Detection versus Prevention in der Cyber-Sicherheit
11. August 2020Der reaktive Ansatz hat die Cyber-Sicherheit lange Zeit vorangetrieben. Dabei lag der Schwerpunkt auf der Investition in Technologien zur Verhinderung von Cyber-Attacken. Diese Fokussierung auf technische Maßnahmen zur reinen Bedrohungsabwehr war oftmals wenig erfolgreich, wenn die stetig wachsende Anzahl von Sicherheitsvorfällen mit Datenabfluss in Betracht gezogen wird. Eine proaktive Herangehensweise verspricht dagegen mehr Erfolg.
Die Ausgaben für Sicherheitstechnologien im Zuge des reaktiven Ansatzes haben sich zu einem so entscheidenden Faktor entwickelt, dass eigene Budgets veranschlagt wurden, die inzwischen ein fester Teil des gesamten IT-Budgets sind. Doch Geld ist nicht alles und schon gar nicht löst es ein solch komplexes Problem wie das der Cyber-Sicherheit.
Es ist daher nötig, die Ausgaben auszubalancieren zwischen der Antizipation von Bedrohungen, der Aufdeckung von Sicherheitsverstößen, dem Schutz von Assets, der Reaktion auf Vorfälle, dem sogenannten Incident-Response-Management und der Wiederherstellung von IT-Systemen und Daten nach Angriffen. Dieses Zurückgewinnen der Kontrolle über die eigene IT ist in Zeiten von Ransomware & Co. einer der größten Posten bei Unternehmen, die Opfer eines Sicherheitsvorfalls mit einem solchen Szenario geworden sind.
Das Zwei-Phasenmodell
Um sich besser auf Sicherheitsvorfälle vorzubereiten, ist und bleibt das Risikomanagement ein wichtiges Instrument. Die Geschäftsführung und/oder der Vorstand müssen entscheiden wie groß ihr Risk Appetite ist, Opfer einer Cyber-Attacke zu werden oder aber einen Ausfall kritischer IT-Systeme zu erfahren.
Aufgrund der zunehmenden Digitalisierung, der dadurch steigenden Abhängigkeit von funktionierenden und verfügbaren digitalen Geschäftsprozessen inner- und außerhalb des Unternehmensnetzwerkes sollten Unternehmen die vorhanden Risikomodelle überprüfen. Ein erster Schritt dahin ist das Konzept eines Cyber-Angriffs in zwei Phasen aufzuteilen:
- Der Infrastruktur „Breach“: Sicherheitslücke bei Geräten oder Workloads und
- das Datenleck: Wenn kritische Daten und Informationen vernichtet werden, für sie Lösegeld erpresst wird oder sie „geleaked“ werden.
Unternehmen müssen akzeptieren, dass in ihre Infrastruktur eingedrungen wird, unabhängig davon, wie viel sie in präventive Technologien investiert haben oder noch investieren werden. Sobald die Sicherheits- und Budgetverantwortlichen zu dieser Erkenntnis gelangt sind, müssen sie Strategien entwickeln.
Strategien, wie sie einen Angriff frühzeitig erkennen, wie sie seine Auswirkungen begrenzen und wie sie so schnell und effektiv wie möglich darauf reagieren können. Dies ist der Bereich, in den sich die Investitionen laut den Prognosen des Security Navigator-Reports 2020 verlagern werden.
Weniger Prevention, mehr Detection und Response
Die Antwort auf die nachlassende Effektivität von Bedrohungsabwehr muss zu einer zielgerichteten Detection also Bedrohungserkennung führen. Der Schwerpunkt bei der Erkennung von Cyber-Bedrohung wird Log-basiert sein, um Netzwerk und Endpoint zu schützen. Die Sicherheitsverantwortlichen sollten eine Detection-Strategie wählen, die auf ihre IT-Infrastruktur und ihre aktuellen wie auch künftigen Anforderungen abgestimmt ist.
Wenn Compliance-gesteuerte Erkennung am wichtigsten ist, dann könnten Logs das richtige Mittel sein. Wenn eine schnelle Time-to-Value und erweiterte Detection und Response-Möglichkeit gewünscht ist, dann ist Endpoint-Detection das richtige Mittel. Wenn keine Sensoren an den Endpunkten installiert werden sollen oder dies nicht möglich ist, dann sollte über netzwerkbasierte Detection nachgedacht werden. Wenn sehr hohe Anforderungen an die Detection gestellt werden, kann sogar eine Kombination aus all dem oben aufgeführten Maßnahmen benötigt werden.
Ein weiterer Faktor, der für Investitionen in die Bedrohungserkennung spricht, ist, das Cybersecurity ein „Big Data“-Thema ist. Unabhängig davon, ob die Verantwortlichen Endpoint-Daten, Netzwerkdaten oder Protokolldaten analysieren wollen. Um dieses Problem zu lösen, müssen Unternehmen ihre Investitionen in Technologien mit starken KI/ML-Implementierungen erhöhen, um damit die Analyse der riesigen Datenmengen zu unterstützen.
Der Schlüssel zum Einsatz dieser Technologien liegt in der Erkenntnis, dass sie allein kein Allheilmittel sind. Um den gewünschten Effekt zu haben, muss ein definiertes Problem vorliegen, für das die Technologie als „Werkzeug“ genutzt werden kann – und nicht als „Lösung“. Gute KI/ML-Implementierungen können die Arbeit der Security Analysts erheblich entlasten und sind, zusammen mit Orchestrierung und Automatisierung, in Zukunft die Schlüsselkomponenten für den Aufbau eines Cyber-SOCs.
Outsourcing als Lösungsansatz
Des Weiteren benötigen Unternehmen Fachkräfte aus der Cyber-Sicherheit und müssen Prozesse definieren, um die Analyse und Klassifizierung der über die Detection-Technologien erhobenen Daten rund um die Uhr durchzuführen. Die meisten Unternehmen scheitern an den Faktoren Kosten und Zeit. Nicht wenige wollen sich deshalb die Dienstleistung von einem Managed-Security-Services-Anbieter einkaufen.
Das hat den zusätzlichen Vorteil, dass sie auch rund um die Uhr eine Rückmeldung erhalten, wie es um die Sicherheit ihres Unternehmens steht. Bei jedem Security Incident ist die Höhe des Schadens umgekehrt proportional zu der Zeit, bis der Vorfall entdeckt wird. Um es auf den Punkt zu bringen: Je schneller ein potenzieller Sicherheitsvorfall erkannt wird, desto geringer fällt der finanzielle und immaterielle Schaden (Image) aus. Die reine Erkennung eines Sicherheitsvorfalls ist jedoch nur ein Teil einer guten Security, denn Incident Response und Recovery sind mindestens ebenso wichtig.
Noch immer haben zu viele Unternehmen im letzten Jahr erst auf Sicherheitsvorfälle reagiert, als bereits ein Schaden entstanden ist. Für die Betroffenen, aber auch für alle anderen, wäre es besser, wenn sie damit beginnen proaktiver zu werden. Sich nur auf den Dienstleister zu verlassen, kann nicht im Sinne der Cyber-Sicherheit sein. Vielmehr bedarf es auch interner Anstrengungen, um die eigene IT-Sicherheit und Informationssicherheit zu stärken.
Sobald Sicherheitsverantwortliche Einblick in ihre Assets und Daten haben, müssen Investitionen in allen Bereichen der Prevention, Detection und Response getätigt werden. Diese drei Prozesse werden sich in den nächsten Jahren natürlich auch weiterentwickeln, das müssen sie denn die Cyber-Sicherheitslandschaft wird nicht einfacher, sondern komplexer und Angreifer aller Lager immer professioneller:
- Die Prevention wird von einem „Alles-oder-Nichts“-Ansatz zu einem risikobasierten Ansatz übergehen. Kritische Daten oder Mitarbeiter, die Zugang zu kritischen Daten haben, müssen weiterhin den erforderlichen Schutz erhalten.
- Die Detection wird sich von der „Standard“-Variante hin zu einer kundenspezifischen Detection weiterentwickeln. Generische Regeln in einem SIEM reichen nicht aus, um intelligente Malware zu entdecken.
- Die Response wird sich von der „Pannen-Hilfe“ zu einem proaktiven und geplanten Ansatz verlagern.
Die Kombination der eigenen Fähigkeiten mit der Nutzung externer Ressourcen ist der sicherste Weg in die Zukunft. Viele Organisationen verfügen mittelfristig nicht über die erforderlichen Fähigkeiten in den Bereichen Detection und Response. Anbieter und Fachleute in diesen Bereichen werden also umso gefragter sein, um so mehr Unternehmen realisieren, dass sie sich nicht auf eine einfache Prevention verlassen können.
Fabian Beutel ist Head of Consulting bei der Orange Cyberdefense Germany GmbH.