen, Gateways, Identity Management Systeme, unterschiedliche Systeminformationen liefern, die so zusammenbringen, dass daraus eine Gesamtlösung entsteht.
Und da ich eben effizientere Arbeitslösung, Arbeitsabläufe habe, dass ich eben, wie gesagt, auch viel mit Best Practices arbeiten kann, um eben nicht immer wieder das Gleiche sozusagen händisch neu definieren, analysieren zu müssen. Das ist diese Grundidee. Das hat natürlich einige ganz offensichtliche Vorteile, wenn ich es richtig mache.
Ein wesentlicher Punkt ist, wenn ich Informationen gezielt konsolidiere, doch in der richtigen Weise konsolidiere, dann habe ich idealerweise eben nicht nur mehr Informationen zur Verfügung, sondern ich habe auch eine höhere Qualität der Informationen, weil ich mir natürlich bei dieser Integration auch Gedanken darüber mache, aus welchen Datenquellen beziehe ich Informationen, wie kann ich die miteinander abgleichen, wie kann ich die korrelieren, wie kann ich gegebenenfalls natürlich auch Daten, die aus unterschiedlichen Quellen so zusammenfassen, dass eben einfach höherwertige Daten, ein besserer Kontext dieser Information entsteht.
Gleichzeitig habe ich aber auch durch diese einerseits Automatisierung und Orchestrierung, aber auch durch diese Konsolidierung der gesamten Thematik ein effizienteren SOC-Betrieb oder SOC-Betrieb. Das geht hier wieder zurück, genau auf das, was ich vorher gesagt habe, auf dieses Skills-Gap-Thema. Hat jeder. Und wir müssen schauen, dass wir das, was wir machen, sehr effizient machen, weil die Menge an Daten, auch die Menge an möglichen Indicators of Compromise steigt tendenziell an und das schon seit Langem, daraus kontinuierlich.
Und wir können ja nicht immer mehr Leute draufsetzen, sondern wir müssen dann schauen, wie kriegen wir es besser automatisiert. Damit können wir dann auch besser auf Vorfälle reagieren, respektive identifizieren, was ist eigentlich ein Vorfall und was ist eben kein Vorfall. Was ist eben etwas, was wir zwar als Alert wahrgenommen haben, was sich aber dann herausstellt als etwas, was man nicht weiter betrachten muss, weil eben nicht dahintersteckt. Und ich habe gleichzeitig bei diesem Reaktionsthema auch diesen Aspekt, wenn da etwas ist, was passiert als nächstes?
Denn das ist ja genau der zentrale Punkt. Wie gehe ich mit einem solchen Vorfall um? Wie behandle ich den richtig? Wie sorge ich dafür, dass ein möglichst schnelles Containment, dass eine Eingrenzung passiert, dass Gegenmaßnahmen, dass gegebenenfalls aber auch ein Recovery schnell eingeleitet wird? Das heißt, wie reagiere ich auf diese Vorfälle? Und das kann ich natürlich durch eine Automatisierung, durch vordefinierte Antworten, durch diese Konzepte deutlich besser erreichen.
Habe dann auch letztlich ein besseres Reporting als Teil dieser Prozesse und gleichzeitig aber auch mehr Informationssammlung darüber, was passiert ist, kann besser die Teams miteinander zusammenarbeiten lassen. Das ist ja auch ein ganz zentraler Punkt und damit eben ein Ergebnis, ein effizienteres und effektiveres Sock haben. Das sind ja zwei Aspekte, die wir beide erreichen müssen. Also wir müssen Effizienz erreichen. Das ist sozusagen im Englischen die schöne Umschreibung Effizienz ist doing the things right und Effektivität doing the right things. Also in unserem Kontext eben.
Wir müssen mit begrenzten Ressourcen auskommen im Sock und damit möglichst gut umgehen und effektiv. Wir müssen eben das Ziel erreichen, nämlich unsere Cyber Sicherheits Risiken. Mit zu mitigieren und erkennen, wo gehen, wo sind wirklich die großen Bedrohungen, um auf diese Bedrohung dann in adäquater Weise reagieren zu können. Das ist das, was wir erreichen können heute mit diesem Thema.
So, was aber natürlich auch klar wird. Das Ganze ist natürlich ganz stark auch ein Prozessthema. Das ist nicht nur was, wo ich ein Tool hinwerfe und sage Okay, jetzt wird es funktionieren. Es ist ein Integrations Thema. Es ist ein Prozessthema. Es ist ein Thema der der Nutzung von Playbooks, von Regelwerken, von definierten Ansätzen, aber auch der Erweiterung des. Diese Dinge kommen zusammen und wenn man Begriffe auch nimmt, es gibt jetzt ganz viele Begriffe, die dann immer wieder durch die Welt geistert. Dann haben wir natürlich diesen Begriff Sieben. Traditionell.
Wir haben diesen Begriff Soar. Wir haben auch diesen Begriff XDR. Und es sind verwandte Technologien, die aber auch deutliche Unterschiede haben. Sieben ist das, was am etabliertesten ist. Das gibt es ja schon lange. Security Information und Event Management heißt also, es werden Informationen, Events gesammelt, analysiert, vor allem analysiert. Wo es darum geht, eigentlich eine sehr große Menge an Daten letztlich zu analysieren und basierend auf Regeln. Das war so der traditionelle Ansatz.
Heute sehen wir natürlich auch viel mehr IML da drin, dann eben zu sagen Okay, was muss weiter betrachtet werden? So, wenn ich jetzt mal dazu gleich den Sprung mache, kommt damit deutlich mehr Prozesse. Das heißt also auch Wie gehe ich mit diesen Daten richtig um? XDR als das andere Thema, das jetzt gerade sehr populär ist, ist ja Extended Detection Response. Das ist letztlich eine Kombination von NDR, von Network Detection Response und IP.
IPDR, Endpoint Protection Detection Response, also Endgeräte, Schutz, Erkennung von Angriffen auf Endgeräten Response. Das heißt, wir haben an diesen an diesen Netzwerken ein Netzwerk Geräten ebenso wie an Endgeräten letztlich eine Sammlung von Endpunkt Daten, die zusammengefasst werden, die natürlich auch analysiert werden, die aber auch wieder ein wichtiges Element in der Gesamtbetrachtung sind, also in einen Sort fließen, aber natürlich nicht nicht eine vollumfängliche Darstellung einer dieser Informationen.
So ist letztlich dann auch das, was sagt Jetzt nehmen wir die Informationen und. Sammeln die und darauf basierend machen wir eben eine einen effizienten Prozess, der versorgt, dass wir wirklich die kritischen Aspekte identifizieren und schnell und gezielt darauf reagieren können. Es ist ein Stück weit kann man auch sagen, es gibt eine Umbrella, eine eine bindende Klammer und einen deutschen zu bleiben über diesen Technologien. Damit ich das Ganze mache, muss ich natürlich dann auch die Voraussetzungen schaffen. Und das heißt, ich brauche natürlich dann ein Security Operations Center.
Das heißt, ich ein Soar ist einfach etwas, das läuft in einem Sock. Das heißt, ich brauche auch die Organisation. Ich brauche dieses Sock. Das braucht definierte Prozesse. Und da kommt ja genau dieses. Wo auch man Machen Automatisierung gezielte Antworten. Diese Themen kommen rein. Das kann intern laufen, das kann ausgelagert sein. Das heißt, es gibt auch viele Sock Esses Service Angebote. Da gibt es durchaus verschiedene Spielarten, wie man dann diese Technologien nutzt, unterschiedliche Mischformen.
Was wir sehr, sehr häufig sehen, ist eben, dass es wirklich Stück weit eine Mischform ist, weil sehr, sehr viele Unternehmen einfach es nicht schaffen, ausreichend eigene Ressourcen innerhalb zu haben. Das heißt, man holt sich Leute dazu. Dann brauche ich die Infrastruktur. Das heißt, dass entweder selbst oder Cloud Dienste, in der die Soar Plattform läuft. Sehr viel davon läuft heute, muss man klar sagen, in der Cloud. Was auch richtig gemacht ist, unter Umständen erlaubt, eben viele Informationen auszutauschen. Das heißt, dass auch.
Auch eben erkannte neue Risiken mit verschiedenen Terms, mit verschiedenen Mandanten eben dann entsprechend zu sharen, ohne dass man dabei in einen Bereich kommt, wo eben kritische Informationen unkontrolliert fließen. Also das ist in der Regel ziemlich durchdacht, was die Hersteller hier machen. Ich brauche ein Stück weit die Expertise. Das hängt natürlich ein bisschen von diesem Managed Service Aspekt ab. Das heißt, wie viel Expertise habe ich intern? Wie lange ich extra ohne interne Expertise geht es nicht, weil wenigstens, wenn es um diesen Response Teil geht. Also da ist Problem.
Was mache ich damit? Dann muss es natürlich in die interne Organisation gehen, zwar nicht nur in die interne Zeit Sicherheit oder die interne IT, sondern wirklich, ich sage die Organisation. Denn das kann etwas damit zu tun haben, dass ich bis zur Bordkommunikation Recovery Maßnahmen etc. eben aktiv werden muss. Das heißt also, ich muss immer einen Teil haben, der auch bei mir organisatorisch im Unternehmen steht. Ich muss die Prozesse als Reaktion einfach auch definieren. Also was passiert, wenn etwas passiert? Und genau da wiederum Playbooks, auch die Playbooks anpassen, damit arbeiten.
Und dann eben kommen wir nochmal an diesen Orchestration Teil. Es gibt eine ganze Menge Systeme, die eben hier jetzt zusammenkommen. Ich hatte sie vorher schon mal zum Teil kurz genannt. Ich will jetzt gar nicht im Einzelnen machen, aber es gibt viele Datenquellen, wie eben dieses Endpoint Protection Detection Response. Netzbasierte Datenquellen, Application Firewalls, andere Typen von Firewalls, die eben die Daten sammeln. Funktionen aus meinem Infrastructure Service, die mir eben einerseits eine Plattform liefern, andererseits auch wieder unumständliche Daten liefern.
Mein Vulnerability Management, mit dem ich einerseits eben Verwundbarkeiten, Eingriffsflächen tracke, aber auch natürlich priorisiere. Aber auch dann ein Asset Management, ein Unified Endpoint Management, um eben so eine basische Key in den Bereich Cybersicherheit zu machen. Das halt auch kritische Schwachstellen, Patche automatisiert etc. Das Ganze muss letztlich zusammenfließen, um dann das zu erreichen, was ich mit einem solchen Ansatz so in einem modernen SOC, mit einem idealerweise hohen Automatisierungsgrad erreichen kann.
Nämlich zu wissen, wo ist meine Threat Intelligence, was ist eigentlich mein, wo habe ich meine Herausforderung? Nachvollziehen, woher kommt Phishing, wie gehe ich damit um? Schneller auf Ransomware zu reagieren, Managed Persistent Threats, also APTs, Malware analysieren zu können, Insider Threats analysieren zu können, DDoS zu erkennen, darauf reagieren zu können, wie die Entwicklung von Vulnerabilities nachvollziehen.
Alle diese Dinge und dann letztlich eben bis hin zur Bearbeitung der Cases, das sind eben die Dinge, die mir letztlich ein Security Operations Center basierend auf einer modernen Technologie, auf einer integrierten Technologie liefern. Das ist eben weit mehr, als nur, ich sage mal, Logs und Events durchzuarbeiten und zu sagen, okay, das sind die, auf die ich mal schauen sollte. Das ist wirklich ein hoher Automatisierungsgrad, den ich in diesem Bereich erzielen kann und erzielen muss, eben in einer Zeit, in der wir immer mehr Angriffe haben.
Das war jetzt mal auf dem ganz grundlegenden Niveau nochmal ein bisschen, was, um was geht es eigentlich? Warum muss man daran, warum sollte man das Thema SOAR in den Mittelpunkt stellen, in Verbindung mit den anderen Technologien, die wir ja auch genannt haben? Und wir machen jetzt noch eine kleine Umfrage, dann wird im nächsten Teil der Herr Maxan einfach mal erklären, wie hat man das bei Palo Alto Networks gemacht, mit der entsprechenden Lösung von Palo Alto Networks, also wie hat man das einfach auch hinbekommen und was sind einfach die Effekte, die man damit erzielt?
Ich habe jetzt noch eine zweite Umfrage und auch da bitte an Sie einfach mal kurz Ihre Sichtweise liefern, wenn Sie jetzt an das Thema SOAR denken, also was treibt Ihre Investition? Das sind jetzt eher die Bedrohung und Inzidenz, weil es immer mehr werden.
Sagen Sie, Sie haben einfach zu viele Technologien, ich muss die integrieren. Sagen Sie, die Reaktionsgeschwindigkeit oder die Effizienzsteigerung ist der zentrale Aspekt. Ich freue mich immer, wenn viele Leute, viele Teilnehmer auch kurz anklingen, was sie am wichtigsten finden.
Ja, machen wir noch ein paar Sekunden und dann würde ich sagen, schließen wir diese Umfrage. Bedanke ich mich bei Ihnen für die Teilnahme und dann kommen wir nochmal mit einem kleinen Blick auf die Agenda eben jetzt zum Herrn Maxheimer. Vielen lieben Dank und ja auch von meiner Seite aus herzlich willkommen zum heutigen Webinar. Ich freue mich, dass ich das gemeinsam heute mit Ihnen machen darf. Zu meiner Person ganz kurz. Mein Name ist Thomas Maxheimer.
Ich bin bei der Firma Palo Alto Networks für den Pre-Sales-Bereich zuständig, der sich rund um unsere Produkte im Bereich des Socks dreht. Und ja, worum es mir heute wirklich geht, ist nicht einfach nur in unsere Produkte einzutauchen, sondern ich möchte Ihnen auch so ein bisschen heute über unsere eigene Socktransformation erzählen und Ihnen einige Einblicke letztlich in unser Sock geben. Wir haben über die letzten fünf, sechs Jahre unser Sock transformiert und man muss auch sagen, am Ende des Tages konsolidiert.
Und das war auch am Ende des Tages wirklich zwingend notwendig, denn Socks haben heute viele Herausforderungen. Für mich die größte Herausforderung ist heute für moderne Socks die digitale Transformation. Mit der Digitalisierung und der digitalen Transformation müssen Socks heute wesentlich mehr leisten. Aber einhergehend und das ist natürlich auch der Grundbaustein für die Automatisierung, das sehen Sie unten an der grünen Linie, bleibt eigentlich der Headcount, also die Personen, die wir im Sock haben, relativ gleich. Teilweise ist es übersinkend.
Das hat natürlich nicht nur was mit fehlendem Budget vielleicht zu tun, sondern am Ende des Tages auch mit dem Fachkräftemangel. Das heißt, jedes Digitalisierungsprojekt bedeutet, mein Sock muss am Ende des Tages noch ein Produkt mehr monitoren, was noch mehr Events und Alarme generiert. Aber einhergehend habe ich einfach nicht genügend Analysten, die wirklich mit der Komplexität und den neuen Businessanforderungen am Ende des Tages auch fertig werden.
Und das war für uns auch wirklich der Hauptgrund, warum wir angefangen haben, eine wirkliche Transformation in unserem Sock durchzuführen. Und der Grundbaustein für alles, was wir heute bei uns im Sock machen, ist wirklich das Thema Automatisierung, um den Analysten letztlich in der investigativen Phase am Anfang, wenn Alarme kommen, dabei zu unterstützen, schnell und effizient zu entscheiden, ob etwas ein false positive oder ein false negative ist. Und mit dieser digitalen Transformation sind am Ende des Tages ja alle Bereiche von unserem Unternehmen betroffen.
Das heißt, ich habe die Transformation am Workplace, meinen Arbeitsplatz, wo wir heute sicherlich auch andere Anforderungen haben. Mitarbeiter, die sich im Heimarbeitsplatz befinden, aber auch natürlich, was die Bedrohungslage angeht, muss man ganz klar sagen, dass wir heute mehr und mehr Attacken sehen, die letztlich über unterschiedliche Bereiche angehen. Das heißt, Angreifer denken nicht in einem Silo.
Das ist nicht so, dass ein Angreifer morgens mich am Endpoint attackiert, dann am Nachmittag am Netzwerk und am Abend in der Cloud, sondern ich habe sogenannte Multistage-Attacken, die wirklich auch durch die Dynamik der Digitalisierung entstehen, weil Systeme, die vielleicht heute noch nicht da sind, sind morgen dort und übermorgen schon wieder runtergefahren.
Das heißt, die digitale Transformation, die Digitalisierung bedeutet, dass alles hyperdynamisch geworden ist und wir müssen irgendwie schauen, wie wir das Thema Security, was teilweise noch sehr statisch ist, mit automatisierten Prozessen 24-7 wirklich an diese Dynamik der digitalen Transformation anlehnen.
Ich habe natürlich auch die Cloudifizierung, das heißt, die Cloud-Transformation öffnet natürlich am Ende des Tages auch unseren Attack-Surface, das heißt, wir sehen viele, viele Angriffe, die auch am Ende des Tages nativ in der Cloud entstanden sind und man muss auch dazu sagen, dass heute über ein Viertel der Angriffe schon wirklich gar nicht mehr über sogenannte Phishing-Angriffe passieren, sondern heutige Ransomware-Angriffe kommen wirklich als Hop-in ins Unternehmen über ungeschützte Web-Servers, über vielleicht auch RDP-Server etc.
oder auch nicht gepatchte Netzwerk-Infrastruktur und das bedeutet natürlich aus ZOCK-Sicht, dass wir auch eine ganz andere Übersicht brauchen, wie wir uns letztlich als Unternehmen präsentieren und das ZOCK steht natürlich im Center, das heißt, die vier Kernbereiche Workplace, Cloud, IoT, OT, Insider sind quasi die größten Bausteine und das ZOCK muss irgendwo integrierte und automatisierte Prozesse über diese digitale Architektur bauen.
Wir im Palo Alto Network ZOCK haben unsere Strategie letztlich nach dem NIST-Cyber-Security-Framework aufgebaut und das ist für mich auch ein wichtiger Punkt, denn häufig als Industrie sind wir immer sehr stark fokussiert auf das Thema Detection und Response, aber aus unserer Sicht der Dinge ist es wichtig, dass wir auch schon früher ansetzen und das Thema Identification spielt für uns heute in unserem eigenen ZOCK eine viel, viel größere Rolle, um letztlich Risiken durch Cyber-Hygiene, Asset-Management, durch ein integriertes Sensor-Netzwerk frühzeitiger zu erkennen, um dann letztlich auch proaktiver in unserer Security zu werden und letztlich viele Angriffe schon auch in der Vorbereitungs- und Staging-Phase zu erkennen.
Das ist im Grunde mal so ein Überblick, die einzelnen Logos, die Sie hier sehen, sind in diesem Fall stellvertretende Logos für unsere Technologien.
Grün ist alles, was sich mit dem Thema Cortex und letztlich den Security-Operations-Technologien beschäftigt, gelb ist unsere Next-Generation-Firewall, unser Strata-Business, blau ist alles, was sich mit dem Thema Prisma beschäftigt, alles rund um das Thema Cloud und rot, das ist unsere Unit 42, unsere Threat-Researcher, die letztlich auch Sie dabei unterstützen können, eine Risk-Management-Strategie aufzubauen, aber natürlich auch Tabletop-Exercises, die Vorbereitung von Angriffen, wie sind Ihre internen Prozesse etc. Was ist unsere SOC-Mission?
Am Ende des Tages geht es natürlich darum, uns selber zu schützen, aber natürlich auch unsere Kunden und einfach mal ein paar Zahlen, weil ich Ihnen auch abschließend in der Präsentation heute nochmal unseren Threat-Funnel zeigen werde, was letztlich auf unser SOC tagein, tagaus einprasselt und wie wir durch Automatisierung wirklich in der Lage sind, heute hundert Prozent aller eintreffenden Arlarme und Events auch zu analysieren, das ist ein wichtiger Punkt.
Wir von Palo Alto Networks haben mittlerweile fünzehntausend Mitarbeiter, das sehen Sie unten links User, äh, äh, äh, oh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh. Wir haben insgesamt vierhunderttausend Server und virtuelle Maschinen und wir schützen am Ende des Tages auch durch unsere Architektur über äh fünundachtzigtausend Kunden, die natürlich auch Teil unserer Defensstrategie sind. Also doch eine sehr, sehr heterogene und komplexe Umgebung, die wir bei uns selber vorfinden.
Unsere Socks Services drehen sich um das Thema Threat Monitoring, Threat Hunting, also wirklich proaktiv und das Thema Incident Response. Aber wir wollen nicht nur Incident Response umsetzen, sondern wirklich auch durch ein Höchstmaß an Automatisierung jeden noch so kleinen Indikator für unseren Vorteil nutzen, um letztlich das Thema Threat Hunting auch zu betreiben. In unserem eigenen Sock hatten wir natürlich auch Herausforderungen.
Und ich denke, die größte Herausforderung, und das sehen wir eigentlich konsistent auch bei allen Kunden, ist ja einfach, dass wir heute viel zu viele Alarme bekommen, die Tag ein, Tag aus auf uns einprasseln. Und Alarme, wo wir wirklich erstmal nicht wissen, ist das gut oder ist das schlecht? Und das ist die größte Herausforderung, die eigentlich heute jedes Sock hat, dass wir, und das kommt zum zweiten Punkt, einfach unheimlich viel Zeit darauf verschwenden, zu verstehen, ob ein Alarm ein false positive oder ein false negative ist.
Und das hat letztlich dazu geführt, als dritten Punkt, dass wir heute im Sock einfach unheimlich viele wiederkehrende und, man muss es fast schon sagen, auch langweilige Aufgaben haben, Tasks, weil es geht eigentlich für die Analysten heute Tag ein, Tag aus, um die Analyse zu machen. Tag ein, Tag aus nur darum, Alarme zu bewerten und Alarme händisch in Kontext zu bringen, denn nur aufgrund von dem richtigen Kontext können wir dann auch die richtige Entscheidung treffen, ob etwas gut oder schlecht ist.
Wenn ich das nur aufgrund von einer Informationsquelle mache, habe ich immer die Gefahr eines false positives und das wollen wir natürlich vermeiden. Das heißt, bei uns auch in unserem Sock der Vergangenheit haben wir tausende von Alarmen am Tag bekommen. Die erstmal nichts miteinander zu tun haben und das war in der Vergangenheit sicherlich auch der Natur von einem SIEM geschuldet, weil ein SIEM heute mit statischen Korrelationsregeln arbeitet. Das heißt, nur wenn der Event ein Alarm hat, dann ist es ein SIEM.
Das heißt, nur wenn der Event A eintrifft und B und C, was ich vordefiniert habe, kriege ich einen korrelierten Event, mit dem ein Analyst schnell auch was anfangen kann. Beim nächsten Mal macht der Angreifer aber D, E, F oder Z, G, H immer wieder unterschiedliche Angriffskombinationen. Und das hat dazu geführt, dass wir, aber auch unsere Kunden, hunderte von Korrelationsregeln angelegt haben, um irgendwie doch dem Analysten den richtigen Kontext zu geben.
Die Realität ist aber, dass diese Korrelationsregeln nicht wirklich getriggert werden, weil der Angreifer dieses Angriffskontext nicht wirklich korreliert. Und das war für uns wirklich die Herausforderung, dass unsere Analysten wirklich Tag ein, Tag aus einfach nur mit der Analyse und Bewertung von Alarmen beschäftigt waren.
Und das hat am Ende des Tages bei uns eine Konsequenz gehabt, dass wir einen wirklich sehr, das heißt, wir haben einen sehr starken Angriffskontext, und wir haben einen sehr starken Angriffskontext, aber wir haben auch einen sehr starken Angriffskontext, und das hat am Ende des Tages bei uns eine Konsequenz gehabt, dass wir einen wirklich sehr, das sehen Sie unten rechts hier auf der Folie, High Analyst Turnover, das heißt, unsere Analysten waren auch sehr, sehr schnell frustriert, haben dann das Unternehmen verlassen, nachdem wir viel in sie investiert haben, weil sie gemeint haben, woanders ist das Problem vielleicht nicht so.
Und das sind auch Studien, die es heute in der Industrie gibt, die wirklich real sind, dass ein Analyst heute im Schnitt nur ungefähr 15 Monate in einem Unternehmen bleibt, weil er dann wirklich die Hoffnung hat, dass es woanders doch besser wird. Aber ich denke, dass alle SOCs heute zum Großteil mit den gleichen Herausforderungen kämpfen, und das haben wir letztlich mit unserer eigenen Transformation aktiv angegangen.
Das war bei uns der Game Changer, im Grunde ein dreistufiges Konzept, und unten habe ich auch nochmal das NIST Framework aufgelistet, um einfach das auch wieder miteinander zu verbinden. Auf der linken Seite erstmal der wichtigste Punkt, Strong Prevention, und auch eine wirklich starke Konfiguration. Und wir haben wirklich auch das Thema Endpoint 100% ausgerollt, also wirklich ein integriertes Sensornetzwerk, starke Preventative Capabilities, um wirklich auch dort durch den richtigen Schutz viele Angriffe schon vorher abwehren zu können.
Aber natürlich kann man am Ende des Tages nicht alles abwehren. Deswegen in der zweiten Phase durch unsere Cortex XIM-Plattform oder auch XOR, also XOR ist Teil von XIM. XIM ist unsere neue SOC-Plattform, die wir entwickelt haben, die die unterschiedlichen Bereiche von EDA, XDA, SIEM, SOA letztlich in eine integrierte Plattform gebracht hat. Und das ist bei uns auch ein Schlüsselbaustein, der dazu führt, dass wir letztlich in dem Bereich Detection und Response eine automatische Erkennung haben. Also auch hier Automatisierung in der Korrelation von Alarmen.
Wir müssen keine manuellen Korrelationsregeln anlegen, sondern durch unsere Analytics und durch ein integriertes Sensornetzwerk haben wir auch hier Automatisierung implementiert, sodass unsere Engine in der Lage ist, Alarme automatisch in den Kontext zu bringen, um damit dem Analysten die sogenannte Kausalitätskette anzuzeigen. Also was sind eigentlich, wie ist der Angreifer lateral vorgegangen über Endpoint-Netzwerk Cloud, wo sind denn die einzelnen Touchpoints gewesen?
Und das ist letztlich für Sie auch sehr, sehr wichtig, denn nur wenn Sie in Gänze verstehen, wie der Angreifer vorgegangen ist, können Sie natürlich auch in Gänze säubern. Um damit auch ihr Risiko zu reduzieren, dass der Angreifer sich noch irgendwo im Netzwerk persistent verankert hat. Ein Höchstmaß an Automatisierung durch sogenannte Playbooks, das haben wir auch schon angesprochen. Und der wichtigste Outcome für uns im SOC ist, dass wir eine 30-30-30-Regel erstellt haben und dass unser SOC Tier 1, also das stupide Analysieren von Alarmen, bei uns zu 100% automatisiert wurde.
Bedeutet nicht, dass diese Analysten nicht mehr Teil unseres Unternehmens sind, sondern die sind quasi eine Stufe hochgewandert. Und unsere Analysten beschäftigen sich damit, dass sie wirklich 30% auf Alarme responden, 30% aber anten, jagen können proaktiv und 30% sich mit dem Thema Recovery und Improvement verbessern können.
Und das ist ja auch der wichtigste Punkt, dass wir dadurch, dass wir viel mehr Automatisierung implementiert haben, jetzt auch an unserer Gesamtsecurity Post scharbeiten können und letztlich Verbesserungen implementieren, sodass unsere Gesamtsicherheitslage sich permanent verbessert. Und das stellt sich im Grunde auch so dort, wir haben dort zwei Konzepte entwickelt, Shift-Left, Shift-Right. Das war für uns auch wirklich ein Game-Changer, wie man so schön sagt, wo wir die Effizienz in unserem eigenen SOC erhöht haben.
Das heißt, auf der linken Seite haben wir Automatisierung durch unser Sensornetzwerk und durch unsere Technologien. Das bedeutet, durch ein starkes integriertes Sensornetzwerk sind wir in der Lage, Shift-Left früher Angriffe zu erkennen und früher zu stoppen.
Sehr, sehr wichtiger Punkt. Dadurch, dass wir nicht nur uns auf den Endpoint verlassen, bis der Angreifer sich darunter gearbeitet hat, sondern dadurch, dass wir auch Sensorik im Netzwerk und in der Cloud haben, mit starken Preventative Capabilities sind wir in der Lage, Angriffe früher zu stoppen und damit natürlich auch die Berührungspunkte mit einem Unternehmen zu reduzieren. Und der andere große Bereich ist das Thema Shift-Right und damit meine ich, wann unsere Analysten anfangen.
Das heißt, wir sind nicht mehr damit beschäftigt, Alarme wirklich von unseren Technologien durch menschliches Zutun zu analysieren, sondern ein Großteil wird hier wirklich automatisiert umgesetzt und unsere Analysten starten dann wirklich erst in der Pyramide viel, viel weiter oben, nachdem im Grunde schon unsere Technologie einen Großteil der Analyse durch KI, durch Machine Learning automatisiert erledigt haben. So ist unser SOC bei uns aufgebaut.
Die Folie ist sehr, sehr busy, wie man so schön sagt, aber im Grunde für mich die Kernbestandteile da unten, das Sensornetzwerk, Netzwerk Endpoint Cloud. Sie sehen auch hier Third-Party-Technologien wie Proofpoint oder Rabbit7 oder auch Okta. Das heißt, wir haben unser SOC transformiert, aber natürlich brauchen wir auch noch unterschiedliche Sensorik, die über Drittanbieter kommen, die wir hier in ein funktionierendes Ecosystem überführt haben. Das Herzstück ist wirklich das Thema Cortex XOR, wo Drehbücher ablaufen, um Unternehmensprozesse zu automatisieren.
Und ich hatte es vorhin schon angesprochen, wir haben eine neue SOC-Plattform Cortex XIM. Ich rede hier bewusst von Transformation. In Zukunft wird Cortex XIM bei uns Cortex XOR ablösen, weil XOR ein Bestandteil dieser SOC-Plattform ist. Aber derzeit laufen diese beiden Technologien bei uns noch parallel. Transformation bedeutet ja auch einen Prozess und nicht alles von jetzt auf gleich. Und durch diese Sensorik, auch was Threat Intel angeht, Attack Surface und das sind ja auch alle schon Themen, die auch eingangs erwähnt wurden, haben wir ein zweistufiges Automatisierungskonzept umgesetzt.
Das heißt, in der ersten Phase haben wir Automatisierung auf Alarmebene umgesetzt. Wir haben Drehbücher auf Alarmebene umgesetzt und gebaut, um den Analysten wirklich dort zu unterstützen, dass er also letztlich so einen Alarm selber nicht mehr bewerten muss. Zum Beispiel der Alarm, sage ich jetzt mal, Failed Login Attempt für einen Locked Account. Also ein Active Directory Account wurde beispielsweise gesperrt und jetzt habe ich nochmal eine erneute Anmeldung. Das ist ein Alarm, den jeder Analyst jeden Tag bewerten muss.
Die Frage ist am Ende des Tages nur, ist das jetzt Thomas Max einer, der gerade seinen Account gelockt hat und jetzt nochmal versucht sich anzumelden, weil ich es noch nicht verstanden habe oder handelt es sich hier gerade um einen Angriff. Und wir haben da Drehbücher für gebaut, um solche Fragen letztlich sehr, sehr schnell und effizient für den Analysten zu beantworten. Und das zweite Thema Tier 2 ist dann Prozess Automation, wo wir dann ihre Unternehmensprozesse auch automatisieren können.
Das heißt, ich habe hier mein Alarm, mein Incident, jetzt möchte ich aber vielleicht ein Service Now Ticket öffnen, möchte noch ein weiteres Enrichment durchführen oder weitere Kollegen auch in die Bewertung mit aufnehmen. Und so haben wir bei uns ein zweistufiges Automatisierungskonzept umgesetzt. Wir hatten diese Playbooks schon mal angesprochen. Da möchte ich jetzt heute gar nicht so sehr im Detail darauf eingehen. Sie kriegen die Folien ja auch im Nachgang. Das soll Ihnen nur mal ein Gefühl dafür geben, wie wir das Ganze bei uns aufgebaut haben.
Und ein Playbook ist im Grunde ein Drehbuch, wie man es auch aus der Filmindustrie kennt. Das heißt, Sie haben unterschiedliche Schauspieler, unterschiedliche Technologien und mit so einem Drehbuch sagen Sie quasi, wie diese Technologien miteinander reden sollen und was passieren soll. Und wir haben ein mehrstufiges Drehbuchkonzept aufgebaut, sodass wir sagen, wir starten mit einem Alarm Drehbuch, Alert Playbook. Danach gibt es eine Analyse und dann auch Containment oder auch Remediation, um letztlich dann auch etwas zu machen.
Und so haben wir das Ganze letztlich ein mehrstufiges Konzept aufgebaut. Das heißt, wir haben wirklich das in kleine Bausteine gepackt, Drehbücher, Drehbuch Bausteine sozusagen, die wir miteinander verzahnen und auch verankern können, um somit wirklich die größte Anzahl an Möglichkeiten abzudecken.
Ja, das ist so ein bisschen Einblick, wie wir das Ganze bei uns in unserem eigenen Zock umgesetzt haben. Das heißt, der wichtige Punkt ist, wir haben nicht versucht, irgendwie ein großes Drehbuch zu bauen, was alles abdecken kann, weil natürlich dort unterschiedliche Möglichkeiten sind, wie so ein Programmablaufplan, was soll passieren, wenn, sondern wir haben das wirklich in kleine Häppchen gepackt und diese Häppchen dann letztlich in unterschiedlichen Szenarien miteinander zu verbinden.
Bei uns intern, und das sind so Zahlen aus unserem eigenen Zock, also 15.000 Mitarbeiter, 15.000 Laptops, 400.000 Server, übernimmt die XOR-Plattform bei uns wirklich die Arbeit von 16 virtuellen Vollzeit-Arbeitskräften. Mir ist aber nochmal wichtig zu sagen, das ist nichts, dass wir hier irgendwie Mitarbeiter loswerden wollen, sondern es gibt ja nicht genügend, aber wir haben auch nicht unendlich Budget, das heißt, wir haben am Ende des Tages eine steigende Anzahl an Alarmen, viel mehr, was auf uns einprasselt.
Wir haben aber nicht genügend Leute in der Industrie und wir haben auch nicht genügend Budget intern, dass wir unsere Socks bis unbegrenzt wachsen lassen können. Das heißt, wir müssen anfangen, um wirklich dieser Situation Herr werden, ein Höchstmaß an Automatisierung zu implementieren. Und Artifact-Enrichment beispielsweise, wo wir uns im Monat letztlich 1.400 Arbeitsstunden sparen, um letztlich noch Kontext zu bekommen, was unsere Analysten früher händisch gemacht haben.
Die Duplication von Alarmen, ja, 800 Stunden, die wir uns hier einsparen, um letztlich Duplicate-Alarme auch auszusortieren oder auch User-Interaktion, um auch mal nachzufragen, warst du das? Ja, nein, vielleicht sind knapp 200 Stunden, die bei uns durch Automatisierung, durch Drehbücher letztlich abgefangen werden. Also ein Höchstmaß, wir haben bei uns dadurch im Sock 90% Automatisierung umgesetzt und das führt am Ende des Tages abschließend dazu, um hier einfach mal zu sagen, wie so die Zahlen bei uns im eigenen Sock sind.
Das ist unser Thread-Funnel und wir bekommen am Tag 16 Milliarden Events, die jeden Tag auf die Palo Alto Networks Infrastruktur und unser Sock einprasseln. Das Ganze wird dann erstmal in Roh-Alarme quasi gefiltert. Das sind 11 Millionen und das ist jetzt genau das, wo falls positive, falls negative, ist das gut, ja, nein, vielleicht, wo händisch im Grunde Analysen gemacht werden müssen und da fängt es schon an, dass von diesen Alarmen häufig eigentlich eine Vielzahl gar nicht angefasst oder analysiert wird. Das Ganze bringen wir dann durch Automatisierung zu 133 wirklichen Alarmen.
Davon werden 14 komplett automatisiert abgearbeitet und 119 halb automatisiert. Also Automatisierung spielt in allen Bereichen eine Rolle. Halb automatisiert bedeutet, dass ein Analyst nochmal quasi die letzte Bewertung hat und sagt, ja, ist es jetzt gut oder ist es schlecht? Und das Ganze führt bei uns am Tag zu 7 Incidents, die wir haben, also wirklichen Vorfällen, aber wir hatten keinen Major-Incident in den letzten 5 Jahren, der weder finanzielle Einfluss auf unser Unternehmen hatte, noch auch einen Brand-Impact.
Und wir sind heute bei 10 Sekunden Meantime-to-Detect in unserem SOC und einer Minute Meantime-to-Respond, was wirklich Zahlen sind, die wir auch gerne mit Ihnen noch weiter besprechen. Das ist etwas, worauf wir sehr stolz sind. Das ist kein Marketing. Wir bieten auch virtuelle SOC-Touren an, um Kunden wirklich genau auch dadurch zu führen und ihnen zu zeigen, wie wir das Ganze aufgebaut haben. Abschließend, und damit komme ich jetzt auch zur letzten Folie, ist es mir wirklich noch wichtig, Ihnen zu sagen, in welcher Situation wir uns heute befinden. Wir müssen anfangen, dagegen zu arbeiten.
Wir brauchen das Thema Automatisierung. Die Digitalisierung führt dazu, dass wir einen enormen Anstieg in Alarmen sehen. Und das wird nicht weniger werden, sondern mit jedem Digitalisierungsprojekt wird es mehr. Das heißt, wir müssen anfangen, ihr SOC, ihre Teams durch Automatisierung zu unterstützen, überhaupt diese Alarme analysieren zu können.
Und 30, 40 Prozent der Alarme bleiben heute jeden Tag im SOC untouched, weil wir nicht genügend Zeit, nicht genügend Leute und nicht genügend Automatisierung haben. Das heißt, viel Knowledge, viel Threat-Intel, die wir nicht für ihren Vorteil nutzen können. Wir müssen auch natürlich der Analystenknappheit quasi entgegenwirken. Das heißt, was wir wirklich sehen, ist, dass wir durch Automatisierung dem Fachkräftemangel entgegenwirken können.
Und am Ende des Tages, der dritte Punkt, durch Automatisierung wollen wir sie in die Lage versetzen, wirklich die Meantime-to-Respond drastisch zu reduzieren, damit wir dem Angreifer nicht zu viel Spielraum und Zeit in ihrem Unternehmen zur Verfügung stellen. Das bringt mich zum Ende zu dem, was ich heute vorbereitet habe. Und insofern würde ich das Ganze jetzt wieder zurückgeben und für Fragen und Antworten öffnen. Genau. Vielen Dank. Hochspannender Vortrag, wie ich fand. Sehr informativ auch, was gerade die konkreten Zahlen und konkreten Möglichkeiten betrifft.
Ich glaube, das illustriert einfach nochmal sehr gut, warum müssen wir die richtige Technologie einsetzen im Bereich Security Operations Center, weil wir es händisch gar nicht hinkriegen. Und mir hat auch sehr gut gefallen, dieses, das eine Thema ist eben nicht immer mehr Leute zu brauchen. Wir können die Leute ja nicht skalieren mit der Anzahl der Eingriffe. Und auf der anderen Seite aber auch eben diese Meantime-to-Detect, die Meantime-to-Respond deutlich herunterzubringen, weil das natürlich auch nochmal eine der ganz grundlegenden Herausforderungen ist. Das heißt, wie schnell sind wir?
Und nur mit einem kurzen Meantime-to-Detect und Meantime-to-Respond können wir auch ein effektives Containment betreiben und damit eben, wenn ein Inzident passiert, diesen Inzident eben so klein wie möglich halten, bevor er eben überall durchkommt oder was einem ja heute immer wieder passiert, dass man dann Mails bekommt, wo man sagt, okay, da ist offensichtlich irgendjemand, irgendwas passiert. Weil diese Mails eben erkennbar einfach letztlich Mails sind, wo ein Account von irgendeinem externen Partner oder einer externen Firma gehackt wurde.
Und ich glaube, das sind so diese Dinge, wo man eben ran muss technologisch. Und das Gute ist aus meiner Sicht ja auch, dass wir heute Technologie haben, die uns hilft, da besser zu werden.
Wobei, wie gesagt, auch immer nochmal ganz wichtig ist, es ist eben nicht nur Technologie. Das ist der zentrale Punkt. Aber nur wenn ich die ganzen Prozesse aus dem Ruhm mache, die Teams richtig aufbaue, das richtig nutze, das funktioniert. Das funktioniert. Jetzt würde ich sagen, gehen wir mal ein bisschen die Frage antworten nochmal an die Teilnehmer, wenn sie Fragen haben an den Herrn Maxaner oder an mich. Geben Sie die Fragen ein über das GoToWebinar Tool, damit wir darauf eingehen können. Wir haben schon ein paar Fragen. Wir haben schon ein paar Fragen hier.
Und die erste, auf die ich jetzt eingehen möchte, geht an Sie, Herr Maxaner. Sie heißt im Prinzip, werden Playbooks automatisch mitgeliefert? Ich glaube, Sie haben das ein bisschen illustriert, Ihre Playbooks. Auch diesen Gedanken fand ich sehr charmant, eben nicht zu sagen, wir haben wenige große Playbooks, sondern wir haben ein sehr modulares System. Aber diese Fragen natürlich, werden die geliefert? Welche werden geliefert? Werden die vielleicht auch regelmäßig aktualisiert?
Das heißt, ist das auch vielleicht mehr ein Community-Effort, der so ein bisschen mit einem Rückfluss dann wieder läuft? Wie gehen Sie damit um? Da würde ich darauf eingehen, was Sie gerade gesagt haben, Herr Köpping. Es geht um Technologie, aber natürlich auch um Prozesswissen, um Know-how etc. Und ein Drehbuch muss man sich so vorstellen, wirklich wie ein Film-Drehbuch. Und jeder Film ist anders. Und jedes Unternehmen ist anders. Und jeder Business-Prozess in einem Unternehmen ist anders. Und dementsprechend sind gewisse Playbooks, die wir auch standardisiert mitliefern.
Aber die müssen schon auch angepasst werden, weil, wie gesagt, jedes Unternehmen und jedes Drehbuch eines Unternehmens, wenn ein Vorfall passiert, was soll dann passieren, anders ist. Das heißt, neben der Technologie brauchen wir intern Know-how. Wir müssen wissen, was wollen wir tun, um dann quasi diese Prozessbeschreibung in Drehbücher zu überführen.
Insofern, mit XOR kommen gewisse Drehbücher mit. Mit unserer XIM-Plattform, das möchte ich noch herausstellen, also wo auch XOR drin ist, das muss man sich jetzt so vorstellen. XIM verbindet quasi alle unsere technischen Bausteine, die wir haben, in ein integriertes Sock-Plattform. Da haben wir über die letzten Jahre das Know-how aus unserem eigenen Sock in diese alarmbezogenen Drehbücher einfließen lassen. Und da liefern wir heute über 100 Drehbücher mit.
Also, warum geht das? Weil jeder Vorfall, jeder Incident ist wie ein Fingerabdruck, eindeutig. Und da kann ich natürlich wenig Generisches mitliefern. Aber ein Alarm, den eine Technologie produzieren kann, der ist immer gleich. Meine Firewall kann morgen nicht einen anderen Alarm generieren. Und das war auch bei uns in unserem eigenen Sock das Erfolgsmodell für dieses Höchstmaß an Automatisierung, dass wir gesagt haben, wir versuchen durch vordefinierte Drehbücher Alarme automatisiert abzuarbeiten, was viel, viel effizienter ist. Ja.
Und ich glaube, man hat ja auch noch einen Punkt, den man nicht unterschätzen darf. Es ist ja so, dass, ja, Unternehmen sind unterschiedlich. Aber am Ende des Tages gibt es natürlich immer ein gewisses, sagen wir doch ein gewisses Maß an Ähnlichkeit, wie ich mit bestimmten Arten von Angriffen umgehe, weil ich eben auf bestimmte Szenarien in einer bestimmten Weise reagieren muss.
Ich meine, wenn ich, wenn ich irgendwo einen Ransomware-Angriff habe, dann gibt es eben einfach eine begrenzte Zahl an sinnvollen Handlungsoptionen, die ich ergreifen kann. Und damit kann ich natürlich auch, glaube ich, helfen, eben diese Prozesse zu, besser zu entwickeln, sodass das Kundenunternehmen eben letztlich modifiziert und anpasst an die Spezifika. Ich komme ja so ein bisschen nach historisch eigentlich zurück aus der Identity-Management-Welt. Da gibt es ja auch ganz viele Prozessthemen.
Joiner, Mover, Lever. Und am Ende des Tages sind es viel, viel mehr Prozesse, die man viel granularer betrachten muss. Aber sie sind ziemlich ähnlich über alle Unternehmen hinweg, weil eben Mitarbeiter kommen, weil Mitarbeiter gehen, weil Mitarbeiter in eine andere Abteilung wechseln und so weiter. Und genau das gleiche natürlich. Also am Ende muss man sich, glaube ich, auch, und das ist ganz wichtig, als Unternehmen immer sagen, wir sind gar nicht so besonders. Wir sind gar nicht so anders als die anderen. Versuchen wir lieber, diese Best Practice zu nutzen. Davon hat man meistens mehr. Ja.
Gut. Ich habe nochmal eine Frage hier, die jetzt reingekommen ist. Da geht es so ein bisschen um dieses Cloud-Thema, also Bereitstellung der Lösungen zu Axiom aus der Cloud. Und gibt es Alternativen dazu vom Deployment? Und dann die Frage natürlich, die dahinter steht, wenn jetzt der Cloud läuft, was ist mit den gesamten Datenschutz-Themen, die darum herum investieren? Also wir haben bei unserer XOR-Plattform immer noch ein zweistufiges Modell. Wir können sowohl in der Cloud als auch On-Premise. Für mich ist natürlich heute die Cloud ein wichtiger Bestandteil.
Viele Funktionalitäten, Skalierbarkeit kommen natürlich durch Cloud Compute am Ende des Tages auch, aber wir haben dort letztlich eine Versionsparity sozusagen. Also unsere On-Prem Lösung ist jetzt nicht irgendwie anders als unsere Cloud. Trotzdem versuchen wir natürlich für eine zukünftige Ausrichtung und auch Skalierbarkeit und Flexibilität Kunden mit unserer Cloud-Plattform quasi zu beglücken.
Wichtig, wir haben viel investiert, was das Thema Data Privacy angeht, etc. Wir sitzen mit all unseren Cortex-Technologien im Rechenzentrum in Frankfurt von Google. Das heißt, dort können wir auch garantieren, dass letztlich Daten niemals außerhalb von Deutschland verarbeitet werden. Wir haben sehr, sehr viel auch Dokumentation, beziehungsweise technische und organisatorische Maßnahmen, die wir beschreiben. Ein wichtiger Punkt für mich ist aber noch, dass wir in das BSI C5-Testat investiert haben.
Bedeutet, das Google Rechenzentrum an sich ist BSI C5 testiert, aber wir haben als Hersteller selber nochmal unsere Produkte durchlaufen lassen im Testat Level 1 und 2. Das ist uns einfach sehr, sehr wichtig, um wirklich ein Höchstmaß an Vertrauen mit unseren Kunden aufzubauen, aber auch Transparenz. Cloud ist für mich eigentlich viel Transparenz und die legen wir offen. Wir haben viel investiert, aber auch viel Dokumentation, die Kunden dabei helfen zu verstehen, welche Datentypen wie in der Cloud verarbeitet werden.
Okay, besten Dank. Jetzt haben wir noch eine Frage hier und noch ein kleines bisschen Zeit.
Gerade, wenn wir so in diese Automatisierung gehen. Jetzt gibt es ja rund um das Thema Security Handling natürlich einerseits die Automatisierung, sozusagen die Reaktion auf Vorfälle. Wie weit kann ich andere sozusagen nebengelagerte Aspekte damit auch automatisieren oder zumindest triggern? Das heißt, wie weit bieten mir diese Lösungen auch Möglichkeiten, eine etwas breitere Automatisierungsplattform für all das Zeug, was ich rund um das Incident Handling herum machen muss? Das ist eine sehr gute und interessante Frage, weil wir natürlich heute in dem Kontext Security gesprochen haben.
Am Ende des Tages ist aber ein Drehbuch, ein Filmdrehbuch ja auch nicht auf ein Genre fokussiert. Das heißt, auch hier haben wir die Flexibilität Drehbücher für andere Prozesse in der IT zu definieren, weil was wir in dieses Drehbuch reinschreiben, ist am Ende des Tages obliegt den Kunden. Das heißt, so eine XOR-Plattform, beziehungsweise unsere XOR-Plattform ist jetzt nicht darauf reduziert, nur Security-Vorfälle zu analysieren.
Wir hatten das ja auch gerade mit dem Thema Identity angesprochen, das Onboarding oder auch Offboarding von Mitarbeitern, wo auch heute ja Fehler passieren können, weil vielleicht der Account nicht gesperrt wurde, etc. Und da ist ja häufig die menschliche Komponente drin. Das heißt, wir können mit unserer Plattform auch IT-Prozesse zu 100% automatisieren. Bei uns intern, bei Palo Alto Networks ist es so, dass wir das komplette On- und Offboarding wirklich automatisiert haben über Drehbücher.
Das heißt, wenn bei uns ein neuer Mitarbeiter anfängt, dann gibt es einen Trigger, der das Drehbuch startet, dann wird irgendwo der Name eingegeben, dann wird für ihn ein Account automatisiert angelegt, er wird aufgrund von seiner Rolle vielleicht gewissen E-Mail-Distribution-Lists hinzugefügt, es wird sein Laptop bestellt, also all das, was man eigentlich so händisch heute macht, kann darüber automatisiert werden. Darüber muss man sich, glaube ich, auch einfach Gedanken machen. Das sage ich immer Kunden. Jetzt mal so häufig die Frage, was sind denn so eure Use Cases?
Und ich sage dem Kunden immer, schreiben Sie mal auf, was Sie jeden Tag stupide so oft machen, wo Sie keine Lust mehr drauf haben. Und da fangen wir bei Ihnen an, weil das ist dann der kundenspezifische Use Case. Wir müssen uns nicht auf irgendwie ein Phishing Use Case beschränken, sondern das, was den Kunden heute wirklich unter den Nägeln brennt, das ist ein guter Startpunkt, um im Grunde diesen Prozess über Drehbücher zu automatisieren. Und damit kann man auch...
Genau, bitte. Ja, vor allem, wenn es dem Kunden unter den Nägeln brennt, weil er es immer wieder macht und weil viele Fehler passieren, die sicherheitsrelevant sein können. Und ich glaube, das ist genau die Thematik. Wir sind am Ende unserer Zeit. Vielen Dank, Herr Maxheimer, für die Ausführung. Besten Dank an alle, die dieses Webinar angeschaut haben oder sich das Recording anschauen. Vielen Dank an Palo Alto Networks für die Unterstützung bei diesem Call-a-List-Webinar. Dankeschön und einen schönen Nachmittag. Danke auch von meiner Seite.
