Bedrohung durch Malware nimmt rasant zu, Verwundbarkeiten von IT-Systemen können kaum mehr rechtzeitig abgestellt werden. Im Gespräch mit dem Midrange Magazin (MM) verdeutlicht Michael Veit, Technology Evangelist bei Sophos, die aktuellen Entwicklungen – und zeigt auch Lösungswege auf.
MM: Welche Entwicklungen tragen zur Veränderung der Bedrohungslage durch Cyber-Attacken bei?
Veit: Die breit gestreuten Ransomware-Angriffe vom Kaliber eines Locky, bei denen kein Unterschied zwischen Unternehmen und Privatpersonen gemacht wurde, findet man heute kaum noch. Vielmehr werden gezielt Unternehmen und Behörden angegriffen, weil die Cyber-Kriminellen darin viel lukrativere Ziele gefunden haben. Da viele Organisationen als Reaktion auf die Ransomware-Angriffe der letzten Jahre in ein verbessertes Backup-Konzept investiert haben, fahren die Angreifer heute zweigleisig: Bei aktuellen Angriffen werden als erstes geschäftsrelevante Daten identifiziert und gestohlen, lange bevor in einem optionalen letzten Schritt Daten und Rechner verschlüsselt werden. Denn die Drohung der Veröffentlichung von Geschäftsgeheimnissen, verbunden mit Compliance-Strafen und Reputationsschaden, trifft Unternehmen oft härter als die Ransomware selbst.
MM: Wie ändern sich die Angriffsmuster?
Veit: Früher fanden Angriffe und auch die Verschlüsselung durch Ransomware weitestgehend automatisiert statt. Heute schalten sich gerade in der frühen Phase des Angriffs immer häufiger menschliche Hacker auf die infizierten Systeme auf, um sich im Netzwerk des Opfers auf Schleichfahrt umzusehen, auszubreiten und Daten zu stehlen. Da viele Unternehmen mittlerweile NextGen Endpoint-Security mit Machine Learning, Anti-Exploit und Anti-Ransomware-Technologien im Einsatz haben, nutzen Angreifer zum Beispiel bevorzugt vorhandene Windows-Systemwerkzeuge, die von Endpoint-Security-Lösungen als nicht gefährlich erkannt und entsprechend nicht blockiert werden.
MM: Wie sollten Unternehmen in Bezug auf ihre IT-Sicherheit reagieren?
Veit: Der Best-of-Breed Ansatz der Vergangenheit schützt Unternehmen schon lange nicht mehr vor modernen Angreifern. Unternehmen müssen ihre IT-Sicherheit heute und in Zukunft ganzheitlich betrachten. Alle Sicherheitskomponenten müssen miteinander kommunizieren und Ereignisse aller Komponenten am Endpoint, im Netzwerk und in der Cloud zentral analysieren und korrelieren – und sie müssen bei einer Bedrohung konzertiert reagieren können. Unternehmen sollten sich bewusst sein, dass Technik alleine zur Erkennung moderner Cyber-Angriffe nicht mehr ausreicht und menschliche Spezialisten benötigt werden, die rund um die Uhr im Einsatz sind und Hackerangriffe durch ihre Erfahrung abwehren können.
MM: Welche Vorteile bringt ein ACE, also ein Adaptive Cybersecurity Ecosystem?
Veit: Sie können sich das adaptive Cybersecurity-Ökosystem als die nächste Evolutionsstufe unseres cloudbasierten zentralen Managements mit Sophos Central als Schaltzentrale und des Zusammenspiels der einzelnen Lösungen per Synchronized Security vorstellen. Es ermöglicht unseren Kunden, effektiv und effizient auf die Herausforderungen der IT-Sicherheit von heute und morgen zu reagieren, denn immer ausgefeiltere Angriffe mit menschlicher Interaktion durch Angreifer benötigen den konzertierten Einsatz aller verfügbarer Ressourcen. Dazu analysieren und korrelieren wir per XDR die Ereignisse von Sicherheitskomponenten am Endpoint, im Netzwerk und der Cloud zentral in einem DataLake, um Hackerangriffe noch besser zu erkennen – mit künstlicher und menschlicher Intelligenz. Und sobald eine Bedrohung identifiziert ist, kann diese automatisch oder im Zusammenspiel mit menschlicher Interaktion unternehmensweit neutralisiert werden. Das Adaptive Cybersecurity Ecosystem von Sophos ist als offenes System konzipiert und wartet mit Schnittstellen sowohl zu technischen Komponenten als auch für die Nutzung durch SOC Services bzw. Managed Security Services auf.
MM: Wie kann ein mittelständisches Unternehmen mit eher bescheidenen IT-Security-Budget von einem Adaptive Cybersecurity Ecosystem profitieren?
Veit: Das Sophos Adaptive Cybersecurity Ecosystem ist modular aufgebaut, sprich es können im ersten Schritt einzelne Komponenten wie “Intercept X with XDR” am Endpoint oder die Sophos Firewall erworben werden. Und wann immer eine existierende Lösung im Bereich Email, Mobile, Wifi, Cloud, Verschlüsselung etc. nach Ablauf der aktuellen Lizenz oder Lebensdauer zur Erneuerung ansteht, kann diese Lösung durch die entsprechende Komponente aus dem ACE-Ökosystem ersetzt werden. Und je mehr Komponenten miteinander interagieren, desto effizienter wird die Administration der Sicherheit, desto besser können Angriffe erkannt werden – und desto einfacher können Angriffe gestoppt werden. Zudem unterstützt die Lösung das einfache Outsourcing von der Verwaltung der Sicherheit bis zur Bedrohungssuche und Incident-Response Services an spezialisierte Dienstleister.
Rainer Huttenloher
Weiter geht das Interview mit Herrn Veit im folgenden Videoclip. Dabei zeigt er auch in einer kurzen Demo mit dem Blocken eines Ransomware-Angriffs, wie die Adaptive Cybersecurity Ecosystem funktioniert:
