Meldung

Unternehmen investieren in IT-Sicherheit

In den vergangenen Jahren hat sich die Wahrnehmung der Cybersicherheit in der Geschäftswelt nach Meinung von Vectra erfreulicherweise verändert. Immer mehr Unternehmen erkennen heute, dass Sicherheit eine strategische Priorität ist. Dieser Gesinnungswandel spiegelt sich in einem stetigen Anstieg der Investitionen in Sicherheitsmaßnahmen wider.
Die neueste Prognose von Gartner geht davon aus, dass die weltweiten Ausgaben für Produkte und Dienstleistungen im Bereich der Informationssicherheit im Jahr 2019 bei über 124 Milliarden US-Dollar liegen wird, was einem Anstieg von 8,7 Prozent gegenüber 2018 entspricht.

„Während die Erhöhung des Sicherheitsbudgets eine gute Sache ist, konzentrieren sich die meisten dieser Investitionen auf präventive Maßnahmen. Somit besteht die Tendenz, andere Bereiche zu übersehen, die für einen robusten Sicherheitsstatus von entscheidender Bedeutung sind. Üblicherweise verfolgen Unternehmen einen „Great Wall“-Ansatz, der sich auf defensive Technologien wie Firewalls, Anti-Virus, Web-Proxys und Malware-Sandboxes konzentriert“, berichtet Gérard Bauer, VP EMEA bei Vectra. „Diese Strategien zielen darauf ab, sicherzustellen, dass Malware und andere bösartige Aktivitäten beim ersten Angriff neutralisiert werden, bevor der Angreifer in der Lage ist, Fuß zu fassen und dem Unternehmen zu schaden.“

Es ist zwar sicherlich von Vorteil, diese Eindringlinge zu minimieren, aber früher oder später kommt auch die Einsicht, dass es unmöglich ist, jeden Angriff mit 100-prozentiger Sicherheit zu verhindern. Unternehmen kommen an einen Punkt, an dem der Bau einer immer höheren Mauer diese nicht unbedingt effektiver macht. Gut organisierte Angreifer entwickeln ständig neue Techniken, um defensiven Kontrollen auszuweichen. Bedrohungen wie Zero-Day-Malware, die bisher unbekannte Schwachstellen ausnutzt, können sehr schwer zu identifizieren sein. Hartnäckige und qualifizierte Gegner finden letztlich immer einen Weg, die Verteidigung zu besiegen oder zu umgehen.

Indem sich Unternehmen übermäßig darauf konzentrieren, das Durchkommen von Angreifern zu verhindern, werden sie nach Meinung von Vectra blind und verwundbar. Gelingt es einem Angreifer, die Abwehrsysteme zu durchdringen und auf geschäftskritische Systeme zuzugreifen, bleibt dies oft unbemerkt – für längere Zeit.

Eine riskante Lücke

Die Verweildauer des Angreifers im System ist die entscheidende Lücke zwischen dem Zeitpunkt, zu dem sich ein Angreifer erfolgreich der Verteidigung entzieht, um sich im System einzunisten, und dem Punkt, an dem er entdeckt wird. Der M-Trends 2018 Report weist darauf hin, dass diese Verweildauer einem Median von 101 Tagen entspricht. Dies bedeutet, dass den Eindringlingen mehr als drei Monate Zeit bleibt, um sich ungestört im Netzwerk umzusehen.

Während dieser Zeit können sie eine beliebige Anzahl von bösartigen Aktivitäten ausführen. Dies bedeutet vor allem, dass sie sensible und geschäftskritische Daten stehlen, beschädigen oder zerstören, die Umgebung auskundschaften, sich seitlich durch das Netzwerk bewegen und sich Zugriffsrechte aneignen können. Ebenso besteht die Möglichkeit, dass sie den Geschäftsbetrieb stören, Daten manipulieren oder ganze Systeme kapern, die sie dann für Angriffe auf externe Ziele oder Betrugsdelikte missbrauchen.

Versierte Cyberangreifer verschlüsseln ihre Kommunikation und nutzen versteckte Tunnel. Da sie sich sehr effektiv verstecken können, ist es extrem schwierig, ihre Aktivitäten zu erkennen oder zu analysieren. In den meisten Fällen werden Unternehmen, die von einem Angriff betroffen sind, erst dann auf das Eindringen aufmerksam, wenn der Schaden bereits eingetreten ist. Tatsächlich zeigt der M-Trends 2018 Report auf, dass 62 Prozent der Unternehmen zum ersten Mal durch einen Dritten auf eine Sicherheitsverletzung aufmerksam gemacht wurden.

„Eine Sicherheitsstrategie, die sich zu sehr auf Prävention konzentriert, kann auch Ressourcen binden, wenn sich die Angreifer festsetzen. Sicherheitsteams verbrennen viele Arbeitsstunden damit, die große Anzahl von Warnungen, die täglich auftreten, manuell zu validieren, zu korrelieren und zu überprüfen. Die Isolierung einer neu entdeckten Bedrohung kann zu einem mühsamen Tag des Durchforstens eines riesigen Datendickichts führen“, berichtet Gérard Bauer von Vecra. „Zudem sind qualifizierte Analysten erforderlich, um die Protokolle von Sicherheits-Appliances und -Tools zu verstehen. Genau diese Fachkräfte machen sich rar auf dem Arbeitsmarkt. So soll laut einer Prognose von Frost & Sullivan der Fachkräftemangel weiter steigen, was bis 2022 allein in Europa über 350.0000 unbesetzte Sicherheitsjobs bedeuten würde.“

Unternehmen müssen ihren Fokus daher weg von der Prävention hin zur Erkennung und Entschärfung aktiver Bedrohungen verlagern. Nur so können sie die aktuelle Cybersicherheitslücke schließen und die Chancen verringern, dass ein Eindringling monatelang im Netzwerk verweilt und unentdeckt bleibt. Einer der wichtigsten Schritte ist hierbei die Fähigkeit, Bedrohungen in Echtzeit zu erkennen. Aufgrund der hohen Anforderungen, die diese Arbeit an qualifizierte und erfahrene Sicherheitsmitarbeiter stellt, ist die größtmögliche Automatisierung dieses Prozesses unverzichtbar.

Die letzten Jahre haben bahnbrechende Innovationen in den Bereichen Data Science, maschinelles Lernen und Verhaltensanalyse hervorgebracht. Diese Fortschritte haben wiederum die Etablierung hocheffizienter und zuverlässiger automatisierter Lösungen zur Bedrohungserkennung möglich gemacht. Ein gutes automatisiertes Bedrohungsmanagementsystem kann die Phasen eines aktiven Cyberangriffs bereits bei seiner Entwicklung erkennen. Typische Verhaltensmuster sind hier Command-and-Control, interne Auskundschaftung, seitliche Bewegung im Netzwerk, der Missbrauch von Berechtigungen, Datenexfiltration sowie Botnet- oder Cryptomining-Aktivitäten.

Intelligenter arbeiten

Da die Anzahl und Komplexität der Cyberangriffe zunimmt, ist das vielleicht nützlichste Merkmal einer automatisierten Lösung die schiere Menge an Daten, die sie bewältigen kann. Das Durchsuchen von Warnungen und Protokollen, um die versteckten Details zu entdecken, die auf eine Bedrohung hinweisen, ist für einen Menschen äußerst mühsam. Eine automatisierte Lösung kann aber große Datenmengen durchforsten, ohne zu ermüden oder Fehler zu machen.

Insbesondere die Analyse des Verhaltens von Angreifern wird immer wertvoller, um Bedrohungen zu erkennen. Diese fokussierte Herangehensweise bedeutet, dass selbst wenn der Angreifer bislang unbekannte Malware verwendet und seine Spuren mittels verschlüsseltem Datenverkehr versteckt, bestimmte bösartige Verhaltensweisen immer zu beobachten sind. Dies gilt unter der Voraussetzung, dass bekannt ist, wonach zu suchen ist, und der Fähigkeit, diese Spuren auch zuverlässig zu finden. Entscheidend ist, dass der interne Netzwerkverkehr analysiert wird. Durch die alleinige Fokussierung auf den Verkehr, der den Perimeter durchquert, werden Eindringlinge übersehen, die interne Aufklärung im Netzwerk durchführen oder Malware verbreiten und sich Zugriffsrechte aneignen.

Unternehmen, die in der Lage sind, eine automatisierte, detaillierte Bedrohungsanalyse in Echtzeit durchzuführen, haben eine weitaus größere Chance, Anzeichen von bösartigen Aktivitäten in ihrem Netzwerk zu erkennen. Menschliche Fähigkeiten wie Kreativität, Intuition und die Vermittlung von umfassendem Wissen und organisatorischen Kontext werden jedoch weiterhin im Mittelpunkt einer effektiven Cybersicherheitspraxis stehen.
26.03.2019/dr

Tipps & Tools

Neue Security-Herausforderungen durch IoT [29.09.2020]

Das Internet der Dinge ist für viele Unternehmen in Deutschland sowohl eine Chance als auch ein Risiko, so das Ergebnis einer aktuellen Studie im Auftrag von Palo Alto Networks. Einerseits ermöglicht ein hoher Vernetzungsgrad eine Effizienzsteigerung, zunehmende Automatisierung, bessere Datennutzung und neue Geschäftsmodelle. Gleichzeitig aber stellt die wachsende Popularität des IoT für Unternehmen und ihre IT-Abteilungen eine wachsende Herausforderung für die Daten- und IT-Sicherheit dar. [mehr]

Zunehmende Angriffe auf Linux-Systeme [25.09.2020]

Viele Unternehmen setzen Linux ein, da das Betriebssystem mehr Sicherheit als kommerzielle Angebote bieten soll. Diese Prämisse relativieren jetzt Securtiy-Experten von Kaspersky und berichten von immer mehr APT-Angriffen auf Linux-Server und -Workstations. [mehr]

Fachartikel

Im Test: FirstWare DynamicGroup 2020 [28.09.2020]

Das Windows-AD knüpft Berechtigungen ausschließlich an Gruppen. Die Rechtevergabe im Dateisystem anhand der Organisationseinheiten ist dem Betriebssystem unbekannt, obwohl dies eine sehr hilfreiche Funktion darstellen würde. FirstWare DynamicGroup automatisiert die Verwaltung von Gruppen im Active Directory und sortiert Benutzer dynamisch basierend auf OUs sowie Attributen in Gruppen ein. IT-Administrator hat das Tool getestet und war von seiner Flexibilität begeistert. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen