Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Klaffende Lücken in Sicherheitskonzepten

Unentdeckte Cyberangreifer, die sich bereits im Netzwerk eingenistet haben, stellen eine erhebliche Gefährdung für Unternehmen dar. Diese eklatante Lücke in der Cybersicherheit gilt es zu schließen. Dies erfordert allerdings ein drastisches Umdenken in der IT-Sicherheitsstrategie - und in der der Folge auch entsprechender -Investitionen.

Immer mehr Unternehmen erkennen heute, dass Sicherheit eine strategische Priorität ist. Dieser Gesinnungswandel spiegelt sich in einem stetigen Anstieg der Investitionen in Sicherheitsmaßnahmen wider. Die neueste Prognose von Gartner geht davon aus, dass die weltweiten Ausgaben für Produkte und Dienstleistungen im Bereich der Informationssicherheit im Jahr 2019 bei über 124 Milliarden US-Dollar liegen wird, was einem Anstieg von 8,7 Prozent gegenüber 2018 entspricht.

„Während die Erhöhung des Sicherheitsbudgets eine gute Sache ist, konzentrieren sich die meisten dieser Investitionen auf präventive Maßnahmen. Somit besteht die Tendenz, andere Bereiche zu übersehen, die für einen robusten Sicherheitsstatus von entscheidender Bedeutung sind. Üblicherweise verfolgen Unternehmen einen ´Great Wall´-Ansatz, der sich auf defensive Technologien wie Firewalls, Anti-Virus, Web-Proxys und Malware-Sandboxes konzentriert“, berichtet Gérard Bauer, VP EMEA bei Vectra, einem Anbieter von Cybersicherheit auf Grundlage künstlicher Intelligenz. „Diese Strategien zielen darauf ab, sicherzustellen, dass Malware und andere bösartige Aktivitäten beim ersten Angriff neutralisiert werden, bevor der Angreifer in der Lage ist, Fuß zu fassen und dem Unternehmen zu schaden.“

Es ist zwar sicherlich von Vorteil, diese Eindringlinge zu minimieren, aber früher oder später kommt auch die Einsicht, dass es unmöglich ist, jeden Angriff mit 100-prozentiger Sicherheit zu verhindern. Unternehmen kommen an einen Punkt, an dem der Bau einer immer höheren Mauer diese nicht unbedingt effektiver macht. Gut organisierte Angreifer entwickeln ständig neue Techniken, um defensiven Kontrollen auszuweichen. Bedrohungen wie Zero-Day-Malware, die bisher unbekannte Schwachstellen ausnutzt, können sehr schwer zu identifizieren sein. Hartnäckige und qualifizierte Gegner finden letztlich immer einen Weg, die Verteidigung zu besiegen oder zu umgehen.

Indem sich Unternehmen übermäßig darauf konzentrieren, das Durchkommen von Angreifern zu verhindern, werden sie nach Meinung von Vectra blind und verwundbar. Gelingt es einem Angreifer, die Abwehrsysteme zu durchdringen und auf geschäftskritische Systeme zuzugreifen, bleibt dies oft unbemerkt – für längere Zeit.

Eine riskante Lücke

Die Verweildauer des Angreifers im System ist die entscheidende Lücke zwischen dem Zeitpunkt, zu dem sich ein Angreifer erfolgreich der Verteidigung entzieht, um sich im System einzunisten, und dem Punkt, an dem er entdeckt wird. Der M-Trends 2018 Report weist darauf hin, dass diese Verweildauer einem Median von 101 Tagen entspricht. Dies bedeutet, dass den Eindringlingen mehr als drei Monate Zeit bleibt, um sich ungestört im Netzwerk umzusehen. Während dieser Zeit können sie eine beliebige Anzahl von bösartigen Aktivitäten ausführen. Dies bedeutet vor allem, dass sie sensible und geschäftskritische Daten stehlen, beschädigen oder zerstören, die Umgebung auskundschaften, sich seitlich durch das Netzwerk bewegen und sich Zugriffsrechte aneignen können. Ebenso besteht die Möglichkeit, dass sie den Geschäftsbetrieb stören, Daten manipulieren oder ganze Systeme kapern, die sie dann für Angriffe auf externe Ziele oder Betrugsdelikte missbrauchen.

Versierte Cyberangreifer verschlüsseln ihre Kommunikation und nutzen versteckte Tunnel. Da sie sich sehr effektiv verstecken können, ist es extrem schwierig, ihre Aktivitäten zu erkennen oder zu analysieren. In den meisten Fällen werden Unternehmen, die von einem Angriff betroffen sind, erst dann auf das Eindringen aufmerksam, wenn der Schaden bereits eingetreten ist. Tatsächlich zeigt der M-Trends 2018 Report auf, dass 62 Prozent der Unternehmen zum ersten Mal durch einen Dritten auf eine Sicherheitsverletzung aufmerksam gemacht wurden.

„Eine Sicherheitsstrategie, die sich zu sehr auf Prävention konzentriert, kann auch Ressourcen binden, wenn sich die Angreifer festsetzen. Sicherheitsteams verbrennen viele Arbeitsstunden damit, die große Anzahl von Warnungen, die täglich auftreten, manuell zu validieren, zu korrelieren und zu überprüfen. Die Isolierung einer neu entdeckten Bedrohung kann zu einem mühsamen Tag des Durchforstens eines riesigen Datendickichts führen“, so Bauer. „Zudem sind qualifizierte Analysten erforderlich, um die Protokolle von Sicherheits-Appliances und -Tools zu verstehen. Genau diese Fachkräfte machen sich rar auf dem Arbeitsmarkt. So soll laut einer Prognose von Frost & Sullivan der Fachkräftemangel weiter steigen, was bis 2022 allein in Europa über 350.0000 unbesetzte Sicherheitsjobs bedeuten würde.“

Unternehmen müssen ihren Fokus daher weg von der Prävention hin zur Erkennung und Entschärfung aktiver Bedrohungen verlagern. Nur so können sie die aktuelle Cybersicherheitslücke schließen und die Chancen verringern, dass ein Eindringling monatelang im Netzwerk verweilt und unentdeckt bleibt. Einer der wichtigsten Schritte ist hierbei die Fähigkeit, Bedrohungen in Echtzeit zu erkennen. Aufgrund der hohen Anforderungen, die diese Arbeit an qualifizierte und erfahrene Sicherheitsmitarbeiter stellt, ist die größtmögliche Automatisierung dieses Prozesses unverzichtbar.

Die letzten Jahre haben bahnbrechende Innovationen in den Bereichen Data Science, maschinelles Lernen und Verhaltensanalyse hervorgebracht. Diese Fortschritte haben wiederum die Etablierung hocheffizienter und zuverlässiger automatisierter Lösungen zur Bedrohungserkennung möglich gemacht. Ein gutes automatisiertes Bedrohungsmanagementsystem kann die Phasen eines aktiven Cyberangriffs bereits bei seiner Entwicklung erkennen. Typische Verhaltensmuster sind hier Command-and-Control, interne Auskundschaftung, seitliche Bewegung im Netzwerk, der Missbrauch von Berechtigungen, Datenexfiltration sowie Botnet- oder Cryptomining-Aktivitäten.

Unternehmen, die in der Lage sind, eine automatisierte, detaillierte Bedrohungsanalyse in Echtzeit durchzuführen, haben eine weitaus größere Chance, Anzeichen von bösartigen Aktivitäten in ihrem Netzwerk zu erkennen. „Wenn genau diese Fähigkeiten mit modernen KI-Tools ergänzt werden, können Cybersicherheitsexperten heute in einem Tempo und mit einer Effizienz arbeiten, die sie im Alleingang niemals erreichen könnten. So ist in der Cybersicherheitspraxis eine Reduzierung des Arbeitsaufwands um das 37-Fache und mehr zu beobachten. Die Fähigkeit, aktive Angriffe in Echtzeit zu erkennen und darauf zu reagieren, macht den Unterschied aus zwischen einem überschaubaren Sicherheitsvorfall und einem gravierenden erfolgreichen Angriff auf das Netzwerk“, fasst Gérard Bauer abschließend zusammen.

GerardBauer„Eine Sicherheitsstrategie, die sich zu sehr auf Prävention konzentriert, kann auch Ressourcen binden, wenn sich die Angreifer festsetzen“, so Gérard Bauer, VP EMEA bei Vectra.

Foto: Gérard Bauer/©Vectra

 

(Teaserbild: Pixabay)

Passende Artikel
Zeitschrift IT-SICHERHEIT
98,00 €

Preis für Jahresabonnement Inland