Echtzeit-Bedrohungsanalysen
Vectra warnt vor unentdeckten Eindringlingen in Firmennetzen
Klaffende Lücken in Sicherheitskonzepten
In den vergangenen Jahren hat sich die Wahrnehmung der Cyber Security in der Geschäftswelt nach Meinung von Vectra erfreulicherweise verändert. Immer mehr Unternehmen erkennen heute, dass Sicherheit eine strategische Priorität ist. Dieser Gesinnungswandel spiegelt sich in einem stetigen Anstieg der Investitionen in Sicherheitsmaßnahmen wider. Die neueste Prognose von Gartner geht davon aus, dass die weltweiten Ausgaben für Produkte und Dienstleistungen im Bereich der Informationssicherheit im Jahr 2019 bei über 124 Milliarden US-Dollar liegen wird, was einem Anstieg von 8,7 Prozent gegenüber 2018 entspricht.
„Während die Erhöhung des Sicherheitsbudgets eine gute Sache ist, konzentrieren sich die meisten dieser Investitionen auf präventive Maßnahmen. Somit besteht die Tendenz, andere Bereiche zu übersehen, die für einen robusten Sicherheitsstatus von entscheidender Bedeutung sind. Üblicherweise verfolgen Unternehmen einen „Great Wall“-Ansatz, der sich auf defensive Technologien wie Firewalls, Anti-Virus, Web-Proxys und Malware-Sandboxes konzentriert“, berichtet Gérard Bauer, VP EMEA bei Vectra , einem Anbieter von Cyber Security auf Grundlage künstlicher Intelligenz. „Diese Strategien zielen darauf ab, sicherzustellen, dass Malware und andere bösartige Aktivitäten beim ersten Angriff neutralisiert werden, bevor der Angreifer in der Lage ist, Fuß zu fassen und dem Unternehmen zu schaden.“
Unentdeckte Cyberangreifer, die sich bereits im Netzwerk eingenistet haben, stellen eine erhebliche Gefährdung für Unternehmen dar. Diese eklatante Lücke in der Cybersicherheit gilt es zu schließen
Es ist zwar sicherlich von Vorteil, diese Eindringlinge zu minimieren, aber früher oder später kommt auch die Einsicht, dass es unmöglich ist, jeden Angriff mit 100-prozentiger Sicherheit zu verhindern. Unternehmen kommen an einen Punkt, an dem der Bau einer immer höheren Mauer diese nicht unbedingt effektiver macht. Gut organisierte Angreifer entwickeln ständig neue Techniken, um defensiven Kontrollen auszuweichen. Bedrohungen wie Zero-Day-Malware, die bisher unbekannte Schwachstellen ausnutzt, können sehr schwer zu identifizieren sein. Hartnäckige und qualifizierte Gegner finden letztlich immer einen Weg, die Verteidigung zu besiegen oder zu umgehen.
Indem sich Unternehmen übermäßig darauf konzentrieren, das Durchkommen von Angreifern zu verhindern, werden sie nach Meinung von Vectra blind und verwundbar. Gelingt es einem Angreifer, die Abwehrsysteme zu durchdringen und auf geschäftskritische Systeme zuzugreifen, bleibt dies oft unbemerkt – für längere Zeit.
Eine riskante Lücke
Die Verweildauer des Angreifers im System ist die entscheidende Lücke zwischen dem Zeitpunkt, zu dem sich ein Angreifer erfolgreich der Verteidigung entzieht, um sich im System einzunisten, und dem Punkt, an dem er entdeckt wird. Der M-Trends 2018 Report weist darauf hin, dass diese Verweildauer einem Median von 101 Tagen entspricht. Dies bedeutet, dass den Eindringlingen mehr als drei Monate Zeit bleibt, um sich ungestört im Netzwerk umzusehen. Während dieser Zeit können sie eine beliebige Anzahl von bösartigen Aktivitäten ausführen. Dies bedeutet vor allem, dass sie sensible und geschäftskritische Daten stehlen, beschädigen oder zerstören, die Umgebung auskundschaften, sich seitlich durch das Netzwerk bewegen und sich Zugriffsrechte aneignen können. Ebenso besteht die Möglichkeit, dass sie den Geschäftsbetrieb stören, Daten manipulieren oder ganze Systeme kapern, die sie dann für Angriffe auf externe Ziele oder Betrugsdelikte missbrauchen.
Versierte Cyberangreifer verschlüsseln ihre Kommunikation und nutzen versteckte Tunnel. Da sie sich sehr effektiv verstecken können, ist es extrem schwierig, ihre Aktivitäten zu erkennen oder zu analysieren. In den meisten Fällen werden Unternehmen, die von einem Angriff betroffen sind, erst dann auf das Eindringen aufmerksam, wenn der Schaden bereits eingetreten ist. Tatsächlich zeigt der M-Trends 2018 Report auf, dass 62 Prozent der Unternehmen zum ersten Mal durch einen Dritten auf eine Sicherheitsverletzung aufmerksam gemacht wurden.
„Eine Sicherheitsstrategie, die sich zu sehr auf Prävention konzentriert, kann auch Ressourcen binden, wenn sich die Angreifer festsetzen. Sicherheitsteams verbrennen viele Arbeitsstunden damit, die große Anzahl von Warnungen, die täglich auftreten, manuell zu validieren, zu korrelieren und zu überprüfen. Die Isolierung einer neu entdeckten Bedrohung kann zu einem mühsamen Tag des Durchforstens eines riesigen Datendickichts führen“, berichtet Gérard Bauer von Vecra. „Zudem sind qualifizierte Analysten erforderlich, um die Protokolle von Sicherheits-Appliances und -Tools zu verstehen. Genau diese Fachkräfte machen sich rar auf dem Arbeitsmarkt. So soll laut einer Prognose von Frost & Sullivan der Fachkräftemangel weiter steigen, was bis 2022 allein in Europa über 350.0000 unbesetzte Sicherheitsjobs bedeuten würde.“
Unternehmen müssen ihren Fokus daher weg von der Prävention hin zur Erkennung und Entschärfung aktiver Bedrohungen verlagern. Nur so können sie die aktuelle Cybersicherheitslücke schließen und die Chancen verringern, dass ein Eindringling monatelang im Netzwerk verweilt und unentdeckt bleibt. Einer der wichtigsten Schritte ist hierbei die Fähigkeit, Bedrohungen in Echtzeit zu erkennen. Aufgrund der hohen Anforderungen, die diese Arbeit an qualifizierte und erfahrene Sicherheitsmitarbeiter stellt, ist die größtmögliche Automatisierung dieses Prozesses unverzichtbar.
Die letzten Jahre haben bahnbrechende Innovationen in den Bereichen Data Science, maschinelles Lernen und Verhaltensanalyse hervorgebracht. Diese Fortschritte haben wiederum die Etablierung hocheffizienter und zuverlässiger automatisierter Lösungen zur Bedrohungserkennung möglich gemacht. Ein gutes automatisiertes Bedrohungsmanagementsystem kann die Phasen eines aktiven Cyberangriffs bereits bei seiner Entwicklung erkennen. Typische Verhaltensmuster sind hier Command-and-Control, interne Auskundschaftung, seitliche Bewegung im Netzwerk, der Missbrauch von Berechtigungen, Datenexfiltration sowie Botnet- oder Cryptomining-Aktivitäten.
Intelligenter arbeiten
Da die Anzahl und Komplexität der Cyberangriffe zunimmt, ist das vielleicht nützlichste Merkmal einer automatisierten Lösung die schiere Menge an Daten, die sie bewältigen kann. Das Durchsuchen von Warnungen und Protokollen, um die versteckten Details zu entdecken, die auf eine Bedrohung hinweisen, ist für einen Menschen äußerst mühsam. Eine automatisierte Lösung kann aber große Datenmengen durchforsten, ohne zu ermüden oder Fehler zu machen.
Insbesondere die Analyse des Verhaltens von Angreifern wird immer wertvoller, um Bedrohungen zu erkennen. Diese fokussierte Herangehensweise bedeutet, dass selbst wenn der Angreifer bislang unbekannte Malware verwendet und seine Spuren mittels verschlüsseltem Datenverkehr versteckt, bestimmte bösartige Verhaltensweisen immer zu beobachten sind. Dies gilt unter der Voraussetzung, dass bekannt ist, wonach zu suchen ist, und der Fähigkeit, diese Spuren auch zuverlässig zu finden. Entscheidend ist, dass der interne Netzwerkverkehr analysiert wird. Durch die alleinige Fokussierung auf den Verkehr, der den Perimeter durchquert, werden Eindringlinge übersehen, die interne Aufklärung im Netzwerk durchführen oder Malware verbreiten und sich Zugriffsrechte aneignen.
Unternehmen, die in der Lage sind, eine automatisierte, detaillierte Bedrohungsanalyse in Echtzeit durchzuführen, haben eine weitaus größere Chance, Anzeichen von bösartigen Aktivitäten in ihrem Netzwerk zu erkennen. Menschliche Fähigkeiten wie Kreativität, Intuition und die Vermittlung von umfassendem Wissen und organisatorischen Kontext werden jedoch weiterhin im Mittelpunkt einer effektiven Cybersicherheitspraxis stehen.
„Wenn genau diese Fähigkeiten mit modernen KI-Tools ergänzt werden, können Cybersicherheitsexperten heute in einem Tempo und mit einer Effizienz arbeiten, die sie im Alleingang niemals erreichen könnten. So ist in der Cybersicherheitspraxis eine Reduzierung des Arbeitsaufwands um das 37-Fache und mehr zu beobachten. Die Fähigkeit, aktive Angriffe in Echtzeit zu erkennen und darauf zu reagieren, macht den Unterschied aus zwischen einem überschaubaren Sicherheitsvorfall und einem gravierenden erfolgreichen Angriff auf das Netzwerk“, fasst Gérard Bauer abschließend zusammen.