Cyber-Attacken

Radware empfiehlt vier Strategien gegen staatliche Hacker

Radware empfiehlt vier Strategien gegen staatliche Hacker

Staatlich geförderte Hacker haben erhebliche Ressourcen

Von Nationalstaaten gesponserte Cyberattacken zielen nicht nur auf sicherheitsrelevante Informationen anderer Staaten, sondern zunehmend auch auf geistiges Eigentum von Unternehmen. Industriespionage ist in etlichen Staaten ein von der Regierung akzeptiertes, wenn nicht gar gefördertes Mittel, um Wettbewerbsnachteile der eigenen Wirtschaft zu verringern. Nach dem aktuellen ERT Report 2019/2020 von Radware wurden im vergangenen Jahr bereits 27 % aller Cyberattacken auf staatlich gesponserte Hackergruppen zurückgeführt. Naturgemäß haben staatlich geförderte Hacker erhebliche Ressourcen zur Verfügung, und die meisten Unternehmen verfügen nicht über das interne Fachwissen und auch nicht über die Budgets, um staatlich unterstützte Cyberattacken in Echtzeit zu bekämpfen. Es ist daher weder ratsam noch praktikabel, dass Unternehmen allein gegen solche Hackergruppen vorgehen.

Einen deutlich besseren Schutz verspricht ein gemeinsames Vorgehen. Deswegen entstehen derzeit Sicherheitsgemeinschaften, in denen Unternehmen die Expertise und das Wissen von Sicherheitsexperten bündeln. Organisationen wie MITRE ATT&CK versuchen, mit der Entwicklung der Bedrohungslandschaft Schritt zu halten.

Diese Wissensbasen sind für Organisationen gedacht, die auf der Grundlage realer Angriffe und Beobachtungen spezifische Bedrohungsmodelle und Verteidigungsstrategien entwickeln. Zu diesen Beobachtungen aus der realen Welt gehören der anfängliche Zugang, die Ausführung, die Persistenz, die Eskalation, die Umgehung von Security-Maßnahmen, die Entdeckung, die Bewegung, die Sammlung, Command & Control-Strukturen, die Exfiltration und die Auswirkungen von Cyberattacken.

Innovation ist der Schlüssel

Managing Director DACH bei Radware

Auch in der Security-Branche gibt es Innovationen, wie zum Beispiel den Cyber Skills Immediate Impact Fund des Vereinigten Königreichs. Dieser Fonds fördert die Neurodiversität, um die Lücke bei den Sicherheitskompetenzen zu schließen. Diese neue Initiative erschließt Gruppen von Menschen, die in der Lage sind, die Cybersicherheit durch ihre unterschiedlichen und wertvollen Kodierfähigkeiten zu verbessern. So nutzen sie beispielsweise besondere Fähigkeiten aus dem Spektrum des Autismus wie etwa die, Puzzles zu lösen.

"Initiativen wie diese werden jedoch Jahre brauchen, um die heute erforderlichen zusätzlichen Sicherheitstalente zu entwickeln", kommentiert Michael Tullius, Managing Director DACH bei Radware. "Letztendlich sind Managed Security Services die kurzfristige Antwort. Cloud und Security Service Provider stellen den wichtigsten Eckpfeiler in der Sicherheitsarchitektur von Unternehmen dar. Sie haben sowohl die Größe als auch Erfahrungen aus einer großen Kundenbasis, um die interne Expertise eines Unternehmens zu ergänzen und es vor staatlich geförderten Akteuren zu schützen."

4 Strategien gegen staatliche Angriffe

Radware empfiehlt vier Schlüsselstrategien, die jede einzelne Organisation in Betracht ziehen sollte, bevor sie sich staatlichen Angriffen entgegen stellt:

Trainieren der Mitarbeiter

Der erste Schritt zur Verhinderung staatlicher Angriffe ist die Schulung der Mitarbeiter. Diese sind das schwächste Glied in der Kette. Sie zu schulen, wie man Phishing- und Spear-Phishing-Versuche erkennt, kann helfen, künftige Angriffe zu verhindern, da diese Techniken selbst die bestinformierte, gut vorbereitete Verteidigung durchkreuzen können. CISOs können die Risiken reduzieren, indem sie die Mitarbeiter regelmäßig in Bezug auf die richtige Cyber-Hygiene und das richtige Bewusstsein schulen und testen.

Darüber hinaus können Insider-Bedrohungen eine große Schwachstelle eines Unternehmens sein. Diese Bedrohungen werden in der Regel von opportunistischen oder verärgerten Mitarbeitern verursacht, deren Hauptziele Profit, Agitation gegen das Unternehmen oder Spionage sind. In einem solchen Fall sollte man sich unverzüglich an die zuständigen Behörden wenden. Wenn ein Mitarbeiter die Organisation kompromittiert, sollte man seinen Zugang zu wichtigen Daten sperren und ihn ggfs. beurlauben, bis die Vorwürfe geklärt sind. Zudem empfiehlt sich die Suche nach nicht autorisierter Hardware, die möglicherweise im Netz platziert wurde. Dazu können USB-Laufwerke, unbefugte Zugangspunkte und Netzwerk-Hardware gehören, die an andere Geräte angeschlossen werden können.

Koordination mit der Strafverfolgung und anderen Unternehmen

Der Austausch von Informationen über Cyber-Bedrohungen zwischen Unternehmen und Strafverfolgungsbehörden kann dazu beitragen, Angriffe aus den Nationalstaaten abzuschwächen und das Situationsbewusstsein zu verbessern. Eine detaillierte Überwachung der Bedrohungslandschaft und die Zusammenarbeit mit Branchenverbänden, Strafverfolgungs- und Regierungsbehörden helfen allen Beteiligten dabei, die Angriffsmuster und -trends im Auge zu behalten.

Eine Cyber Security Intelligence Agency

Sozusagen ein virtueller Geheimdienst für Cybersicherheit – mit Daten als Schlüsselelement. Sicherheitsmaßnahmen entwickeln sich zu einem Ökosystem virtueller Intelligenz, das aus Big Data lernt, die Verteidigungsmechanismen am Netzwerk-Perimeter in Echtzeit über neue Angriffsvektoren informiert und dann sicherheitsrelevante Daten sowohl vom Perimeter als auch von den Endpunkten sowie über den Datenverkehr des Netzwerks sammelt – in Echtzeit und über lange Zeiträume.

Die schiere Ausdehnung der Bedrohungslandschaft im Bereich der Cybersicherheit in Verbindung mit den Schwierigkeiten, die mit der Informationsüberlastung verbunden sind, zeigen, dass die Unternehmen Unterstützung benötigen. Dabei sollten die Anbieter von DDoS-Mitigation Services als "Geheimdienst" fungieren und Echtzeitinformationen über neue nationalstaatliche Bedrohungen für einen präventiven Schutz bereitstellen.

Automatisierung und Machine Learning

Angesichts der Agilität, die staatlich geförderte Hacker heute erreichen können, reichen menschliche Diagnose und Mitigation nicht mehr aus. Sie erfordert Anti-DDoS-Lösungen, die maschinelles Lernen mit negativen und positiven Sicherheitsmodellen kombinieren. Herkömmliche DDoS-Lösungen verwenden die Limitierung von Datenraten und manuelle Signaturerstellung, um Angriffe abzuschwächen, was zu einer erheblichen Anzahl von False Positives führt und neue Angriffsvektoren deutlich zu spät identifiziert.

Die Automatisierung und insbesondere das maschinelle Lernen überwinden die Nachteile dieser Ansätze durch die automatische Erstellung von Signaturen und die Anpassung der Schutzvorrichtungen an sich ändernde Angriffsvektoren. Das maschinelle Lernen nutzt fortschrittliche mathematische Modelle und Algorithmen, um grundlegende Netzwerkparameter zu betrachten, das Netzwerkverhalten zu bewerten, automatisch Angriffssignaturen zu erstellen und Sicherheitskonfigurationen und/oder -richtlinien anzupassen, um Angriffe abzuwehren