Der erste Teil der Security-Serie zeigte auf, welche Tools und Experten-Fähigkeiten ein Unternehmen benötigt, um Bedrohungen effektiv zu erkennen und professionell darauf zu reagieren. Der zweiten Teil beleuchtete, welche Prozesse vorhanden sein müssen, um proaktiv auf Bedrohungen innerhalb einer IT-Umgebung zu reagieren. Dieser dritte Teil soll nun konkrete Tipps vermitteln, wie ein Unternehmen ein erfolgreiches Sicherheitskonzept mit einem bedrohungszentrierten Ansatz entwickeln kann.
IT-Sicherheitskonzepte basieren heutzutage häufig auf der Annahme, dass sich Angreifer in ein Netzwerk einhacken, indem sie auf Anwendungs- oder Betriebssystemebene eine Software-Schwachstelle ausnutzen. Doch Unternehmen können sich nicht mehr nur auf schwachstellenbasierte Technik verlassen. Ein bedrohungsorientierter Ansatz hilft, Risiken zu verringern.
Ein schwachstellenbasierter Ansatz verlässt sich darauf, Angriffe auf Computer, Server oder Netzwerke zu erkennen und darüber zu informieren. Der Fokus liegt dabei fast ausschliesslich auf dem eingehenden (Inbound-)Netzwerkverkehr und achtet wenig auf den ausgehenden (Outbound-) und den seitlichen (internen) Netzwerkverkehr. Diese schwachstellenbasierte Betrachtung der Bedrohungen geht davon aus, dass jedes Unternehmen über die gleichen Schwachstellen angegriffen wird. Die Analyse der Angriffe erfolgt isoliert und stützt sich nur zu einem kleinen Teil auf Informationen zu diesen Bedrohungen und eine Beurteilung durch Experten.
Prävention alleine genügt nicht
Dieser Ansatz war in der Vergangenheit erfolgsversprechend und diente als Modell für die heutigen Compliance-Standards. Inzwischen ist dieser Ansatz jedoch bei weitem nicht mehr in der Lage, das Risiko durch aktuelle Hackerangriffe zu verringern. Klar ist auch, dass Prävention alleine nicht ausreicht, da die Cyberkriminellen kontinuierlich unterschiedliche Werkzeuge, Taktiken und Prozeduren verwenden, um Angriffe auszuführen.
Selbst in Unternehmen, die die optimalen Werkzeuge zur frühzeitigen Erkennung und Prävention besitzen, findet ein motivierter Angreifer letztendlich einen Weg in das Netzwerk. Unternehmen müssen zuerst einmal akzeptieren, dass sie über kurz oder lang gefährdet sind. Ist das geschehen, wollen die meisten Unternehmen erfahrungsgemäss ihre Ressourcen von rein präventiven Massnahmen zu einem bedrohungszentrierten Ansatz verlagern. Der bedrohungszentrierte Ansatz umfasst sowohl die Kosten- als auch die Risikoanalyse. Damit lässt sich untersuchen, ob die Sicherheit intern aufrechterhalten werden kann oder an externe Experten auszulagern ist. Insgesamt gibt es drei Schritte, die zu beachten sind:
1. Erfassen
Der Schritt der Erfassung beinhaltet eine Überprüfung, an welchen Stellen das grösste Risiko in einem bestimmten Unternehmen besteht. Es soll aufgezeigt werden, welche Risikofaktoren die grösste Bedrohung für die Unternehmensziele darstellen und welche Datenquellen und Verarbeitungsmethoden für die Erhebung von Daten – zum Beispiel für eine künftige Automatisierung der Abläufe – geeignet sind.
Im traditionellen schwachstellenbasierten Ansatz erfolgt die Erfassung in der Regel unfokussiert und ist nicht an Erkennungsziele gebunden. Die Tendenz besteht darin, dies zu überkompensieren und zu viele Daten zu sammeln. Dies erschwert die Rückschau zur Überprüfung der Angriffs-Indikatoren (IoA, Indicators of Attack) oder der Kompromittierungs-Indikatoren (IoC, Indicators of Compromise).
2. Erkennen
Methoden zum Nachweis von Angriffen müssen ebenfalls bedrohungszentrisch angelegt sein. Auf der Host-Ebene bedeutet dies, nach Verhaltensänderungen des Betriebssystems zu suchen: Verhält sich das Betriebssystem auffällig? Gibt es unautorisierte Zugriffe auf Dateien? Ist der Traffic anders als normal?
Das Sammeln und Speichern von Daten aus diversen Quellen in einem zentralen Verzeichnis reicht hierfür nicht mehr aus.
3. Analysieren
Die Analyse erfolgt, wenn ein Mitarbeiter die Alert-Daten interpretiert und untersucht. Dies beinhaltet das Sammeln von Ermittlungsdaten aus anderen Quellen sowie die Erforschung von Open-Source-Informationen, abhängig von der Art der Alarmmeldungen, die durch den Erkennungsmechanismus erzeugt wurden.
Des Weiteren werden in diesem Zusammenhang Recherchen an potenziell kompromittierten Hosts durchgeführt. Dabei ist es wichtig, dass ein Unternehmen interne oder externe Kompetenzen in Bereichen wie Netzwerkforensik oder Malware-Analyse zur Verfügung hat. Diese Phase ist in der Regel die zeitaufwändigste. Sie ist aber insofern nötig, als dass Unternehmen unbedingt feststellen können müssen, ob das analysierte Ereignis wirklich als risikoreicher Vorfall einzustufen ist, oder nicht. Im Anschluss können Unternehmen reaktive Massnahmen starten. Die Ergebnisse aus der Erkennungs- und Analysephase helfen schliesslich, die Strategien der Organisation zur Datensammlung weiter zu verfeinern und zu verbessern.
Herausforderungen bei der Implementierung
Ein bedrohungsorientierter Ansatz ist weitaus effektiver als herkömmliche Ansätze, wenn es darum geht, das Risiko von Datenverlust zu verringern und die Sicherheit und Integrität von Daten sicherzustellen. Die hierfür erforderlichen Fähigkeiten sind komplex und kostspielig für Unternehmen. Es erfordert etwa ein dediziertes 24x7x365 Security Operations Center (SOC) von Analysten mit spezialisierten Sicherheitskenntnissen. Das Finden dieser hochspezialisierten Sicherheitsexperten stellt nicht nur eine grosse Herausforderung dar, sondern ist auch teuer. Es empfiehlt sich für Unternehmen, insbesondere für KMU, deshalb oftmals, sich auf einen zuverlässigen Partner mit dem notwendigen Expertenwissen zu verlassen.
Fazit
Der bedrohungsorientierte Ansatz ist wichtig, um die Gefahren von heute und morgen zu bekämpfen. Unternehmen können sich nicht mehr ausschliesslich auf schwachstellenbasierte Technik verlassen und müssen eine Kosten- / Risikoanalyse durchführen, um festzustellen, wo ihre Schwerpunkte liegen.
In vielen Fällen, vor allem für Cloud-Implementierungen, kann es sinnvoller sein, diese Arbeit an einen Managed Services Provider auszulagern, der die notwendige Expertise im Security-Bereich mitbringt. Gleichzeitig müssen neben dem Personal auch Technologien vorhanden sein, um Bedrohungen proaktiv zu erkennen.