Illustration: Absmeier, ThePixelman

IT-Teams sind nicht selten gezwungen, ihr Unternehmen aus einer siloartigen Infrastruktur heraus gegen Cyberangriffe zu verteidigen. Das liegt daran, dass das verfügbare Sicherheitsarsenal größtenteils aus Tools besteht, die für den Schutz ganz bestimmter Systeme und Anwendungen entwickelt wurden. Mit anderen Worten: Die eine Lösung wird eingesetzt, um Cloud-Workloads abzuschotten, während sich eine andere primär darauf konzentriert, Angriffe auf Endpunkte zu verhindern.

Natürlich beeinflusst das die Abwehrstrategie des jeweiligen Unternehmens und zwingt es, Angriffe als singuläre, voneinander isolierte Ereignisse zu betrachten. In einer Bedrohungsumgebung, in der Cyberkriminelle eine Vielzahl von Techniken einsetzen und zahlreiche Benutzer sowie Geräte gleichzeitig angreifen, ist diese Sichtweise kontraproduktiv und führt fast unweigerlich dazu, dass Sicherheitsabteilungen ins Hintertreffen geraten.

Denken Sie an die jüngsten SolarWinds-Angriffe auf die Lieferketten (http://bit.ly/3uHq06U). Monatelang waren die Angreifer in den Systemen unterschiedlicher Unternehmen aktiv. Und bei jeder dieser Aktivitäten haben sie Spuren ihrer Anwesenheit hinterlassen. Nur, dass die Beweise schnell in dem schier endlosen Strom nicht zueinander korrelierter Alarme untergegangen sind. Ohne den nötigen Kontext, um die einzelnen Angriffe richtig zuordnen zu können, blieb das Ausmaß der globalen Operation weitgehend unentdeckt.

Leider arbeitet die überwiegende Mehrzahl der herkömmlichen Sicherheitstools alarmzentriert. Sie spucken in endloser Folge Meldungen aus und warnen bei so gut wie jeder verdächtigen Aktivität im System. Allerdings ohne wirklich wertvolle Erkenntnisse zu liefern. Vielmehr liegt die Last auf den Schultern der Verteidiger. Denn die müssen beurteilen, wie jedes Ereignis mit einem anderen zusammenhängt.

So vorzugehen ist schlicht und ergreifend ineffizient.

Jedes Ereignis macht manuelle Eingriffe notwendig, was das Risiko menschlicher Fehler erhöht und die Fähigkeit eines Unternehmens, sicher zu skalieren, einschränkt. Einzelne Angriffe zu beheben, hilft immer nur vorübergehend. Komplexe Netzwerkinfrastrukturen mit einem alarmzentrierten, isolierten Ansatz zu schützen, schafft Cyberkriminellen einen großzügigen Spielraum, um tief in das Netzwerk einzudringen. Jeder Versuch, einen Angriff zu erkennen, nachzuverfolgen oder zu beseitigen, wird erschwert bis nahezu unmöglich gemacht. Alarmzentrierte Ansätze treiben Unternehmen in eine unerbittliche Spirale, weil sie nur Symptome bekämpfen, aber nicht die Ursache.

Jedes Jahr geben wir mehr Geld für Sicherheit aus, und dennoch hinken wir Cyberkriminellen immer einen Schritt hinterher. Um einen Angriff effektiv abzuwehren, gilt es, die Bedrohung schnell zu erkennen und geschickt abzuwehren. Noch wichtiger ist, dass ein Unternehmen darauf vorbereitet ist, einen erst kommenden Angriff abzuwehren. Sicherheitsteams sollten innerhalb von Minuten auf eine Bedrohung reagieren und sie beseitigen können. Und nicht erst innerhalb von Tagen oder Wochen. Verteidiger müssen schneller denken, sich anpassen und handeln, ehe ein Angreifer seinerseits die Taktik anpasst.

Ein operationszentrierter Ansatz ist eher geeignet, Unternehmen an dieser Stelle zu unterstützen. Diese Vorgehensweise ermöglicht es nämlich, einen Angriff von den Grundzügen bis hin zum eigentlichen Zugriff auf betroffene Endpunkte zu erfassen. Durch mehrstufige Visualisierungen bekommen die Verteidiger Einblick in die Einzelheiten eines Angriffs über alle Geräte und Benutzer hinweg, und das in Echtzeit. Dies erlaubt eine ebenso schnelle wie angemessene Reaktion, bevor sich aus einem Angriff eine veritable Datenschutzverletzung entwickelt.

Darüber hinaus erlaubt es ein operationszentrierter Ansatz eine Reihe von Response-Optionen zu automatisieren. In Zeiten andauernden Fachkräftemangels können Sicherheitsabteilungen und Teams sich auf strategische, zeitsparende Sicherheitsinitiativen konzentrieren, statt Alarme abzuarbeiten.

Und schließlich muss die angebotene Intelligenz auch umsetzbar sein, damit sie wirklich nützlich ist. Herkömmliche Produkte sind weder in der Lage, wertvolle Daten zu verarbeiten und zu speichern, noch können sie diese Daten sofort für weitere Analysen bereitstellen. Wer unwillentlich potenzielle Schlüsselindikatoren eines Angriffs herausfiltert, macht sich angreifbar.

Fazit: Wer den Zeitaufwand für das Erkennen und Beseitigen von Angriffen senken und Ressourcen für effektivere Sicherheitsinitiativen freischaufeln will, der kommt an einem operationszentrierten Ansatz nicht vorbei. Mit seiner Hilfe können Unternehmen den Spieß umdrehen und sich gegen zukünftige Bedrohungen wappnen.

Yossi Naar, Cybereason

520 Artikel zu „Sicherheit Silo“

NEWS | TRENDS SECURITY | DIGITALISIERUNG | TRENDS 2016 | IT-SECURITY

Silodenken in der IT-Sicherheit erzeugt Schwächen und steigert die Kosten

18. Oktober 2016

Kein ganzheitlicher Umgang mit den zahlreichen Teilbereichen vom Risiko- bis zum Business Continuity Management. Integrierter Ansatz könnte Aufwand für Projekte und Betrieb deutlich reduzieren und ein höheres Sicherheitslevel erzeugen. Der ganzheitliche Umgang mit den verschiedenen Teilbereichen der IT-Sicherheit gehört gegenwärtig noch zur Ausnahme. Meist befinden sie sich nach einer Erhebung der CARMAO in verschiedenen Verantwortlichkeiten,…