Home » Fachbeiträge » Cybersecurity » Die richtigen Cyber-Defense-Tools

NIS-2-Richtlinie: Die richtigen Cyber-Defense-Tools

Die NIS-2-Richtlinie schreibt Cyber-Risikomanagement und Systeme zur Angriffserkennung vor. Da beides eng verzahnt arbeiten muss, ist ein Plattform-Ansatz empfehlenswert. Welche Security-Tools sollte er umfassen?

5 Min. Lesezeit
Cyber-Defense
Foto: ©AdobeStock/ภัทรชัย รัตนชัยวงค์

– Advertorial – 

Die Pflicht zum Cyber-Risikomanagement stellt sowohl CISOs als auch CEOs vor Herausforderungen. Security-Verantwortliche müssen in der Lage sein, Cyberrisiken zu erkennen, zu beurteilen und an das Management zu berichten. Die Geschäftsleitung ihrerseits muss die Maßnahmen zum Cyber-Risikomanagement billigen und deren Umsetzung überwachen.

Laut einer Trend Micro-Studie sagen aber nur die Hälfte der CISOs (51 Prozent), dass ihre Geschäftsleitung die Cyberrisiken komplett versteht, mit denen das Unternehmen konfrontiert ist. Vielmehr werden die Security-Verantwortlichen häufig als Nörgler oder Schwarzmaler wahrgenommen, wenn sie auf Bedrohungen hinweisen. Meist scheitert es an der Kommunikation: CISOs, die gelernt haben, in der Sprache der Geschäftsleitung den Zusammenhang zwischen Cyberrisiken und Geschäftsrisiken darzulegen, schaffen einen Mehrwert für beide Seiten.

Die Kommunikationslücke überwinden mit ASRM

Eine Plattform für Attack Surface Risk Management (ASRM) hilft CISOs dabei, klare Aussagen zu treffen. Die Technologie errechnet kontinuierlich den aktuellen Risiko-Score des Unternehmens und liefert in einem Executive Dashboard alle Informationen für ein überzeugendes Reporting.

Dafür sammelt, analysiert und korreliert das ASRM KI-gestützt interne und externe Security-Informationen, darunter Veröffentlichungen von Regierungsbehörden, Polizeiorganisationen, Analysten und Security-Unternehmen. Wie gefährlich ein Risiko wirklich für das Unternehmen ist, hängt immer von der Eintrittswahrscheinlichkeit und vom Schadensausmaß ab.

Welche Hackergruppen sind gerade aktiv? Welche Schwachstellen greifen sie bevorzugt an? Wie exponiert sind diese im Unternehmensnetzwerk? Da sich sowohl die IT-Umgebung als auch die Lage im Cyberraum dynamisch ändern, muss die Risikobewertung kontinuierlich erfolgen. Die ASRM-Plattform erledigt das automatisiert im Hintergrund und schlägt Alarm, sobald ein zuvor definierter Schwellenwert überschritten ist.

Eine fundierte Datenbasis schaffen

Die Erkenntnisse aus dem ASRM versetzen CISOs in die Lage, den individuellen Business-Impact von Cyber-Risiken darzulegen und verhältnismäßige Gegenmaßnahmen vorzuschlagen. CEOs können dann auf fundierter Basis entscheiden, mit welchen Risiken sie leben können, und mit welchen nicht. Da es nie möglich sein wird, alle Risiken zu beseitigen, müssen Unternehmen ihre Angriffsfläche kontinuierlich monitoren und im Falle eines Cyberangriffs schnell reagieren. Leistungsfähige Tools zur Angriffserkennung sind daher Pflicht. Zur Basis-Ausstattung, die jedes Unternehmen haben sollte, zählen Endpoint Detection and Response (EDR) und Network Detection and Response (NDR). Um die Telemetriedaten aus beiden Bereichen zu verbinden und Bedrohungen vektorübergreifend zu erkennen, ist außerdem eine Lösung für Extended Detection and Response (XDR) empfehlenswert.

Die Endpunkte monitoren mit EDR

Eine EDR-Lösung überwacht kontinuierlich alle Aktivitäten auf Geräten und Systemen innerhalb der IT-Infrastruktur und alarmiert bei Bedrohungen. Um blinde Flecken zu vermeiden, sollten Unternehmen solche Security-Sensoren überall dort installieren, wo es möglich ist. Endpunkte können sowohl physische als auch virtuelle Systeme sein, darunter PCs, Tablets, Smartphones, Server, Cloud-Instanzen und Container. Die erste Herausforderung besteht darin, überhaupt zu ermitteln, welche Endpunkte es in der IT-Umgebung gibt. Gerade im Cloud-Umfeld kann das schwierig sein.

Darüber hinaus haben EDR-Lösungen ein paar Einschränkungen: Sie verfügen für sich alleine genommen über zu wenig Informationen, um Cyberangriffe verlässlich zu erkennen. Einerseits geben die Systeme dadurch häufig False Positives aus, andererseits übersehen sie aber auch tatsächliche Bedrohungen. Außerdem speichern EDR-Tools Daten nur für einen begrenzten Zeitraum. Das nutzen Cyberkriminelle aus, um die Systeme auszutricksen. Oft halten sie erst einmal die Füße still, nachdem sie in ein Netzwerk eingedrungen sind.

Erst Wochen oder Monate später dringen die Hacker dann weiter vor. Bis dahin kann sich das EDR-Tool nicht mehr erinnern, woher die Applikation auf dem Endpunkt stammt, und kann nur noch schwer zwischen Gut und Böse unterscheiden.

Das Netzwerk überwachen mit NDR

Zusätzlich zu EDR brauchen Unternehmen daher NDR. Solche Lösungen überwachen und analysieren den gesamten Datenverkehr im Netzwerk – sowohl den eingehenden, den ausgehenden als auch den internen. Dadurch schaffen sie umfassende Transparenz über alle Systeme und Akteure im Netzwerk und monitoren deren Kommunikation.

Moderne NDR-Tools arbeiten KI gestützt, um verdächtige Verhaltensmuster und Anomalien zu erkennen. Da sie kontinuierlich dazulernen, können sie nicht nur bekannte, sondern auch neuartige Bedrohungen identifizieren. Außerdem deckt NDR auch ungesicherte Endpunkte und Schatten-IT auf, sodass Unternehmen diese gezielt adressieren können.

Eine der Response-Technologien eines NDR sind beispielsweise Intrusion-Prevention-Systeme (IPS). Eine Angriffserkennung auf Netzwerkebene ist zudem häufig die einzige Möglichkeit, um Systeme zu schützen, auf denen kein EDR-Tool installiert werden kann – beispielsweise industrielle Systeme oder Medizingeräte.

Daten zusammenführen mit XDR

Sowohl NDR als auch EDR liefern wertvolle Telemetriedaten, die jeweils aber nur einen Ausschnitt eines Angriffsbilds zeigen. Erst, indem man sie verbindet und im Zusammenhang betrachtet, entfalten sie ihr volles Potenzial. Viele Cyberangriffe erstrecken sich über einen längeren Zeitraum und über verschiedene Ebenen der IT-Umgebung. Um sie zu erkennen, müssen Unternehmen in der Lage sein, Daten vektorübergreifend zu analysieren und auch in die Vergangenheit zu blicken. Hier kommt XDR ins Spiel: Die Technologie sammelt die Security-Daten aller angeschlossenen Systeme in einem zentralen Data Lake, korreliert sie und analysiert sie KI-gestützt.

Eine XDR-Lösung übernimmt ähnliche Aufgaben wie ein Security Information and Event Management (SIEM), ist in aller Regel
aber kostengünstiger und pflegeleichter. Außerdem lassen sich Datenquellen erheblich leichter anbinden. Damit eignet sich XDR auch sehr gut für kleinere und mittelständische Unternehmen – insbesondere in Kombination mit einem Service für Managed XDR. Erfahrene Security-Analysten übernehmen dann das Monitoring und die Bewertung der Warnmeldungen und unterstützen mit Handlungsempfehlungen.

Auf einer Plattform alles im Griff

Angriffserkennung und Cyber-Risikomanagement bilden die Basis für eine ganzheitliche, Cyber-Defense-Strategie. Beide Bereiche beeinflussen sich gegenseitig und sollten daher nahtlos zusammenspielen. Am besten gelingt das mit einem Plattform-Ansatz, der möglichst viele Tools der Angriffserkennung zusammenführt und mit ASRM kombiniert.

Genau das bietet Trend Vision One: In der XDR-basierten Cyber-Defense-Schaltzentrale habe CISOs ihre gesamte Angriffsfläche und ihre Risiko-Exposition immer im Blick. Hier fließen die Telemetriedaten von EDR und NDR ein und werden zusammen mit externen Security-Informationen korreliert und analysiert. Das ASRM errechnet daraus den Risiko-Score, hilft Unternehmen dabei, die Angriffsfläche zu reduzieren und leistet wertvolle Unterstützung bei der Kommunikation von Cyberrisiken.

Das XDR kann Bedrohungen schnell erkennen und das Schadensausmaß mindern. Falls es dennoch einmal zum Cybervorfall kommt, haben Incident Responder alle wichtigen Telemetriedaten parat. Perfekt ergänzt wird die Lösung durch Trend Service One Complete – ein umfassendes Dienstleistungspaket, das unter anderem Managed XDR und garantierten Zugriff auf ein professionelles Incident-Response-Team umfasst. Damit sind Unternehmen gut aufgestellt, um die zentralen NIS-2-Anforderungen zu erfüllen.

 

Porträt Richard Werner

Autor: Richard Werner, Security Advisor bei Trend Micro

Andere interessante Fachbeiträge

Kubernetes

Kubernetes sicher betreiben

Kubernetes ist eine Open-Source-Plattform zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen. Neben den vielen Vorteilen wie Ressou...

Hacker vor Monitoren

Wie die Angreifersicht beim Schutz des Unternehmens hilft

Unternehmen investieren viel Zeit und Aufwand in den Aufbau einer Sicherheitsarchitektur für ihre industrielle IT. Trotzdem kommt es immer wieder zu erfolgreichen Angriffen. Wie ka...

rotes Ausrufezeichen

Ransomware-Angriffe mit Zero-Trust-Segmentierung eindämmen

Ransomware-Angriffe sind eine große Gefahr. Die gute Nachricht ist: Sie brauchen Zeit. Die Angreifer müssen sich erst in der IT-Umgebung eines Unternehmens ausbreiten, sensible Dat...