Bedrohungsanalysen

Bedrohungserkennung und -abwehr: Diese Hürden stehen Unternehmen im Weg

Bedrohungserkennung und -abwehr: Diese Hürden stehen Unternehmen im Weg

Leitfaden von Kudelski Security verschafft Unternehmen Orientierung für mehr Sicherheit

Im Hinblick auf die IT-Security bleibt die Lage in Deutschland weiterhin dynamisch und angespannt, wie aus einem Bericht des Bundesamts für Sicherheit in der Informationstechnik hervorgeht.

Unter anderem kamen im Jahr 2020 insgesamt rund 117 Millionen neue Schadprogramm-Varianten hinzu. Besonders dominant und gefährlich war Besonders dominant und gefährlich war beispielsweise der Trojaner Sodinokibi der Hacker-Gruppe REvil, die die Schadsoftware für Ransomware-Attacken nutzt. Häufig sind Unternehmen das Opfer gezielter Cyberangriffe – insbesondere während der COVID-19-Pandemie. Um sich effektiv gegen die Gefahren zu schützen, brauchen sie eine verlässliche Strategie für die Bedrohungserkennung und -abwehr. Laut einem neuen Report lösen jedoch 91 Prozent aller Angriffe keinen Alarm aus und 53 Prozent der Sicherheitsverletzungen erfolgen unentdeckt.

„Viele der Strategien, auf die Unternehmen im Rahmen ihrer Bedrohungserkennung und -abwehr setzen, funktionieren nicht. Das ist die schlechte Nachricht“, erklärt Philippe Borloz, Vice President EMEA Sales bei Kudelski Security . „Aber es gibt auch eine gute Nachricht, denn wahrscheinlich haben viele Unternehmen bereits alles, um sich zu verbessern und so den Schutz zu erhöhen.“

Welche vier Hürden einer besseren Bedrohungserkennung und -abwehr im Weg stehen und wie die Lösung dafür aussieht, erläutern die Spezialisten von Kudelski Security.

Falsche Herangehensweise beim Thema SIEM

Einige Unternehmen sind mit Bezug auf eigene Security Information and Event Management (SIEM) Lösungen schlecht aufgestellt. Die meisten Unternehmen führen einfach Daten der Sicherheitsüberwachung aus allen verfügbaren Quellen im Unternehmen zusammen und analysieren sie anschließend. Allerdings sind nicht immer alle Daten relevant, was einerseits zu Mehrarbeit für die IT-Teams führt und andererseits die Bedrohungserkennung und -abwehr langsamer und ineffizienter macht.

Standardkonfigurationen reichen nicht

Viele Standard Logging-Konfigurationen von IT-Lösungen erweisen sich als problematisch, da sie die individuellen Anforderungen an die Bedrohungssuche von Unternehmen nicht erfüllen. Stattdessen entspricht die Richtvorgabe dem kleinsten gemeinsamen Nenner. Das heißt, die konkrete Lage in den einzelnen Unternehmen bleibt unberücksichtigt, wodurch ein Alarm eventuell zu spät erfolgen oder ganz ausbleiben kann.

Übermaß an Sicherungssystemen

Es hört sich zunächst widersprüchlich an, doch der Einsatz einer (zu) großen Zahl unterschiedlicher Geräte, Tools und Anwendungen für die Angriffs- und Bedrohungserkennung ist für die Effizienz der Sicherheitsüberwachung oft schädlich. Die meisten Unternehmen verstehen ihr Bedrohungsmodell nicht und sind mit den Technologien überfordert, die sie dann nicht effektiv nutzen. Mehr Technologie verspricht zwar meist mehr Sicherheit, führt aber auch zu einer Vielzahl von Alarmen, die gesichtet und ausgewertet werden müssen oder dazu, dass wertvolle Technologie brachliegt. Schnell geht die Übersicht und damit der Fokus auf die wirklichen Gefahren verloren.

Fehlende echte Priorisierung

Oft unterscheiden sich die Gefahren nicht in ihrer Priorität. Wenn aber alle dieselbe Priorität haben, gibt es für sie keine Rangfolge, die im Umgang mit ihnen als Orientierung dienen kann. Das erschwert ein gezieltes Vorgehen der IT-Teams. Sie stehen vor der Herausforderung, sich direkt und parallel um alle Gefahren zu kümmern. Dementsprechend müssen die IT-Teams gleichzeitig viele Daten überprüfen und sind daher potenziell schnell überfordert.

Den Herausforderungen begegnen

Mithilfe von drei logisch aufeinander aufbauenden Schritten können Unternehmen die genannten Hürden überwinden und ihre Bedrohungserkennung auf ein hohes Niveau heben.

Ordnung ins Chaos bringen

Unter anderem ist es ratsam, ein individualisiertes Bedrohungsmodell für die eigenen Anforderungen an die Bedrohungserkennung und -abwehr zu erstellen. Ein Bedrohungsmodell hilft bei der Priorisierung der Bedrohungssuche, indem es erlaubt, eine klare Sicht auf die Gefahren zu entwickeln, was eine korrekte Einschätzung und schnelle Beseitigung erlaubt. Um sie vollständig zu verstehen, müssen Unternehmen wissen, wer die potenziellen Angreifer sind, wie ihre Motivation aussieht und welche Taktiken sie verfolgen. Zudem benötigen sie Informationen darüber, wie der jeweilige Angriff abläuft, welche Daten für seine erfolgreiche Erkennung erforderlich sind und was für Aufgaben die beteiligten Personen haben.

Entwickeln einer Erkennungsstrategie

Die definierten Use Cases bilden die Grundlage für die Erstellung eines Bedrohungsmodells, das mögliche Angreifergruppen und deren Ziele berücksichtigt und Unternehmen hilft Prioritäten für die Erkennungsstrategie zu setzen. Damit gelingt es dann auch, eine Priorisierung für Alarme durchzuführen. Wenn sich die Taktiken einzelner Angreifer und Anwendungsfälle überschneiden, lohnt es sich für Unternehmen, genau dort anzusetzen. So können sie ihre Erkennung noch verfeinern und gleichzeitig mehreren Gefahren vorbeugen.

Daten sinnvoll nutzen

Für eine effektive Bedrohungserkennung per SIEM kommt es darauf an, zur richtigen Zeit die richtigen Daten zu sammeln und zu analysieren. Zunächst sollten Unternehmen dafür zuvor die beiden anderen Schritte absolviert haben, denn dann wissen sie genau, welche Daten sie benötigen. So können Unternehmen verstehen, welche Bedrohungen für ein Unternehmen am größten sind und priorisiert werden sollten. Angreifertaktiken, -techniken und -prozesse zu verstehen, kann Unternehmen darauf auf disruptive Angriffe vorbereiten. Die Erkenntnisse helfen zudem, die Erkennungsbemühungen auf Bereiche zu fokussieren, in denen sie die größte Wirkung entfalten, etwa wenn mehrere Angreifer die gleiche Taktik anwenden. Dies verhilft den Unternehmen zu einer klaren Übersicht über die Datenquellen und -typen, die in ihr SIEM-System eingespeist werden sollten. Kurzum: Entscheidend für die Bedrohungserkennung und -abwehr ist nicht die Quantität der Daten, sondern ihre Qualität.