Home » Fachbeiträge » itsa 2022 » Reifeprüfung für die Sicherheit

Reifeprüfung für die Sicherheit

Detection- und Response-Technologien, das heißt Technologien zur Erkennung, Bewertung und Reaktion auf Vorfälle, ganzheitliche Endpoint Protection Platformen (EPP) in Form von Managed Services, sowie hochspezialisierte Cybersecurity-Dienstleistungen prägen die IT-Sicherheitslandschaft im Jahr 2022.

10 Min. Lesezeit
AdobeStock/NicoElNino

Advertorial

Welche Technologien und Trends die IT-Security aktuell bestimmen

Detection- und Response-Technologien, das heißt Technologien zur Erkennung, Bewertung und Reaktion auf Vorfälle, ganzheitliche Endpoint Protection Platformen (EPP) in Form von Managed Services, sowie hochspezialisierte Cybersecurity-Dienstleistungen prägen die IT-Sicherheitslandschaft im Jahr 2022. OT- und IoT-Cybersecurity werden als notwendiger Bestandteil der Wertschöpfungskette von Produktionsbetrieben und aufgrund von gesetzlichen Vorschriften immer bedeutsamer für die Produktionsbranche. Befeuert vom eklatanten Mangel an Cybersecurity-Spezialisten haben auch Schulungsplattformen zur Ausbildung von Cybersecurity-Spezialisten Hochkonjunktur.

 

Extended Detection und Response (XDR) und Managed Detection und Response (MDR) werden von sehr vielen Herstellern in den unterschiedlichsten Ausprägungen angeboten. Wegen der Vielzahl der Anbieter sprechen Experten von einem Käufermarkt. Aus Kundensicht wirkt sich diese Situation positiv auf die Marktpreise aus.

Detection- und Response-Technologien

XDR-Technologien lösen technologische Silos in Unternehmensstrukturen auf, da sie drei Grundtechnologien miteinander verbinden und auf diese Weise Synergien in der Entdeckung und Bewertung von Vorfällen schaffen:

  • Security Information and Event Management (SIEM): Echtzeitanalyse von Informationen aus NDR- und EDR-Systemen mit Aufbereitung von Daten, damit Gegenmaßnahmen zur Risikoabwendung eingeleitet werden können.
  • Network Detection und Response (NDR): NDR analysiert Datenströme im Netzwerk und schlägt bei ungewöhnlichem Datenverkehr Alarm, zum Beispiel Botnetz-Verkehr (Command und Control), Abfluss von sensiblen Unternehmensdaten (Data Exfiltration), Seitwärtsbewegungen von Angreifern (Lateral Movement) etc.
  • Endpoint Detection und Response (EDR): Endgeräteforensik in Verbindung mit signaturbasierenden Endgerätesicherheitslösungen (klassischer AV-Schutz) mit der Möglichkeit, verseuchte Endgeräte in die Quarantäne zu schicken.

Unternehmen, die sich auf ihre Kernkompetenzen konzentrieren möchten und nicht auf technische Cybersecurity-Experten zugreifen können, bedienen sich Managed Detection und Response (MDR) Services. MDR-Services vereinigen menschliche Cybersecurity-Expertise mit Cybersecurity-Technologien. Es geht dabei um Vorfall-Reaktions-Dienstleistungen (Incident Response, kurz IR) mit oder für bestimmte XDR-Technologien.

In der Praxis gibt es MDR in zwei Ausprägungen:

  1. MDR mit Incident Response für den eigenen XDR-Stack
  2. MDR mit Incident Response einschließlich eines ex-ternen XDR-Stacks des Incident-Response-Anbieters. Sollte es keinen eigenen XDR-Stack, geben, kommt aus-schließlich diese Variante in Frage.

Da mittelständische Unternehmen in der Regel keinen nennenswerten XDR-Stack haben, überwiegen hier MDR-Projekte mit Incident Response einschließlich eines externen XDR-Stacks.

Managed Endpoint Protection Services

Vor allem kleinere und mittlere Unternehmen greifen vermehrt auf Managed Endpoint Protection Services, um die IT-Gesamtkosten zu senken und die IT-Ressourcen zu optimieren, ohne dabei auf einen hohen IT-Grundschutz verzichten zu müssen.

Konsolidierung von verschiedenen IT-Sicherheitstechnologien

Aus den verschiedensten Gründen gibt es immer noch Unternehmen, die IT-Sicherheitstechnologien verschiedener Anbieter auf einem Endgerät nutzen. Bei der Analyse der eingesetzten IT-Sicherheitslösungen auf einem Endgerät lassen sich in der Regel drei der folgenden Lösungen finden:

  1. Anwendungskontrolle
  2. Endgeräteforensik (Endpoint Detection und Response)
  3. Patchmanagement
  4. Schnittstellenkontrolle
  5. Schutz vor Malware (signaturbasiert)
  6. Schwachstellenmanagement
  7. Verhinderung von Datenklau (Data Leakage/Loss Prevention)
  8. Verschlüsselung von Daten

Durch die Konsolidierung aller Funktionalitäten in eine ganzheitliche und zentral verwaltbare Plattform lassen sich Kosten sparen, das Trouble Shooting der Supportabteilung optimieren und das Sicherheitsniveau verbessern.

AdobeStock/mh90photo

EXKURS: THREAT INTELLIGENCE

Detection- und Response-Technologien können die Erkennungsrate von Cyberbedrohungen durch den Einsatz von Threat Intelligence (TI) signifikant erhöhen. Unter Threat Intelligence versteht man Informationen über Cybersecurity-Bedrohungen und Gefährdungspotenziale.

  • Eine Cybersecurity-Bedrohung ist zum Beispiel eine Website mit einem Spionagetrojaner oder eine Darknet-Information über einen geplanten Cyberangriff.
  • Informationen über Schwachstellen oder Informationen über gefährdete Branchen für einen bestimmten Angriff sind Beispiele für Cyber-Security-Gefährdungspotenziale.

Unternehmen vertrauen heute gern auf die Kombination von kostenfreier und kommerzieller Threat Intelligence. Bei der Nutzung von kommerzieller Threat Intelligence hat sich die Notwendigkeit herauskristallisiert, verschiedene Anbieter aus verschiedenen geografischen Regionen miteinander zusammenzuführen. Ein Threat-Intelligence-Mix aus unterschiedlichen Anbietern aus dem Westen (USA), Europa und Asien (Singapur) ist das Fundament für Risikomanagement bei dieser Technologie, denn nicht jeder Anbieter erkennt jede Bedrohung.
Mit Digital Risk Protection (DRP) hat sich eine neue Lösungskategorie im Threat-Intelligence-Bereich etabliert. DRP beschäftigt sich mit Bedrohungen, die aus der Interaktion von Web und sozialen Medien entstehen können:

  • Identifizierung und Validierung von relevanten und realen Bedrohungsinformationen im Darknet und in sozialen Medien
  • Schutz vor betrügerischen Inhalten und Falschinformationen
  • Schutz vor modernen Bedrohungen gegen eine bestimmte Marke (VIPs, Firmenbrands)

Bei Identifizierung von relevanten Bedrohungsinformationen, betrügerischen Inhalten, Falschinformationen etc. können solche Inhalte mittels Take-Down-Services zum Schutz der Marke aus dem entsprechenden Forum entfernt werden.
Threat-Intelligence-Plattformen (TIP) sorgen für eine effektive Nutzung durch Visualisierung, Priorisierung und Orchestrierung der verschiedenen Threat-Intelligence-Anbieter. Dem Einsatz von Threat-Intelligence-Technologien werden sehr große Marktpotenziale zugesprochen. Sie sind eine wichtige Grundlage für den Aufbau von Cybersecurity-Frühwarnsystemen.

Was am Endpoint sonst noch wichtig ist

Garantie von hohen Endgeräteverfügbarkeiten

Mindestens einmal im Jahr erleben Nutzer einen Blackout eines Laptops, einer Workstation oder, was eher selten ist, den Ausfall eines Servers. Ursachen dieser Blackouts sind zum Beispiel fehlerhafte Software-Updates, beim Surfen eingefangene Schadsoftware oder auch ein gezielter Angriff. Die Widerherstellung eines ausgefallenen Systems dauert in der Regel zwischen zwei und sechs Stunden. Für solche Ereignisse macht der Einsatz einer Disaster-Recovery-Lösung Sinn, da so das ausgefallende System in kürzester Zeit wieder lauffähig gemacht werden kann. Das sorgt für hohe Endgeräteverfügbarkeiten im Unternehmen.

Sicherung von sensible Unternehmensdaten

Unabsichtliche Löschung von Unternehmensinformationen, Systemabstürze oder gezielte Ransomware führen dazu, dass essentielle Daten nicht mehr verfügbar und somit nicht mehr für einen operativen Betrieb nutzbar sind. Durch den Einsatz einer modernen, Cloud-basierenden und DS-GVO-konformen Backup-Lösung gehören die genannten Herausforderungen der Vergangenheit an. Unternehmen verhindern im Falle eines Ransomware-Angriffs die Zahlung von Erpressungsgeldern für die Entschlüsselung der Daten – vorausgesetzt, die Backup-Strategie verhindert ein Verschlüsseln auch der Backups.
Managed Endpoint Protection Services helfen Unternehmen dabei, verschiedene IT-Security-Technologien in ein zentrales System zu konsolidieren, hohe Verfügbarkeiten der Endgeräte zu garantieren und sensible Unternehmensdaten zu sichern.

Hochspezialisierte Cybersecurity-Services

Im Folgenden wird der Fokus auf Incident Response, Aufbau von Frühwarnsystemen sowie Sicherheitsoptimierung durch Angriffssimulationen gelegt. Auf andere Bereiche wird nicht eingegangen.
Der hohe Bedarf an hochspezialisierten Cybersecurity-Services spiegelt sich in der regelmäßig ansteigenden Anzahl von Anbietern wieder, die auf der Incident-Responder-Liste des BSI stehen. Lag im Janaur 2021 die Anzahl der qualifizierten APT-Response Dienstleiter bei 11, sind es im Juni 2022 bereits 32 Anbieter.
Dieser Anstieg von 190 Prozent in nur 18 Monaten lässt sich dadurch erklären, dass die Qualität und Komplexität der Cybersecurity-Angriffe während dieser Zeit immens zugenommen haben. Hinzu kommt, dass Corona die daraus resultierende Homeoffice-Pflicht in technischen Abteilungen und fehlende Cybersecurity-Kompetenzen den Anstieg zusätzlich gefördert haben.

Gemäß Best Practice sollen qualifizierte Incident-Response-Anbieter folgende Fähigkeiten und Qualifikationen vorweisen können:

  • Durchführung eines Vorfalls-Reaktions-Grundlagenworkshops, in dem Nutzer lernen, effektiv auf die Incident-Response-Anforderungen zu reagieren, um so einen zeitlichen Vorteil bei der Inanspruchnahme der Incident-Response-Services zu haben
  • Analyse, Ziel und Rekonstruktion eines erfolgten Cybersecurity-Angriffs
  • Einleitung von Gegenmaßnahmen mit dem Ziel, die Hackergruppe zur Schadenbegrenzung dingfest zu machen und zu isolieren
  • Überwachung eines wiederholten Cybersecurity- Angriffs durch dieselbe Hackergruppe 90 Tage nach dem ersten Angriff
  • Wiederherstellung des Gerätezustands vor dem Cybersecurity-Angriff
  • Aufbau eines Frühwarnsystems zur Erkennung künftiger Cybersecurity-Angriffsversuche
  • Regelmäßige Angriffssimulation und Risk Assessments
Die wichtigsten spezialisierten Cybersecurity-Services

Frühwarnsystem zur Erkennung von Cybersecurity-Angriffen

Ein Frühwarnsystem soll Unternehmen in die Lage versetzen, einen bevorstehenden Cybersecurity-Angriff schnell zu erkennen und notwendige Gegenmaßnahmen zu ergreifen. Für den Aufbau eines Frühwarnsystems zur Erkennung von Cybersecurity-Angriffen werden folgende Bausteine benötigt:

  • Cybersecurity-Analysten-Team für 24x7x365-Einsatz
  • Threat-Intelligence-Technologien: höchste Effektivität bei Abbildung von Bedrohungsinformationen aus dem Westen, Europa und Asien
  • Threat-Intelligence-Plattform: Orchestrierung der verschiedenen Threat-Intelligence-Technologien
  • Branchenbezogene Cybersecurity-Bedrohungsanalysen, wenn die Angreifer bestimmte Branchen im Visier haben
  • Individuelle Cybersecurity-Bedrohungsanalysen (maßgeschneiderte Threat Intelligence Reports)
  • Einbindung aller Informationen über Bedrohungen in das zentrale SIEM
  • Regelmäßige Übungen mit definierten Prozessen für den Ernstfall unter Einbindung von Management, Compliance-Beauftragten, Abteilungsleitern, Netz-werk- und Cybersecurity-Administratoren, SOC-Ana-lysten etc.

Regelmäßige Angriffssimulation und Risk Assessments

Es ist eine Tatsache, dass Unternehmen hohe Investments in Cybersecurity-Technologien tätigen, aber aus Zeit- und Ressourcenmangel die Konfiguration der Technologien bei den Standardeinstellungen belassen. Aber auch bei regelmäßiger Anpassung der bestehenden Konfiguration gibt es keine Garantien, dass diese einem gezielten Cybersecurity-Angriff standhält. Aufgrund der Dynamik der Cybersecurity-Angriffe kann die heutige Konfiguration durch neu entdeckte Schwachstellen morgen schon veraltet sein.
Durch eine Angriffssimulation mit bekannter Malware oder neuen gezielten Angriffsmustern können aktuell vorhandene Schwachstellen sowie eine fehlerhafte oder unzureichende Konfiguration der eingesetzten Technologie frühzeitig erkannt und somit deren Effizienz in der Erkennung messbar optimiert werden (Cybersecurity-Improvement).

Ziele des durchgeführten Cybersecurity-Stresstests sind Netzwerk-, E-Mail- und Endgeräte-Sicherheitstechnologien. Des Weiteren liefern solche Stresstests auch Entscheidungshilfen dazu, ob eine wenig effektive Cybersecurity-Technologie besser gegen eine effektivere ausgetauscht werden sollte. Angriffssimulationen werden oft auch „Breach und Attack Simulation (BAS)“ sowie „Security Validation“ genannt.

 

 

AdobeStock/mh90photo

EXKURS: IDENTITY RISK ASSESSMENT

Durch einen Hack wurde in diesem Jahr aufgezeigt, dass Identity- und-Access-Management-(IAM-)Technologien kompromittierbar sind. Zur Aufdeckung dieser Risiken haben sich sogenannte Identity Risk Assessments sehr bewährt. Ein Identity Risk Assessment dauert zwei bis drei Stunden läuft folgendermaßen ab:

  • Analyse, ob die Kombination eines Benutzernamens samt Passwort auf einem Endgerät auffindbar ist.
  • Bei Identifizierung solch einer Kombination sollten diese Informationen augenblicklich auf dem Endgerät gelöscht werden.
  • Angreifer können mit solchen Informationen beziehungsweise Benutzername-Passwort-Kombinationen eine „Firma lahmlegen“, diese für Seitwärtsbewegungen missbrauchen oder im Darknet für viel Geld veräußern.

OT- und IoT-Cybersecurity

Der Begriff „Operational Technology“ (OT) bezieht sich auf die Methoden und Werkzeuge, die zum Schutz von Personal, Eigentum und Daten einer Organisation eingesetzt werden, die sich mit der Überwachung und/oder Steuerung von Maschinen, Anlagen und anderen mechanischen oder elektronischen Systemen beschäftigt. Digitale Risiken in produzierenden Unternehmen und an der Automatisierung teilhabenden Firmen zu verhindern, enden nicht damit, konventionelle IT-Systeme vor Cyberbedrohungen zu schützen.

In der Vergangenheit galten industrielle Steuerungssysteme nicht als hohes Risiko für Cyberangriffe, da sie nicht mit Unternehmenssystemen oder dem Internet verbunden waren. Heute sind OT- und IoT-Systeme durch die Verwendung gemeinsamer Technologieplattformen, die gemeinsame Nutzung von IT- und IoT-Daten sowie cloudbasierte Anwendungen und Analysen zu einem primären Ziel für Bedrohungsakteure geworden.

Von CIOs und CISOs wird nun erwartet, dass sie die gesamte IT/OT-Landschaft schützen, einschließlich aller physischen Anlagen und industriellen Prozesse. Um dies zu erreichen, muss die OT- und IoT-Sicherheit Teil einer umfassenden digitalen Sicherheitsstrategie sein, die von einem kooperativen IT/OT-Team verwaltet wird. Auf Basis von Risikoabwägungen sollte eine Cybersecurity-Strategie für industrielle Steuerungssysteme (ICS), operative Technologien (OT), konvergierte IT-, OT- und IoT-Netze implementiert werden, die folgende Aspekte zwingend berücksichtigt:

  • Einfache Identifizierung von OT- und IoT-Geräten im Unternehmensnetzwerk, um Risikoanalysen zu verbessern
  • Schnelle Schwachstellenbewertung und Risikoüberwachung, damit Sicherheitsbedrohungen effektiver erkannt werden
  • Umfassende Bedrohungsanalysen durch verhaltens-basierte Anomalie-Erkennung, signaturbasierte Bedrohungs-Erkennung und Asset Intelligence
  • Modernes Dashboard- und Berichtswesen für die zügige Einleitung von Gegenmaßnahmen, um die Effizienz des OT-/IoT-Risikomanagement zu verbessern
  • Integration in Protection (Firewall), Detection (SIEM, SOAR) und Response-Strategien
  • Umfassende Technologiepartnerschaften zu Anbietern aus Cloud Service, OT-/IoT-Hersteller, Netzwerktechnologien etc.

Ausbildung von Cybersecurity-Spezialisten

Der gezielte Know-how-Transfer von Cybersecurity-Spezialwissen sowie die Ausbildung von Cybersecurity-Experten ist schon immer eine große Herausforderung für Unternehmen jeglicher Größe gewesen. Daher ist es wenig verwunderlich, dass sich der hohe Bedarf an Cybersecurity-Experten in über vier Millionen unbesetzten Cybersecurity-Stellen widerspiegelt.[1]

Damit der Nutzen der in den Unternehmen eingesetzten Cybersecurity-Technologien hochgehalten und gesteigert wird, ist es unabdingbar, dass es im Unternehmen Experten mit Cybersecurity-Fachwissen gibt. Der gezielte Know-how-Transfer von Cybersecurity-Spezialwissen sowie die Ausbildung von Cybersecurity-Experten sollte aus Ressourcengrün-den (Zeit, Kosten, Personal) unabhängig von Ort und Zeit sein. Dafür eigenen sich am besten moderne und intuitive Cybersecurity-Trainingsplattformen, auf welchen sich theoretische Inhalte zu Cybersecurity-Themen vermitteln und praktische Übungen durchführen lassen, um das Gelernte anzuwenden.
Folgende Themen sollte eine Cybersecurity-Trainingsplattform für die individuelle Ausbildung mindestens abbilden: Cloud Security, Cybersecurity Essentials, Microsoft Se-curity, SOC Analyst-Know-how, Threat Hunter Know-how sowie Web Application Security. Cybersecurity-Übungen mit Angriffs-Simulationen verbessern im Team eine zügige und kompetente Reaktion auf Cybervorfälle.

 

Autor: Tomé Spasov, Geschäftsführender Gesellschafter bei Ectacom

Quellen: [1] International Information System Security Certification Consortium (ISC)

Andere interessante Fachbeiträge

Gefahr Fehlkonstruktion

Mehr und mehr Organisationen stellen ihre IT-Architektur auf die Nutzung von Multicloud-Umgebungen um – nicht zuletzt, um einen Vendor Lock-in zu verhindern. Die Analysten von KPMG stellten diesen Trend bereits 2020 fest, denn 87 Prozent der dort befragten Großunternehmen ab 2.000 Mitarbeiter richteten ihre Strategie entsprechend aus.

Was auf die Gerätelandschaft zukommt

Viele Entwickler von Sicherheitslösungen haben es sich zum Ziel gesetzt, mit den wichtigsten Trends Schritt zu halten und verwertbare Informationen zu gewinnen. Nach aktuellen Erkenntnissen zeichnet sich eine Reihe von Trends in der Cyber-Bedrohungslandschaft ab.

Outsourcing als Strategie gegen komplexe Security

Einfach war früher. Seit Cyberangriffe mit voller Wucht und mit wechselnden Methoden auf die Unternehmen hereinbrechen, fühlen sich Security-Teams wie Hamster im Laufrad. Sie schließen Sicherheitslücken und decken sich mit immer mehr neuen Sicherheitstools ein, wie die steigenden Ausgaben für IT-Sicherheit zeigen. Und am Ende werden sie doch Opfer eines Angriffs.