Compliance und Risiko
Cybersecurity und Widerstandsfähigkeit heute
Bieten die Themen rund um Automation, Risiko-Management, Systeme zur Angriffserkennung und Zero-Trust neben technischen Finessen und neuen Funktionen tatsächlich Mehrwert für das Business?
Save to Folio
Automatisierung, Unterstützung durch künstliche Intelligenz, der Faktor Mensch durch mehr und mehr Services sind alles Schlagworte, die die Unternehmenssicherheit verbessern und einen Geschäftsmehrwert bieten sollen. Doch betrachtet man diese Themen genauer, so muss sich die Frage stellen, ob sie tatsächlich die Widerstandsfähigkeit eines Unternehmens erhöhen.
Automatisierung in der Security
Infrastruktur-(Voll)-Automatisierung begleitet die IT seit nunmehr über 15 Jahren, von der Softwareverteilung und dem Konfigurationsmanagement bis hin zur Bereitstellung ganzer (virtueller) Testumgebungen und gar Rechenzentren in der Cloud. Entsprechend wird auch in der Security mehr und mehr Automatisierung angewendet, um Personalmangel zu bekämpfen und die Sicherheitsqualität zu steigern.
Einfache Erkenntnisse und Entdeckungen auszuwerten ist bereits leicht möglich. Dort, wo der Mensch jedoch einen False Positive (Fehlerkennung) von einem True Positive (tatsächlicher Vorfall) unterscheiden muss, wird es kniffliger.
Analog zur Infrastrukturautomatisierung gilt aber auch hier: Einfache und durch häufige Wiederholungen charakterisierte Aufgaben/Häufungen sind ideal für die Sicherheitsautomaten. Entsprechend kann beispielsweise ein Security Orchestration, Automation and Response (SOAR)-System jede Erkennung auf einem IDS (Intrusion-Detection System) mit einem Ticket bearbeiten und als Sicherheitsvorfall vollautomatisiert dokumentieren. Bei weiteren Häufungen lässt sich ein Problem-Ticket mit manueller Intervention erstellen. Häufig werden die Tickets und Events aufgrund der schieren Masse schlicht ignoriert und so blinde Flecken in der Angriffsfläche akzeptiert.
Was bedeutet dies für das Geschäft? Mehr schaffen mit weniger Ressourcen und trotzdem Qualität bieten. Eine Unterstützung vorhandener Fähigkeiten durch künstliche Intelligenz (Kontext, Analyse-Unterstützung und Handlungsempfehlungen) stärkt weiter die Effizienz. Die operativen Kosten werden davon positiv beeinflusst, während das Gesamtrisiko eines erfolgreichen Cyberangriffs reduziert wird. Damit steigt also die Widerstandsfähigkeit eines Unternehmens, einschließlich aller positiven Nebeneffekte.
Widerstandskraft steigern durch Risikomanagement
Proaktive Maßnahmen im Cyber-Risikomanagement helfen dabei, die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs auf die Infrastruktur einzuschätzen – also zu qualifizieren, zu quantifizieren und dann zielführend zu kommunizieren. Das heißt, Stakeholder von IT-affinem Personal bis hin zur Geschäftsführung erhalten für sie verständliche Informationen zum aktuellen Resultat ihrer Investitionen in die Cyber-Security.
Das heißt in erster Linie, dass eine Organisation durch die Qualifizierung eine flächendeckende Suche nach digitalen Assets (digitale Identitäten und Assets) und eine gezielte Analyse nach Schwachstellen und Fehlkonfigurationen etabliert. Im nächsten Schritt lässt sich dann mit der Quantifizierung der Kontext hinzufügen. Man startet also mit einer Analyse der gefundenen Objekte und bezieht dabei die Erkenntnisse über laufende Angriffsmuster (Indicators of an Attack) ein und nutzt auch das globale Bedrohungswissen. Hierbei wird berücksichtigt, welche gefundenen Schwachstellen und Fehlkonfigurationen tatsächlich aktiv von Angreifern ausgenutzt werden und welche Kritikalität darzustellen ist. Als Ergebnis ergibt sich eine Quantifizierung des Risikos pro Identität und Asset.
Was nun einfach klingt, scheitert in der Realität nur allzu häufig an der zielgruppenorientierten Kommunikation der vorgefundenen Situation. Der Cyber Risk Index zeigt im zeitlichen Verlauf Trends auf, die Aufschluss über die Effektivität und Effizienz des eigenen Sicherheitsbetriebs sowie der Maßnahmen zur Risikominderung und Abwehr von Angreifern im Tagesgeschäft geben. Ziel ist es, verständlich zu artikulieren, welche Aktivitäten einen maximalen Einfluss auf die Stärkung der Resilienz haben, so dass Entscheider im Unternehmen einen Eindruck dafür bekommen, wie sich Investitionen auszahlen.
Systeme zur Angriffserkennung
Das Hauptziel von Systemen zur Angriffserkennung liegt darin, potenzielle Angriffe auf IT-Infrastrukturen, Netzwerke oder Systeme frühzeitig zu erkennen, bevor sie Schaden verursachen können. Hierbei geht es um die Etablierung einer flächendeckenden Reaktionsfähigkeit. Durch die Sammlung und Korrelation von Telemetriedaten und Erkennungen auf den unterschiedlichen Assets (insbesondere Identitäten, Email, Endpoints und Netzwerktelemetrie im Rechenzentrum und in der Cloud, sowie OT Umgebungen im Industrie-Umfeld) werden Angriffsbewegungen identifiziert, verfolgt und angemessene Gegenmaßnahmen eingeleitet.
Es gilt, entsprechende Systeme zur Extended Detection & Response (XDR), SOAR oder SIEM zu etablieren um folgendes zu erreichen:
- Früherkennung von Bedrohungen und damit Risikominimierung: Durch frühzeitige Identifikation der Bewegungen von Angreifern können diese rechtzeitig isoliert werden, um das Risiko von Datenverlust, Betriebsunterbrechungen und anderen Auswirkungen einzudämmen.
- Verbesserung der Compliance: Versicherer und Gesetzgeber haben strenge Vorschriften und Compliance-Anforderungen in Bezug auf die Sicherheit von IT-Infrastrukturen und den Schutz sensibler Daten. Systeme zur Angriffserkennung helfen, diese Anforderungen zu erfüllen, indem sie Sicherheitsvorfälle identifizieren und dokumentieren.
- Gestärktes Sicherheitsbewusstsein: Durch die Implementierung von Angriffserkennungssystemen zeigen Unternehmen ihren Kunden, Partnern und Mitarbeitern, dass sie die Sicherheit ernst nehmen.
- Effiziente Ressourcennutzung: Die Systeme können dazu beitragen, die Effizienz der Sicherheitsmaßnahmen zu verbessern, indem sie personelle Aufwände und Zeitaufwände gezielt reduzieren, da sie Technologien für die forensische Analyse und Reaktionsfähigkeit etablieren und schnelle Reaktionen unterstützen – häufig auch durch 24/7 Unterstützung von Dienstleistungsanbietern. Sie bieten einen ganzheitlichen Ansatz zur reaktiven Sicherung von Unternehmensressourcen.
Zero Trust-Architekturen
Zero Trust-Architekturen heben die Sicherheit auf eine neue Ebene. Im Wesentlichen bedeutet Zero Trust, Misstrauen gegenüber Jedem und Allem, selbst innerhalb des eigenen Netzwerks und der eigenen Belegschaft (bzw. den digitalen Identitäten) zu hegen. Folgende Vorteile enstehen durch diese Architekturen:
- Maximierung der Sicherheit: Zero-Trust-Prinzipien minimieren das Risiko von Datenlecks und unbefugtem Zugriff, indem sie jeden Zugriffsversuch auf kritische Systeme oder Daten gründlich und kontinuierlich prüfen, unabhängig davon, ob der Zugriff von innen oder außen erfolgt.
- Schutz vor Innentätern: Das Konzept macht keine Ausnahme bei internen Nutzern. Generell wird die Vertrauenswürdigkeit interner Nutzer oder Geräte geprüft, um das Risiko von fahrlässigen oder vorsätzlichen Aktivitäten zu mindern.
- Flexibilität für mobiles Arbeiten und verteilte Infrastrukturen: Die Architektur ermöglicht es Unternehmen, sicherer mit mobilen und Remote-Mitarbeitern umzugehen. Auch die Verbindungen zu Dritten (B2B, Supply Chain) werden über die Etablierung dieser Prinzipien effizient adressiert.
- Compliance und Datenschutz: Strikte und kontinuierliche Prüfung von Zugriffsanforderungen und die Dokumentation aller Aktivitäten helfen Unternehmen dabei Compliance-Anforderungen zu erfüllen und die Einhaltung von Datenschutzrichtlinien nachzuweisen.
- Widerstandsfähigkeit gegen Angriffe: Selbst wenn ein Angreifer Zugriff auf ein einzelnes System oder Gerät erlangt, begrenzt die Zero Trust-Architektur den Schaden, da der Zugriff auf andere Teile des Netzwerks oder der Datenbanken fortlaufend geprüft wird.
Alles in allem bieten Zero Trust-Architekturen Unternehmen eine umfassende und fortschrittliche Sicherheitsstrategie, die sich auf das Wesentliche konzentriert: Misstrauen gegenüber allem und jedem und die Annahme, dass es längst zu einer Kompromittierung gekommen sein könnte. Die Integration mit Risikomanagementlösungen und Systemen zur Angriffserkennung ist hierbei die Grundlage für die Ablösung klassischer Firewall-/VPN-Konzepte.
Wichtig ist: Zero-Trust ist kein Produkt, sondern ein Zusammenspiel einer Kultur und zeitgemäßer Lösungen und Konzepte, die zu mehr Resilienz führen.
Was bringt ein Single Agent?
Der Single Agent-/Single Console-Ansatz wird immer wieder als „Marketing-Sau“ durchs Dorf getrieben. Warum ist dies überhaupt relevant? Für verschiedene Zwecke, wie bspw. Telemetrie-Sammlung (für XDR), Endpoint Security (EDR, Anti-Malware, Host-IPS) und Zero Trust-Überprüfungen wird nur ein Stück Software verwendet:
- Diese Software wird einmalig paketiert und verteilt, während die jeweiligen Module nur noch eingeschaltet oder deaktiviert werden.
- In alternativen Ansätzen wären dies bis zu drei Pakete für die genannten Anwendungszwecke.
- Im Support-Fall steht ein Anbieter zur Verfügung. Da alle Pakete einen hohen Zugriffs-Level auf die unterliegenden Systeme haben, ist eine Interferenz zwischen den Lösungen und ein Hin und Her beim Support mit Schuldzuweisungen häufig das Leid des IT Betriebs auf der Suche nach Hilfe zu einem akuten Problem.
- Die einheitliche Konsole für alle drei genannten Lösungen bietet Effektivität und Effizienz für den IT Betrieb. Ein Hersteller bedeutet eine Plattform, ein einheitlicher Wortschatz für Lösungen und Funktionen und nicht zuletzt einen Ansprechpartner.
Auch aus Geschäftssicht gibt es einige Mehrwerte: Es existiert ein einziger Vertrag für die genannten Lösungen (Skaleneffekt und Herstellerkonsolidierung möglich), sowie klare Zuständigkeiten im Support und Business-Continuity Prozess.
Hierdurch werden betriebliche Effizienzen gehoben und durch die Punkte in der IT-Sicht werden wir zu guter Letzt einen positiven Effekt auf die operativen Kosten und die Zufriedenheit des IT Betriebes feststellen, durch die Konsolidierung, Standardisierung und Vereinfachung im alltäglichen Betrieb. Dies bietet zeitgleich die Gelegenheit das Thema Cybersecurity strategisch / partnerschaftlich zu denken.
Die Trend Vision One Platform ist die Instanziierung der oben genannten Gedankengänge. Ziel ist es, Sicherheitsbedrohungen proaktiv, wie reaktiv, automatisch zu analysieren, sie nach ihrer Dringlichkeit zu sortieren und entsprechende Alarmierungen auszulösen. Das bedeutet, dass Kunden sofort über potenzielle Risiken informiert werden, ohne dass sie manuell eingreifen müssen. Diese Automatisierung spart nicht nur Zeit und Ressourcen der Mitarbeiter, sondern erhöht auch die Reaktionsgeschwindigkeit bei Sicherheitsvorfällen.