von Redaktion IT-A…
Lesezeit
3 Minuten
Schritte in Richtung proaktive Sicherheit
Angesichts der Tatsache, dass Ransomware-Angriffe weiterhin Schlagzeilen machen, ist es offensichtlich, dass ein auf Prävention ausgerichteter Sicherheitsansatz nicht mehr ausreicht. Ein Wechsel zu einem Sicherheitsansatz, der von einer Kompromittierung ausgeht, bereitet Unternehmen darauf vor, mit der Intensität und Häufigkeit der heutigen Ransomware-Angriffe umzugehen.
Die zunehmende Zahl aufsehenerregender Cyberangriffe im Jahr 2021 zeigt, wie anfällig ein präventives Sicherheitskonzept ist. Bei dem Angriff auf Colonial Pipeline reichten gestohlene Zugangsdaten für ein VPN-Konto, um das Netzwerk zu kompromittieren. Unabhängig davon, wie viele präventive Kontrollen eingerichtet sind, genügt ein einziger Fehler, um diese unwirksam zu machen.
Eine gute Sicherheitshygiene ist laut Vectra AI [1] nach wie vor äußerst wichtig, und präventive Kontrollen sind nicht überflüssig. Der Punkt ist, dass es möglich ist, im Kontext einer komplexen IT-Umgebung etwas zu übersehen. Wenn ein Unternehmen keine Alternative zur präventiven Sicherheit hat, führen Netzwerkinfiltrationen in der Regel zu Datenverletzungen oder Installation von Ransomware. Es ist daher ratsam, ein ausgewogenes Verhältnis zwischen Prävention und Erkennungs- und Reaktionsmöglichkeiten anzustreben.
Präventive Sicherheitskontrollen versagen nicht nur regelmäßig, sondern beeinträchtigen auch den Geschäftsbetrieb, wenn man sich zu sehr auf sie verlässt, wie Vectra AI berichtet. Da Unternehmen immer mehr Einzellösungen zur Vorbeugung verschiedener Sicherheitsbedrohungen einsetzen, wird es immer schwieriger, ein Gleichgewicht zwischen Sicherheit und Geschäftsmöglichkeiten zu finden. Je mehr unterschiedliche, schlecht integrierte Sicherheitstools sich in der Umgebung befinden, desto schwieriger wird es, den regulären Geschäftsbetrieb und die Produktivität der Benutzer zu unterstützen.
Wechsel von reaktiv zu proaktiv
"Assume Compromise", also von einer Kompromittierung auszugehen, ist eine neue Denkweise im Bereich der Sicherheit, die die Grenzen bestehender Sicherheitsmaßnahmen angesichts moderner Cyberbedrohungen anerkennt. Der Ansatz geht von der Annahme aus, dass es einem Angreifer gelingen wird, einen Weg in die Netzwerkumgebung zu finden.
In der Vergangenheit haben sich Unternehmen für einen präventiven Ansatz entschieden, um Eindringlinge von ihren Netzwerken fernzuhalten. Leider können Angreifer, wenn sie über genügend Motivation, Zeit und Ressourcen verfügen, diese präventiven Kontrollen umgehen, und das oft im Verborgenen.
Von einer Kompromittierung auszugehen, verändert die Art und Weise, wie Unternehmen über ihre Sicherheitsherausforderungen denken. Anstatt sich auf präventive Kontrollen zu konzentrieren, um Angreifer fernzuhalten, liegt der Schwerpunkt auf der Schaffung einer ausreichenden Sichtbarkeit innerhalb der Umgebung. Dazu zählt die Einbindung fortschrittlicher Erkennungs- und Reaktionsfunktionen, um Bedrohungen zu entschärfen, die bereits bestehende Kontrollen umgehen. Ein modernerer Ansatz bedeutet, sich darauf vorzubereiten, wenn etwas schiefläuft, und sicherzustellen, dass das Unternehmen etwas dagegen bewirken kann.
Sicherheit erhöhen mit Zero Trust
Zero Trust spielt eine entscheidende Rolle bei einem Ansatz, der von einer Kompromittierung ausgeht. Es gibt zahllose Beispiele für Ransomware-Angriffe, bei denen die Umgehung der Perimeter-Verteidigung dazu führte, dass Angreifer uneingeschränkten Zugang zu Unternehmensressourcen erhielten. Folglich ist die Tatsache, dass man sich innerhalb des Unternehmensnetzwerks befindet, kein Grund mehr, einem Benutzer oder Gerät zu vertrauen.
Da das Zero-Trust-Modell standardmäßig keinem Benutzer oder Gerät vertraut, gilt es die Identitäten von Benutzern und Geräten im Netzwerk unabhängig von ihrem physischen Standort ständig zu überprüfen. Indem jedes Mal eine Authentifizierung erforderlich ist, wenn ein Benutzer oder Gerät den Zugriff auf verschiedene Ressourcen anfordert, lässt sich das Problem des impliziten Vertrauens in Benutzer oder Geräte entschärfen. Wenn ein Angreifer unweigerlich eine Schwachstelle in einer präventiven Kontrolle findet, schränkt das fehlende Standardvertrauen den Umfang dessen ein, was diese Person im Netzwerk machen kann.
Eine Sicherheitsmentalität, die von der Annahme ausgeht, dass eine Kompromittierung vorliegt, bringt einige Herausforderungen mit sich, wenn es darum geht, Sicherheitsexperten über die tatsächlichen Umstände eines Vorfalls aufzuklären. Wenn Sicherheitsteams anfangen, davon auszugehen, dass sie gehackt werden, dann kann ein solides Grundwissen zur offensiven Sicherheit viel dazu beitragen, diese neue Denkweise zu verinnerlichen.
Sicherung der Cloudnutzung
Die digitale Transformation und der Trend zur Cloud haben sich durch die Covid-19-Pandemie weiter beschleunigt. Kleine Unternehmen begannen, mehr Produkte und Dienstleistungen über Websites zu verkaufen, und Unternehmen verlagerten mehr Workloads in die Cloud, um Fernmitarbeiter zu unterstützen und Innovationen zu ermöglichen. Letztlich verhelfen digitale Transformation und Cloud-Strategien Unternehmen zu Produktivität, Kosteneffizienz, Innovation und Wachstum. Sicherheitsexperten müssen diese Umstrukturierungen auf sicherere Weise ermöglichen.
Diese Chancen nutzen zu können, ist zweifellos ein Gewinn für Unternehmen aller Größenordnungen. Digitale Transformationsprojekte führen jedoch zu Fehlkonfigurationen und stellen neue Herausforderungen an die (Cloud-)Sicherheitsüberwachung. Eine „Assume Compromise“-Mentalität bereitet die Sicherheitsteams auf die unvermeidlichen Veränderungen und Risiken vor, die sich aus der Transformation von Geschäftsprozessen ergeben.
Aus der Perspektive der Sicherheitsprozesse erfordern Strategien zur digitalen Transformation die Beantwortung einiger kritischer Fragen, wie zum Beispiel:
Fazit
Heutzutage konzentrieren sich Ransomware-Operationen auf die Datenexfiltration, bevor sensible Dateien und wichtige Systeme verschlüsselt werden. Die Operationen dieser Angreifer sind durch eine anfängliche Kompromittierung, gefolgt von einer seitlichen Bewegung und einer Ausweitung der Berechtigungen im Netzwerk gekennzeichnet.
Was die Technologien und Prozesse angeht, so ist es klar, dass die meisten Unternehmen zwar über präventive Kontrollen verfügen, diese aber nicht ausreichen. Eine bessere Sichtbarkeit durch fortschrittliche Erkennungs- und Reaktionsfunktionen hilft dabei, sich auf eine „Assume Compromise“-Mentalität einzustellen und die gefährlichsten Ransomware-Angriffe von heute schon im Keim zu ersticken.
dr
[1] https://vectra.ai
Eine gute Sicherheitshygiene ist laut Vectra AI [1] nach wie vor äußerst wichtig, und präventive Kontrollen sind nicht überflüssig. Der Punkt ist, dass es möglich ist, im Kontext einer komplexen IT-Umgebung etwas zu übersehen. Wenn ein Unternehmen keine Alternative zur präventiven Sicherheit hat, führen Netzwerkinfiltrationen in der Regel zu Datenverletzungen oder Installation von Ransomware. Es ist daher ratsam, ein ausgewogenes Verhältnis zwischen Prävention und Erkennungs- und Reaktionsmöglichkeiten anzustreben.
Präventive Sicherheitskontrollen versagen nicht nur regelmäßig, sondern beeinträchtigen auch den Geschäftsbetrieb, wenn man sich zu sehr auf sie verlässt, wie Vectra AI berichtet. Da Unternehmen immer mehr Einzellösungen zur Vorbeugung verschiedener Sicherheitsbedrohungen einsetzen, wird es immer schwieriger, ein Gleichgewicht zwischen Sicherheit und Geschäftsmöglichkeiten zu finden. Je mehr unterschiedliche, schlecht integrierte Sicherheitstools sich in der Umgebung befinden, desto schwieriger wird es, den regulären Geschäftsbetrieb und die Produktivität der Benutzer zu unterstützen.
Wechsel von reaktiv zu proaktiv
"Assume Compromise", also von einer Kompromittierung auszugehen, ist eine neue Denkweise im Bereich der Sicherheit, die die Grenzen bestehender Sicherheitsmaßnahmen angesichts moderner Cyberbedrohungen anerkennt. Der Ansatz geht von der Annahme aus, dass es einem Angreifer gelingen wird, einen Weg in die Netzwerkumgebung zu finden.
In der Vergangenheit haben sich Unternehmen für einen präventiven Ansatz entschieden, um Eindringlinge von ihren Netzwerken fernzuhalten. Leider können Angreifer, wenn sie über genügend Motivation, Zeit und Ressourcen verfügen, diese präventiven Kontrollen umgehen, und das oft im Verborgenen.
Von einer Kompromittierung auszugehen, verändert die Art und Weise, wie Unternehmen über ihre Sicherheitsherausforderungen denken. Anstatt sich auf präventive Kontrollen zu konzentrieren, um Angreifer fernzuhalten, liegt der Schwerpunkt auf der Schaffung einer ausreichenden Sichtbarkeit innerhalb der Umgebung. Dazu zählt die Einbindung fortschrittlicher Erkennungs- und Reaktionsfunktionen, um Bedrohungen zu entschärfen, die bereits bestehende Kontrollen umgehen. Ein modernerer Ansatz bedeutet, sich darauf vorzubereiten, wenn etwas schiefläuft, und sicherzustellen, dass das Unternehmen etwas dagegen bewirken kann.
Sicherheit erhöhen mit Zero Trust
Zero Trust spielt eine entscheidende Rolle bei einem Ansatz, der von einer Kompromittierung ausgeht. Es gibt zahllose Beispiele für Ransomware-Angriffe, bei denen die Umgehung der Perimeter-Verteidigung dazu führte, dass Angreifer uneingeschränkten Zugang zu Unternehmensressourcen erhielten. Folglich ist die Tatsache, dass man sich innerhalb des Unternehmensnetzwerks befindet, kein Grund mehr, einem Benutzer oder Gerät zu vertrauen.
Da das Zero-Trust-Modell standardmäßig keinem Benutzer oder Gerät vertraut, gilt es die Identitäten von Benutzern und Geräten im Netzwerk unabhängig von ihrem physischen Standort ständig zu überprüfen. Indem jedes Mal eine Authentifizierung erforderlich ist, wenn ein Benutzer oder Gerät den Zugriff auf verschiedene Ressourcen anfordert, lässt sich das Problem des impliziten Vertrauens in Benutzer oder Geräte entschärfen. Wenn ein Angreifer unweigerlich eine Schwachstelle in einer präventiven Kontrolle findet, schränkt das fehlende Standardvertrauen den Umfang dessen ein, was diese Person im Netzwerk machen kann.
Eine Sicherheitsmentalität, die von der Annahme ausgeht, dass eine Kompromittierung vorliegt, bringt einige Herausforderungen mit sich, wenn es darum geht, Sicherheitsexperten über die tatsächlichen Umstände eines Vorfalls aufzuklären. Wenn Sicherheitsteams anfangen, davon auszugehen, dass sie gehackt werden, dann kann ein solides Grundwissen zur offensiven Sicherheit viel dazu beitragen, diese neue Denkweise zu verinnerlichen.
Sicherung der Cloudnutzung
Die digitale Transformation und der Trend zur Cloud haben sich durch die Covid-19-Pandemie weiter beschleunigt. Kleine Unternehmen begannen, mehr Produkte und Dienstleistungen über Websites zu verkaufen, und Unternehmen verlagerten mehr Workloads in die Cloud, um Fernmitarbeiter zu unterstützen und Innovationen zu ermöglichen. Letztlich verhelfen digitale Transformation und Cloud-Strategien Unternehmen zu Produktivität, Kosteneffizienz, Innovation und Wachstum. Sicherheitsexperten müssen diese Umstrukturierungen auf sicherere Weise ermöglichen.
Diese Chancen nutzen zu können, ist zweifellos ein Gewinn für Unternehmen aller Größenordnungen. Digitale Transformationsprojekte führen jedoch zu Fehlkonfigurationen und stellen neue Herausforderungen an die (Cloud-)Sicherheitsüberwachung. Eine „Assume Compromise“-Mentalität bereitet die Sicherheitsteams auf die unvermeidlichen Veränderungen und Risiken vor, die sich aus der Transformation von Geschäftsprozessen ergeben.
Aus der Perspektive der Sicherheitsprozesse erfordern Strategien zur digitalen Transformation die Beantwortung einiger kritischer Fragen, wie zum Beispiel:
- Müssen Sie Ihre bestehenden Sicherheitstools in die Cloud verlagern?
- Reichen Ihre bestehenden Sicherheitstools aus, um Cloud, KI, IoT und andere Technologien der digitalen Transformation zu schützen?
- Können sich Sicherheitspraktiken im Einklang mit der Automatisierung und Digitalisierung im Unternehmen weiterentwickeln, was zu größerer Agilität und Sichtbarkeit in IT-Umgebungen von On-Premises bis zur Cloud führt?
Fazit
Heutzutage konzentrieren sich Ransomware-Operationen auf die Datenexfiltration, bevor sensible Dateien und wichtige Systeme verschlüsselt werden. Die Operationen dieser Angreifer sind durch eine anfängliche Kompromittierung, gefolgt von einer seitlichen Bewegung und einer Ausweitung der Berechtigungen im Netzwerk gekennzeichnet.
Was die Technologien und Prozesse angeht, so ist es klar, dass die meisten Unternehmen zwar über präventive Kontrollen verfügen, diese aber nicht ausreichen. Eine bessere Sichtbarkeit durch fortschrittliche Erkennungs- und Reaktionsfunktionen hilft dabei, sich auf eine „Assume Compromise“-Mentalität einzustellen und die gefährlichsten Ransomware-Angriffe von heute schon im Keim zu ersticken.
dr
[1] https://vectra.ai
