Cloud-basierte Vorfälle nehmen weiter zu, da unbekannte Faktoren überwiegen werden. Das sollte aber auf jeden Fall Unternehmen dazu motivieren, der Prävention Vorrang einzuräumen und sich nicht unbeabsichtigt einer Blindheit hinzugeben, was den Angreifern auf die IT die Oberhand geben würde.
Das Zentrum von Security-Prozessen ist in der Regel „blind“: In einem technologischen Sammelsurium aus nicht überprüften Remote-Geräten, Netzwerken von Drittanbietern und anonymen Clouds tappen die SOC-Analysten (Security Operations Center) der Region im Dunkeln. Doch alle diese Unsicherheiten haben auch einen Vorteil. Sie sind bekannt. Sie sind bekannte Unbekannte. Die Sicherheitsverantwortlichen wissen, was sie nicht wissen.
Dies ist natürlich – nicht einmal – die halbe Miete. Wie und warum Unternehmen ihrer Blindheit in Sachen Cyber-Sicherheit in den Griff bekommen, erklärt Andreas Riepen, Head Central & Eastern Europe bei IT-Sicherheitsunternehmen Vectra AI: „Die schlichte Wahrheit besteht darin, dass wir einen riesigen Schritt nach vorn machen, wenn wir uns der Situation stellen und unsere Sicherheit über unsere Rechenzentren und Endpunkte hinaus auf die Situation außerhalb von ihnen ausdehnen – und zwar auf die Public Clouds, ihre Dienstangebote und ihre jeweilige Ausgestaltung.“
Es gelte, genau zu untersuchen, was man nicht weiß. Erstens ist man sich über das Ausmaß unserer Angriffsflächen nicht ganz sicher. Zweitens lässt sich oft nur spekulieren, welche Angriffsmethoden sich die externen Bedrohungsakteure als Nächstes ausdenken werden. Und drittens ist man sich seltsamerweise vielleicht sogar nur unzureichend dessen bewusst, welche Tools man selbst einsetzt, was sie bewirken und welche weiteren blinden Flecken sie letztlich in die Welt setzen.
Man müsse, so Riepen, diese noch unbekannten Faktoren rechtzeitig ausmerzen, denn es liegt auf der Hand, dass die Security Teams nicht in der Lage sind, unsere Grenzen, unsere Daten und unsere Systeme effektiv zu schützen. Eine kürzlich durchgeführte Studie von Vectra ergab, dass mangelnde Transparenz, fehlendes Erkennen moderner Angriffe und schlechte Integration die drei Hauptgründe für das Scheitern von Security Tools sind. Und das alles wegen der noch unbekannten Faktoren – die, wie wir uns erinnern, uns durchaus bekannt sein könnten.
Wenn man versucht, bisher unterlegene Security Operations Center (SOCs) aufzurüsten, muss man sich nach vorne orientieren. Man weiß oft genug, was die unbekannten Faktoren sind oder sein könnten, aber man sollte sich fragen, warum Security Teams sie aushalten müssen. Das Problem liegt letztlich in drei grundlegenden Defiziten – also in den drei grundsätzlichen Cs der Blindheit gegenüber der Cyber Security.
Coverage
Wir müssen uns mit einer unbestreitbaren Tatsache auseinandersetzen. Oft arbeitet man in einer Umgebung ohne festgelegte Grenzen, in der Prävention so gut wie wirtschaftlich unrentabel ist. Alle modernen Ansätze für Cyber Security tragen dieser Tatsache in gewissem Maße Rechnung. Die Angriffsflächen werden immer größer, so dass man weitreichende Prinzipien von Zero Trust anwenden muss, um zum Beispiel die Systeme von AWS und Microsoft Azure, von Microsoft 365 und von Google Cloud Platform (GCP) abzudecken. Hunderte von SaaS-Anwendungen (Software as a Service) und Dutzende von cloud-basierten Produkten bilden zusammen ein weitläufiges Gebilde von (noch) wenig Erforschtem.
Dies geschieht zur Freude von Angreifern und zum Schrecken von Sicherheitsexperten, die sich damit befassen müssen. Zwei Drittel der modernen Angriffe nutzen autorisierte Dienste und Application Programming Interfaces (APIs) als Einfallstore. Die noch unbekannten Angriffsflächen sind für SOC-Teams dann adressierbar, wenn sie eine einheitliche Sichtbarkeit über Rechenzentren, Endpunkte, öffentliche Clouds, SaaS und weitere Einfallstore hinweg erlangen könnten. Mit anderen Worten: Es geht um Abdeckung oder Coverage.
Clarity
Verschwenden wir kurz einen Gedanken an die SOCs von heute. Angesichts immer raffinierter werdender Angriffe sehen CISOs (Chief Information Security Officers) und ihre Teams mit Sorge, wie ihre Budgets immer weiter zusammenschrumpfen. Sie erfahren andererseits, wie die Erwartungen der Unternehmen steigen, während gleichzeitig die Ressourcen zurückgefahren werden. Und sie sehen, wie sich ein Kollege nach dem anderen aus dem Chaos verabschiedet, was zu noch mehr Druck führt. Das SOC im Jahr 2023 ist zu einer Zentrale von „immer mehr mit immer weniger” geworden.
Man betrachte nun den einzelnen Security-Analysten, einen Problemlöser, der seine Tage damit verbringt, Tools zu optimieren und einzustellen. Und zwar nicht nur irgendwelche Tools. Es handelt sich in der Tat um etwas in die Jahre gekommene Tools wie zum Beispiel SIEM (Security Information and Event Management) und IDS (Intrusion Detection System), die auf regelbasierten Funktionen beruhen, die für die Abwehr moderner Angriffe mit ihren High-Speed-Geschwindigkeiten ziemlich unzureichend sind. Angesichts einer solchen Situation gibt es keinen Anreiz mehr für Talente, in ihrem Unternehmen zu bleiben. Man muss in der Tat das SOC neu erfinden, damit es mit schnellen und unbekannten Angriffen umgehen kann – oder man riskiert weiter, dass das Sicherheitspersonal den Abgang macht.
Glücklicherweise können wir, nachdem wir das Problem der Abdeckung gelöst haben, den Signalen in Echtzeit den dringend benötigten Kontext hinzufügen und die Latenzzeit in den SOC-Workflows verringern. Eine Technologie, die Daten schnell und in großem Umfang im Kontext erfasst und analysiert, ist auf dieser Basis möglich. Es dreht sich alles um Klarheit oder Clarity.
Control
Die Gelegenheiten für Angriffe nehmen zu, während die Methoden der Angreifer immer gerissener und die Security Teams immer kleiner werden. Untersuchungen von Vectra haben ergeben, dass 72 Prozent der Verantwortlichen für Sicherheit befürchten, dass in ihrem Unternehmen bereits ein Angriff im Gange ist, den sie aber aufgrund mangelnder Transparenz nicht bestätigen können.
Investitionen in Technologien und Tools sind oft nicht so wertvoll, weil Informations- und Tool-Silos weiterhin bestehen. Diese Situation führt dazu, dass die SOC-Teams von einem Stückchen an Wahrheit zum nächsten springen, aber nie den gesamten Überblick erhalten und deshalb von Tag zu Tag immer unzufriedener werden. Und natürlich verlassen sich auf der anderen Seite die Angreifer für ihren Erfolg oft auf genau diese Art von schlecht ausgerüsteten Gegnern.
Die Lösung für das allgegenwärtige Durcheinander – eine einzige Lösung, die es Analysten ermöglicht, verdächtige Vorgänge in der IT zu beenden, Anmeldeinformationen zurückzunehmen und gegen aggressive Anomalien vorzugehen – würde die Kontrolle über die Umgebung wieder dorthin zurückgeben, wo sie hingehört: ins Security Operations Center (SOC).
Viel hilft nicht viel
Im Grunde versuchen alle nur, eine Spirale des “immer mehr” aufzuhalten – mehr Angriffsfläche, mehr Angriffsmethoden, mehr Tools für Cyber Security, mehr Alarmmüdigkeit, mehr Rücktritte. Das Einzige, was in der Tat in dieser Spirale wirklich weniger wird, sind die Spezialisten. Aber es gibt etwas, wovon wir wirklich mehr brauchen. Und das ist die Wirksamkeit von Signalen. Mehr echte Effekte von Hinweisen statten die SOCs so aus, dass Angreifer zweimal überlegen müssen.
In dem Bemühen, unseren Festungsmauern ein größeres Maß an Einschüchterung zurückzugeben, sollten wir uns der Attack Signal Intelligence zuwenden – und damit den Ergebnissen jahrzehntelanger Forschung und Analyse des Verhaltens von Angreifern in der IT. Modelle für Artificial Intelligence (AI) und Machine Learning (ML) sind bereits in einem Ausmaß verfeinert worden, dass sie echte Bedrohungen erkennen und jene ignorieren können, die regelmäßig zu Fehlalarmen und zu einer gewissen Alarmmüdigkeit führen. Attack Signal Intelligence besteht aus einer autonom agierenden digitalen Detektivinstanz, die die Gewohnheiten der Angreifer genau kennt und über die jeweilige Umgebung, die sie verteidigen soll, umfassend informiert ist.
„Cloud-basierte Vorfälle eskalieren“, stellt Riepen fest. „Unbekannte Faktoren sind zum ständigen Fluch der Sicherheitsexperten geworden. Wenn Unternehmen nur der Vorbeugung den Vorrang geben, laden sie zu einer allgemeinen Blindheit ein, und die Angreifer werden daraus nur zu gerne Kapital schlagen. Wir müssen uns stärker mit den drei Cs befassen. Nur dann werden wir in der Lage sein, dass unsere Security Teams in alle Richtungen sehen werden: von den kleinen Details bis zum großen Horizont.“ (rhh)