Cyberbedrohungen
ASRM: Ein risikobasierter Ansatz für die Cybersicherheit
Ein risikobasierter Cybersicherheitsansatz mit ASRM (Attack Surface Risk Management) ist entscheidend, um die IT-Assets effizient zu identifizieren, zu klassifizieren und proaktiv gegen sich ständig weiterentwickelnde Bedrohungen zu schützen.
Unternehmen sehen sich mit immer neuen, immer raffinierteren Bedrohungen konfrontiert, angesichts derer sich die traditionellen Schutzmethoden mit einheitlichen Sicherheitsmaßnahmen für alle Systeme als zunehmend unwirksam erweisen. Ein Paradigmenwechsel hin zu einem strategischeren und maßgeschneiderten Ansatz ist gefordert -- risikobasierte Cybersicherheit.
Eine Neubewertung der Methoden zum Schutz der Unternehmens-Assets sollte mit der Beantwortung folgender Fragen starten:
- Wie kann ein Unternehmen seine IT Assets in dieser sich ständig verändernden Umgebung effektiv identifizieren und sichern?
- Gibt es eine Möglichkeit, das Cyberrisiko in einer Weise zu quantifizieren, die mit den Unternehmensstrategien übereinstimmt?
- Wie lassen sich diese Risiken den Verantwortlichen vermitteln, sodass ein einheitliches Vorgehen bei der digitalen Verteidigung und der Verringerung der Unternehmensrisiken gewährleistet ist?
Schlüsselkomponenten
Um den neuen Ansatz zu verstehen, müssen seine Schlüsselkomponenten bekannt sein:
- Risikobasierte Identifizierung und Klassifizierung von Assets. Viele Unternehmen haben Probleme mit der Sichtbarkeit ihrer gesamten Angriffsfläche. Dies führt zu Problemen bei der Absicherung der Assets und Daten und erhöht die Anfälligkeit für Cyberangriffe.
- Risikobasierte Bedrohungsanalyse. Es ist von entscheidender Bedeutung, die aktuelle Bedrohungslage zu verstehen, um potenzielle Gefahren zu erkennen. Hier bedarf es der Analyse von Bedrohungen mit Schwerpunkt auf denjenigen, die das höchste Risiko für die kritischen Assets des Unternehmens darstellen.
- Risikobasierte Schwachstellenanalyse. Regelmäßige Scans und Tests sind unerlässlich. Dabei muss der Schwerpunkt auf den Schwachstellen liegen, die das größte Risiko darstellen.
- Risikopriorisierung. Dies ist entscheidend, um fundierte Entscheidungen zu treffen und die Auswirkungen von Investitionen und Cybersicherheitsaktivitäten zu verstehen.
- Implementierung von risikobasierten, gezielten Kontrollmechanismen. Hier geht es um die Implementierung von Zero Trust-Architekturen für eine effektive, wenn auch komplexe Risikopriorisierung.
- Kontinuierliche Überwachung und Verbesserung. Ein zentraler Überblick über die Angriffsfläche ist der Schlüssel für ein kontinuierliches Risikomanagement und die Anpassung an die sich entwickelnde Bedrohungslandschaft
Von reaktiver zu proaktiver Cybersicherheit
Die Einführung eines risikobasierten Ansatzes leitet den Wechsel von einer reaktiven zu einer proaktiven Cybersicherheit ein. Dies beinhaltet folgendes:
- Bedrohungen vorhersehen. Das bedeutet, potenzielle Bedrohungen und Schwachstellen zu antizipieren und nicht nur auf Vorfälle zu reagieren, nachdem sie eingetreten sind.
- Zuweisung strategischer Ressourcen. Durch die Priorisierung von Bedrohungen auf der Basis ihrer Risikostufen lassen sich die Ressourcen strategisch dort einsetzen, wo sie am dringendsten benötigt werden, um Sicherheitsverletzungen verhindern.
- Maßgeschneiderte Sicherheitsmaßnahmen. Die Implementierung von Kontrollmechanismen, die speziell auf den Schutz der wichtigsten Assets vor den wahrscheinlichsten Bedrohungen ausgerichtet sind, gewährleistet eine gezielte und effektive Verteidigungsstrategie.
- Verbesserte Situations-Awareness. Kontinuierliche Überwachung und Risikobewertungen bieten Echtzeiteinblicke in die Bedrohungslandschaft und ermöglichen es, sich anzupassen und proaktiv auf neue Bedrohungen zu reagieren.
- Pflegen einer proaktiven Kultur. Die Umstellung erfordert auch einen Kulturwandel im Unternehmen, hin zu einer Denkweise, die stets vorausschauend ist und sich auf potenzielle Herausforderungen bei der Cybersicherheit vorbereitet.
Angriffsflächen-Risikomanagement (ASRM)
ASRM (Attack Surface Risk Management) heißt kontinuierliche Erkennung, Bewertung und Verbesserung des Ökosystems der Unternehmens-IT. Dies unterscheidet sich von der Erkennung und Überwachung von Assets dadurch, dass das ASRM Sicherheitslücken aus der Perspektive des Angreifers bewertet, einschließlich der Risiken für Menschen, Prozesse und Technologien.
Die richtige ASRM-Lösung kann das Cyberrisikomanagement operationalisieren, das eine kontinuierliche Beherrschung der drei Phasen des Lebenszyklus des Angriffsrisikos erfordert: Erkennung, Bewertung und Eindämmung.
Erkundung von Cyber-Assets
In erster Linie bedarf es umfassender Transparenz, um bekannte, unbekannte, interne und dem Internet zugewandte (externe) Assets zu erkennen und kontinuierlich zu überwachen. Siloartige Einzellösungen für Vektoren wie Endpunkte, Nutzer, Geräte, Cloud und Netzwerke behindern eine Bestandsaufnahme und auch manuelle Audits. Zu bedenken sind auch neue Projekte mit Open-Source-Abhängigkeiten und Nutzer-/Gerätekonten die sofort eingesetzt werden sollen, d. h. es muss möglich sein, das gesamte Ökosystem, das sich stetig ändert, zu überblicken.
Ziel ist es, Einsichten zu erlangen, um Fragen wie diese zu beantworten:
- Welches ist meine Angriffsfläche?
- Wie gut kann ich sehen, welche Assets sich in meiner Umgebung befinden?
- Wie viele, welche Typen und welche Attribute sind mit diesen Assets verbunden?
- Welches sind meine wertvollen Assets?
- Wie verändert sich meine Angriffsfläche?
Risikobewertung
Sobald sichergestellt ist, dass das gesamte Ökosystem im Auge behalten werden kann, müssen die Sicherheitsteams alle Schwachstellen und Anfälligkeiten bewerten und priorisieren. Dies gilt nicht nur für die Systeme, sondern auch für die Nutzer. So sind beispielsweise Mitarbeiter der Führungsebene die häufigsten Ziele für die Business Email Compromise (BEC).
Darüber hinaus müssen auch die Prozesse auf Sicherheitslücken überprüft werden, denn Kampagnen nehmen zu, die auf Software Supply Chains und DevOps-Pipelines abzielen. Im Idealfall werden die Risikoinformationen mit Kontext versehen, um ein besseres Verständnis zu erlangen und Antworten auf die folgenden Fragen zu liefern:
- Kann ich mein Risiko quantifizieren? Wie hoch ist mein Gesamtrisiko?
- Steigt oder sinkt mein Risk Score im Laufe der Zeit?
- Wie sieht er im Vergleich zu anderen Unternehmen der Branche aus?
- Wo sehe ich die größten Sicherheitsrisiken?
- Welche Risikofaktoren müssen sofort beachtet werden?
Risikominderung
Neben der Erkennung und Bewertung von Risiken für die digitale Angriffsfläche ist es auch wichtig, umsetzbare, nach Prioritäten geordnete Empfehlungen zur Minderung zu erhalten. Virtuelles Patching, Änderung der Konfigurationsoptionen via Präventionskontrolle und Kontrolle der Zugriffsparameter von Nutzern sind nur einige Beispiele dafür. Des Weiteren sollte die Schadensbegrenzung so weit wie möglich automatisiert werden, um die Effizienz zu erhöhen und die Wahrscheinlichkeit eines erfolgreichen Angriffs oder einer Sicherheitsverletzung zu verringern.
Angesichts des Fachkräftemangels, der die Verwaltung Ihrer Angriffsfläche vor große Herausforderungen stellt, ist die Schaffung eines gemeinsamen Rahmens und einer einheitlichen Sichtweise für ein effektives Cyberrisikomanagement von größter Bedeutung. Hier kommen XDR und Zero-Trust-Strategien ins Spiel.
Die Bedeutung von XDR
Investitionen in XDR bedeuten, dass der Anwender über Daten, Analysen, Integration und Technologien verfügt, die als Grundlage für andere Anwendungsfälle dienen können und Einblicke und betrieblichen Nutzen über den Bereich der Erkennung und Reaktion hinaus bieten.
Eine proaktive Risikopriorisierung und -minderung kommt dem SOC zugute, da die Gesamtbelastung und das Ausmaß eines Sicherheitsvorfalls verringert werden. Dabei verschaffen die von XDR gesammelten Erkennungsdaten wertvolle Einblicke in die Aktivitäten von Bedrohungen auf der Angriffsoberfläche und zeigen, wie die aktuellen Abwehrmechanismen funktionieren. Dies wiederum kann als Grundlage für Risikobewertungen und Reaktionsempfehlungen dienen.
Zero Trust-Strategien
Proaktives Cyberrisikomanagement hängt von der Umsetzung von Elementen einer Zero-Trust-Strategie ab. Diese erweitert das Prinzip der geringsten Privilegien, bei dem jede Verbindung -- ob sie nun aus dem Netzwerk kommt oder nicht -- als nicht vertrauenswürdig angesehen werden sollte. Der Ansatz ist in der vernetzten, dezentralen Arbeitsumgebung, in der die Anzahl der verschiedenen Zugangspunkte oder Verbindungen zum Unternehmen gestiegen ist, sehr zu empfehlen.
Es muss ein fortlaufender Prozess sein, bei dem die Aktivitäten von Identitäten, Nutzern und Geräten sowie die Konfiguration von Anwendungen, Schwachstellen und Geräten ständig bewertet werden. Die Forderung nach einer kontinuierlichen Bewertung hat dazu geführt, dass viele SOCs zur Secure Access Service Edge (SASE)-Architektur übergegangen sind, die diskrete Funktionen wie Cloud Application Security Broker (CASB), Secure Web Gateway (SWG) und Zero Trust Network Access (ZTNA) für eine detailliertere Kontrolle über das Netzwerk kombiniert.
Fazit
Die Einführung eines risikobasierten Ansatzes in der Cybersicherheit ist nicht nur eine taktische Verlagerung, sondern angesichts der sich entwickelnden Cyberbedrohungen ein strategischer Imperativ. ASRM nutzt diesen Rahmen, um dabei zu unterstützen, die wertvollsten Assets effektiv zu schützen und die Cybersicherheitsbemühungen mit der Geschäftsstrategie in Einklang zu bringen.
