Gute Fachleute sind eher rar, an Bedrohungen hingegen herrscht Überfluss. Gegensätze wie diese prägen eine Ära der IT-Sicherheit, in der sich immer mehr IT-Leiter und CISOs überlegen, ob sie die IT-Sicherheitsfunktionen teilweise oder sogar ganz an einen Managed Security Service Provider übertragen sollen. Dabei spielen die eigenen Ressourcen ebenso eine Rolle, wie taktische und strategische Argumente. Entsprechend erscheint ein MSSP entweder als ein Nice-to-have oder als einzig sinnvolle Option.
Die Entscheidung für einen Managed Security Service Provider (MSSP) verlangt nach guten Argumenten bzw. handfesten Vorteilen. Diese finden sich vor allem in diesen drei Bereichen: Erweiterung der Fähigkeiten («Skills»), ausgedehntere Nutzung von Security-Budgets und verbesserte Security-Ergebnisse. Natürlich ist nicht jeder MSSP der richtige für eine Organisation, so wie auch der Beizug eines MSSP nicht die Antwort auf jedes Problem sein kann. Doch bei differenzierter Betrachtung liefern die genannten Bereiche eine Fülle von unterschiedlich starken Argumenten, die für das MSSP-Modell sprechen. Die Differenzierung beinhaltet Variablen wie Organisationsgrösse, Branche, Standort, relatives Security-Budget, Markenprofil, spezifische Sicherheitslücken oder die übergeordnete IT-Philosophie.
Einflussfaktoren vorsichtig abwägen
In der Praxis haben sich Argumente herauskristallisiert, die generell für den MSSP-Einsatz sprechen: Im Bereich Skills-Erweiterung können sich Organisationen dank MSSPs auf Funktionen konzentrieren, die einen höheren Mehrwert erbringen und von strategischer Bedeutung fürs Geschäft sind. Budgettechnisch argumentiert verschaffen MSSPs den Organisationen Zugang zu mehreren Experten, doch sie zahlen nur für das, was sie tatsächlich brauchen. Beim Sicherheitsargument verweisen Umfragen, Reports und Analystenberichte darauf, dass viele IT-Security-Teams in Organisationen mit verpassten Gelegenheiten und ausgewachsenen Mängeln zu kämpfen haben. Konkrete Beispiele für Einzelaspekte, in denen MSSPs greifbare Vorteile bringen, gibt es viele:
Verlässlich Sicherheit produzieren
Was die Sicherheitsergebnisse betrifft, so helfen MSSPs zum Beispiel mehr Bedrohungsvektoren abzudecken. Sie sorgen auch dafür, dass Systeme auf einem aktuelleren Stand sind. Zudem ist es wahrscheinlich, dass MSSPs als erste neue oder sich entwickelnde Bedrohungen entdecken. Als Experten sind sie dazu prädestiniert, immer die modernsten Praktiken einzusetzen. Typischerweise sind MSSPs schneller als das In-house-Management, wenn es darum geht, rasch Kapazitäten, Personal und Systeme aufzustocken. Auch sind sie in aller Regel schneller bei der Entwicklung neuer Skills im Kampf gegen neue Bedrohungen. Ferner sind sie mit den Security-Werkzeugen viel vertrauter.
Ein weiterer, oft unterschätzter Aspekt ist Shelfware. MSSPs helfen, Shelfware, d.h. nicht genutzte Software, zu reduzieren, denn sie werden ja nur für implementierte Systeme bezahlt. Gemäss einer Studie von Osterman Research* bleiben bis 60% der Security-Software ungenutzt. Dies geschieht, weil IT-Organisationen oft die Zeit und die Expertise fehlen, um Sicherheitssoftware adäquat zu implementieren. MSSPs stellen die nötige Zeit und die Ressourcen für die Implementierung jener Security zu Verfügung, die sie auch selber managen.
Das Maximum aus dem Budget herausholen
Beim Thema Security Budgets lautet die Maxime, mehr mit weniger zu erreichen. Doch IT-Teams sind oft mit Dilemmas konfrontiert, zum Beispiel mit fehlenden oder stark eingeschränkten Security Operation Centers (SOC), ungenügendem Personalbestand angesichts eines zunehmenden Bedrohungsspektrums und Zeitmangel, da Nicht-Experten für Security-Aufgaben länger brauchen. Behindernd wirken kann auch ein ungenügendes Recruitment-Budget, da Security-Experten sehr gesucht sind und oft die Stelle wechseln bzw. ersetzt werden müssen. Andererseits kann es auch sein, dass die Security-Tasks an sich kein Vollzeitäquivalent rechtfertigen.
Hier können MSSPs in vielen Fällen Abhilfe schaffen. Ein MSSP stellt ein 7x24h SOC zur Verfügung, d.h. der Kunde muss kein eigenes etablieren und besetzen. Zudem fallen bei der Zusammenarbeit mit MSSPs Recruitment- oder Trainingsausgaben entweder komplett weg oder werden stark reduziert. Weiter kann ein MSSP grössere Anschaffungskosten für Best-of-Breed-Systeme bzw. für zusätzliche Ausrüstung minimieren oder gänzlich eliminieren. Oft stellen sie Ausrüstungen auf einer Subskriptionsbasis zur Verfügung, und das MSSP-Modell beinhaltet auch häufig die Option für das Managen der vorhandenen Systeme sowie das Hinzufügen neuer Funktionen. Einige Organisationen betrachten Anfragen für Personalaufstockungen kritischer als solche fürs Outsourcing. Hier ermöglichen Managed Services mehr Flexibilität, wenn es darum geht, Leute hinzuzufügen oder abzuziehen und dies ohne bürokratische oder politische Hindernisse.
Skills-Lücken erhöhen das Risiko
Ein weites, wichtiges Feld ist die Frage der Skills und deren Aufrechterhaltung bzw. Ausbau. Bekanntlich ist es branchenübergreifend schwierig, qualifizierte IT-Sicherheitsspezialisten zu finden, zu schulen und auch zu halten. Gleichzeitig herrscht ein breiter Konsens darüber, dass die Zahl der Angreifer, der Angriffstechniken sowie die Angriffsflächen so zunehmen, dass es punkto IT-Security- Budgets, Teamgrösse und Gegenmassnahmen schwer fällt, mitzuhalten. Es herrscht ein merklicher Fachkräftemangel. Selbst Fortune 500 Unternehmen mit bekanntlich grossen Budgets, starker Rekrutierungsmacht und attraktiven Nebenleistungen haben Mühe, ihre IT-Security-Positionen zu besetzen. Noch schwieriger wird es für mittelständische Unternehmen mit kleineren Budgets.
In dieser Lage drohen nicht nur eine Skills-Lücke, sondern auch praktische Auswirkungen auf die Sicherheit: Unterbelegte IT-Security-Teams verschieben Security-Aufgaben, Event Streams und Alerts, die kontinuierlich überwacht werden müssten, werden übersehen. Einige der grössten Sicherheitslecks der letzten Jahre (z.B. bei den Zahlkarten von Einzelhandelsketten) waren darauf zurückzuführen, dass zwar ausreichend Erfassungssysteme vorhanden waren und auch entsprechende Alarme produzierten, diese jedoch nicht richtig interpretiert und verfolgt wurden, da nicht genügend Security-Spezialisten im Team waren. Nicht gerade beruhigend sind da Untersuchungen, die zeigen, dass ein typisches Leck im Schnitt erst nach 188 Tagen entdeckt wird, und dies in 81% der Fälle von Aussenstehenden wie Kunden, Sicherheitsbehörden oder gar den Medien.
Um Risiken in einer Zeit der Talentknappheit zu reduzieren, müssen sich IT-Security-Teams etwas einfallen lassen. Vermehrtes Training kann da helfen, doch es braucht zusätzliche Ressourcen. MSSPs geben mit ihren Spezialisten den IT-Teams die nötige Rückendeckung. Die Hilfe kann breit oder sehr fokussiert angelegt sein, d.h. zum Beispiel einem kleineren Unternehmen die ganze Tiefe an Expertise zur Verfügung zu stellen, während ein grösseres Unternehmen vielleicht nur eine punktuelle Unterstützung in Anspruch nimmt. Generell sind MSSPs in der Lage, ein breites Spektrum an Security Devices zu managen, Policies anzupassen und zu aktualisieren sowie sich beständig um Systeme zu kümmern bzw. sie für einen optimalen Schutz zu überwachen.
Maximal von MSSPs profitieren
Es gibt klassische Bereiche, die sich für den MSSP-Einsatz anbieten. Dazu gehören Netzwerksicherheit, Applikationssicherheit, Web- und E-Mail-Sicherheit sowie Security Information und Event Management (SIEM). In diesen Gebieten lassen sich hervorragende Resultate erzielen, da sie mehr von einem tiefen Verständnis mächtiger Security-Lösungen abhängen als von einem vertieften Wissen über die inneren Abläufe eines Unternehmens. Im Gegenzug ist es schwieriger, Funktionen bei der Datenverlustprävention zu übernehmen, ohne weitergehendes Wissen über das Verhalten der Angestellten zu verfügen, das als normal und akzeptabel betrachtet wird (siehe Blogpost zum Thema Verhaltensanalyse).
Hinsichtlich der ersten SOC-Ebene mit 7x24h-Abdeckung können kleinere und mittelgrosse Unternehmen potenziell mehr profitieren und dabei nur für die Expertenzeit zahlen, die sie tatsächlich brauchen. Dank Dashboards und Befehlskonsolen können Aufgaben den Experten flexibel zugeteilt werden. So bestimmen Kunden selber, wie viel sie auf einen MSSP übertragen.
Es hängt sehr von der Organisation ab, in welchen Bereich ein MSSP die meisten Vorteile bringt. Es liegt auf der Hand, dass MSSPs die Sicherheitsergebnisse verbessern. Doch dank des schnelleren Einsatzes von Security kann der MSSP-Beizug auch IT-Projekten mehr Schub verleihen, welche die Einnahmen des Unternehmens tangieren. So können bestimmte Applikationen, Cloud-Services und Website-Erweiterungen, bei denen sonst wegen ungelöster Sicherheitsprobleme mit grossen Verspätungen gerechnet werden müsste, früher live geschaltet werden, was zum strategischen Wachstum beiträgt.
Die IT-Umgebungen werden komplexer, die Zahl der Angreifer bzw. Angriffstechniken wächst und die Angriffsflächen dehnen sich aus. Für IT-Teams wird es zunehmend schwieriger, da mitzuhalten, sei es aus Budgetsicht, sei es aus der Manpower-Warte oder hinsichtlich neuer Gegenmassnahmen. Dieses Szenario legt es nahe, sich das Für und Wider von MSSPs gut zu überlegen.
* Quelle: «Is Your Security Software Sitting Unused on the Shelf?»; CIO Magazine, 26th Feb. 2015