Tote Winkel in der Sicherheit ausleuchten: Was SOCs wissen müssen
View infographic of "Steering Clear of Security Blind Spots"
Im Zuge der kontinuierlichen Weiterentwicklung und Ausweitung von Technologien erleben Unternehmen ein technologisches Paradoxon: Zunehmende Interkonnektivität bedeutet, dass Unternehmen gleichzeitig stärker verteilt arbeiten. Ein Beispiel: Robuste Cloud- und Netzwerktechnologien unterstützen die weit verbreiteten hybriden und dezentralen Arbeitsformen.
Quelle:
US Bureau of Labor Statistics
Quelle:
US Bureau of Labor Statistics
Quelle:
UpWork
Quelle:
McKinsey & Company
Die Beliebtheit dieser Arbeitsmodelle hat die Verbreitung moderner und verteilter Systeme vorangetrieben. Gleichzeitig vergrößert die breite Einführung solch komplexer Infrastrukturen ungewollt die Angriffsfläche, die Cyberkriminelle mit immer raffinierteren Ransomware-Angriffen und Social-Engineering-Betrügereien nutzen können.
Um dem entgegenzuwirken und ihre Daten und Systeme vor sich entwickelnden Bedrohungen und Risiken zu schützen, setzen viele Unternehmen eine ganze Reihe von Cybersicherheits-Tools ein. Der Nachteil: Sie schaffen mit dieser Strategie unbeabsichtigt Silos, die größere und kostspieligere Probleme verursachen.
Die Organisationen haben durchschnittlich 45 verschiedene Cybersicherheitslösungen in Betrieb, viele sogar noch mehr. Doch Sicherheit ist keine Frage von Quantität vor Qualität: Es hat sich gezeigt, dass Teams, die mehr als 50 Tools verwenden, Angriffe um 8% weniger effektiv erkennen und um 7% weniger effektiv darauf reagieren.
Mehr Cybersicherheitslösungen bedeuten auch mehr Warnungen, und damit steigt auch die Belastung für Security Operations Center (SOC). Umfangreiche Informationen, Fehlalarme und Warnmeldungen – einschließlich so genannter „grauer Warnmeldungen“– können zu Alarmmüdigkeit und Überlastung der Mitarbeiter führen.
Im Rahmen einer Trend Micro-Umfrage unter IT- und SOC-Teams von 2021 erklärten von den Befragten,
Quelle: Trend
In der DFIR-Umfrage „State of Enterprise“ von 2023 gaben 54% der Digital Forensics 6 Incident Response (DFIR)-Teams an, sich ausgebrannt zu fühlen, 64% sagten, dass die Alarm- und Untersuchungsüberlastung ihren Stress erhöhten. Zu Alarmüberlastung kommt es, wenn globale Security Operations Centers (GSOCs) einer permanenten Datenflut ausgesetzt sind. Die schiere Menge an Daten, gepaart mit ständigen Fehlalarmen, kann wichtige Warnungen überdecken und sich negativ auf die Effektivität, Genauigkeit und das Wohlbefinden der SOC-Mitglieder auswirken.
Der durchschnittliche Arbeitstag eines SOC-Teams:
4.484 Warnungen (ein Alert alle 6,42 Sekunden an einem achtstündigen Arbeitstag)
Fast drei Stunden Zeitaufwand, Warnungen manuell zu selektieren (37,5% eines achtstündigen Arbeitstages).
67% der ankommenden Alerts können nicht bearbeitet werden.
Quelle: Help Net Security
Warnungsüberlastung kann für Unternehmen sehr kostspielige und rufschädigende Folgen haben. Man denke an den Fall des Supply-Chain-Angriffs auf die Kommunikationssoftware 3CX Ende März 2023. Die Untersuchung des Angriffs durch Cybersecurity-Experten ergab, dass 3CX-Benutzer und das 3CX-Support Team offenbar Sicherheitswarnungen über den Angriff schon Tage vor seiner Aufdeckung ignorierten, möglicherweise weil sie davon ausgingen, dass es sich um Fehlalarme handelte, da sie in der Vergangenheit schon viele davon erhalten hatten.
Dieser Artikel soll SOC-Teams helfen, Burnout zu minimieren und ihre Aufmerksamkeit, Zeit und Energie auf das Wesentliche zu konzentrieren – potenzielle Sicherheitslücken oder Angriffsflächen, die Unternehmen große und kostspielige Kopfschmerzen bereiten können.
TOTE WINKEL IN DER SICHERHEIT FÜR CISOs SICHTBAR MACHEN
Silos und Burnout verhindern ist herausfordernd, aber machbar
Die Überlastung der SOCs ist kein neues Phänomen, aber eines, das mit der zunehmenden Komplexität der Umgebungen und fortschrittlicheren und weitreichenderen Bedrohungen noch zunimmt.
Die Lösung des Problems ist keine leichte Aufgabe. Führungskräfte müssen mit den SOC-Teams kommunizieren und zusammenarbeiten, um Stress abzubauen, Kennzahlen und Aktionspunkte festzulegen und Hindernisse für die Produktivität zu identifizieren.
Organisationen müssen auch in Sicherheitslösungen investieren, die ihre Teams dabei unterstützen, stressige und zeitaufwändige Aspekte der Arbeit, die automatisiert werden können, wie z. B. die Berichterstellung und das Durchsuchen von Unmengen von Informationen und Warnmeldungen, effektiver zu bewältigen, damit sie sich auf die Analyse und Eindämmung von Bedrohungen konzentrieren können.
Trend Vision One™, eine Cloud-native Sicherheitsplattform, die Cloud-, hybride und lokale Umgebungen bedient, kann SOC-Teams dabei helfen, Silos aufzubrechen und ihre Sicherheitslage zu verbessern. Die Lösung kombiniert Angriffsoberflächen-Risikomanagement (ASRM) und erweiterte Erkennung und Reaktion (XDR) in einer einzigen Konsole, um Cyber-Risiken im gesamten Unternehmen effektiv zu verwalten und es mit leistungsstarken Risikoeinblicken, früherer Bedrohungserkennung und automatisierten Risiko- und Bedrohungsreaktionsoptionen auszustatten.
Trend Vision One bietet die umfassendste native XDR-Sensorabdeckung im Markt. Der native, hybride Ansatz der Plattform für XDR und ASRM nützt Sicherheitsteams, weil er umfassendere Telemetriedaten zur Aktivität – nicht nur Erkennungsdaten – über Sicherheitsebenen hinweg mit vollständigem Kontext liefert. Dies führt zu einer früheren, präziseren Risiko- und Bedrohungserkennung und einer effizienteren Untersuchung.
Herausforderungen bei Visibilität in hybriden und Multi-Cloud-Umgebungen
Unternehmen setzen heutzutage weitgehend auf hybride Umgebungen (private und öffentliche Cloud-Services) und Multi-Cloud-Umgebungen (Cloud-Services verschiedener Anbieter). Laut einer Studie von 451 Research nutzen oder planen 98% der Unternehmen mindestens zwei Cloud-Anbieter und 31% sogar vier oder mehr.
Neben vielen Vorteilen dieser Cloud-Implementierungen kann der gleichzeitige Betrieb mehrerer Cloud-Umgebungen zu Problemen mit der Transparenz führen, etwa durch Fehlkonfigurationen. Ein japanischer Automobilhersteller gab kürzlich zu, dass eine Cloud-Fehlkonfiguration dazu führte, dass die Standortdaten von 2,15 Millionen Kunden in einem Zeitraum von 10 Jahren öffentlich wurden.
Dem Cloud Security Index von Illumio „Redefine Cloud Security with Zero Trust Segmentation“ zufolge haben 47% aller Datenschutzverletzungen ihren Ursprung in der Cloud - eine beachtliche Zahl, wenn man bedenkt, dass 98% der Unternehmen sensible Daten wie Finanzinformationen, wichtige Unternehmensdaten und personenbezogene Daten dort hosten.
Abgesehen von Fehlkonfigurationen geht es auch in Cloud-Umgebungen um Software-Schwachstellen. Im April 2023 berichteten Sicherheitsforscher über eine Sicherheitslücke in der Google Cloud Platform (GCP), die es böswilligen Akteuren ermöglicht haben könnte, eine bösartige und nicht zu entdeckende Anwendung „GhostToken“ dauerhaft im Google-Konto eines Opfers zu verstecken. Über diese Anwendung können Cyberkriminellen die Gmail-Konten der Opfer lesen, auf Google Drive- und Google Photos-Dateien zuzugreifen und Google Maps-Standorte zu verfolgen.
Auch Google Workspace, eine Sammlung von Cloud-Computing- und Collaboration-Tools mit mehr als drei Mrd. Nutzern, wird von Cyberkriminellen ins Visier genommen. Einem aktuellen Mitiga-Bericht zufolge können kostenlose Google Workspace-Konten, die keinen Einblick in die Protokollierungsaktivitäten von Google Drive bieten, von Cyberkriminellen missbraucht werden, um heimlich Unternehmensdaten zu stehlen.
Sicherheit an den Nahtstellen
Das Problem der „Sicherheit an den Nahtstellen“ tritt auch in Multi-Cloud-Umgebungen auf. Sicherheit an den Nahtstellen bezieht sich darauf, wie Sicherheitsrisiken an den Schnittstellen der einzelnen Cloud-Services entstehen, wenn sie sich miteinander, mit Servern oder mit Services verbinden. Obwohl jeder Cloud-Service mit Blick auf die Sicherheit entwickelt wurde, müssen Unternehmen gewährleisten, dass ihre kritischen Daten in den verschiedenen Cloud-Implementierungen geschützt übertragen werden. Außerdem müssen sie sicherstellen, dass die Anwendungen, die Zugang zu ihren verschiedenen Clouds haben, so sicher wie möglich sind.
Für Unternehmen, die Anwendungen mit APIs verwenden und die in verschiedenen Clouds gehostet werden, könnte es schwierig werden, sowohl öffentliche als auch private APIs zu kontrollieren und zu verwalten. Der API Security Trends Report 2022 zeigt, dass große Unternehmen (mit mehr als 10.000 Mitarbeitern) im Durchschnitt 25.592 APIs einsetzen. Eine so große Anzahl von APIs, die Anwendungen zur Kommunikation und zum Austausch von Daten verwenden, kann die Angriffsfläche eines Unternehmens erheblich erweitern, insbesondere wenn der API-Bestand aufgegebene und veraltete APIs enthält.
Gelingt es Cyberkriminellen, anfällige APIs auszunutzen, erhalten sie Zugang zu potenziell sensiblen Daten, einschließlich personenbezogener Daten von Mitarbeitern und Kunden. Anfang dieses Jahres berichtete T-Mobile, dass Cyberkriminelle 37 Millionen Postpaid- und Prepaid-Kundendaten - darunter Namen, Rechnungsadressen, E-Mails, Telefonnummern und Geburtsdaten - durch den Missbrauch einer API stehlen konnten.
Wissenslücken, Komplexität und Konfigurationsprobleme in der Cloud
Die Cloud verschafft Unternehmen einen Wettbewerbsvorteil, bringt aber auch eine hohe Komplexität mit sich, für die qualifizierte Fachkräfte erforderlich sind, die nur schwer zu finden sind. Die Studie „Voice of the Enterprise: Cloud, Hosting & Managed Services, Cloud Skills 2022“ zeigt, dass 44% der befragten Unternehmen Schwierigkeiten haben, qualifizierte Bewerber zu finden und einzustellen.
Es ist kein Geheimnis, dass der Mangel an qualifiziertem Personal Unternehmen anfällig für Angriffe macht. Laut dem Bericht „Cyber Workforce Study 2023“ verfügen 35% der Sicherheitsteams von Unternehmen über keine oder nur minimale Kenntnisse bei der Cloud-Sicherheit. Dies ist besorgniserregend, da laut Palo Alto Networks 80% der Sicherheitslücken in Cloud-Umgebungen zu finden sind.
Ohne qualifizierte Fachleute werden sich Probleme bei der Cloud-Konfiguration wahrscheinlich häufen - ein Risiko, dessen sich die Unternehmen bewusst sind. In einem Bericht der Cloud Security Alliance (CSA) von 2023 heißt es, dass 43% der Unternehmen Fehlkonfigurationen für ihr größtes Sicherheitsproblem halten. In einem Bericht von 2021 untersuchten wir die Top 10 der Amazon Web Services (AWS) und Microsoft Azure Services mit den höchsten Fehlkonfigurationsraten bei der Implementierung von Cloud-Konformitätsregeln und stellten fest, dass bestimmte Regeln Fehlkonfigurationsraten von 100% aufwiesen.
Unternehmen benötigen außerdem qualifizierte Fachleute für den Umgang mit komplexen und verteilten Cloud-Umgebungen, die sich aus zahlreichen und unterschiedlichen Sicherheits-Stacks, Policy Engines, Kontrollmechanismen und Asset-Beständen zusammensetzen.
Compliance-Probleme
Unternehmen, die kritische Infrastrukturen betreiben, müssen strenge regulatorische Standards, Richtlinien und Gesetze einhalten, um zu gewährleisten, dass die Daten, die in der Cloud gespeichert und verarbeitet werden, jederzeit sicher sind. Leider haben manche Unternehmen Probleme mit der Cloud-Governance. Einem CSA-Bericht zufolge machen sich 57% der Unternehmen Sorgen über die Einhaltung von Vorschriften bei ihren Cloud-Projekten.
So müssen Finanzunternehmen, die mit Unmengen persönlicher und finanzieller Daten umgehen, zum Einen sicherstellen, ihren Kunden schnelle, konsistente und zuverlässige Online-Services anbieten zu können, aber auch dass ihre Cloud Service Provider (CSPs) über Compliance-Zertifizierungen verfügen, um große Mengen wichtiger Daten zu schützen. Zu diesen Zertifizierungen gehören der Payment Card Industry Data Security Standard (PCI DSS), der darauf abzielt, Finanzbetrug zu reduzieren, und die System and Organization Controls 2 (SOC 2), interne Berichte, die den Nutzern einen Einblick in die mit ausgelagerten Services verbundenen Risiken geben sollen. Wenn diese Unternehmen verschiedene Cloud-Services und -Anbieter nutzen, hängt die Einhaltung der Vorschriften davon ab, ob sie in der Lage sind, Einblick in und Kontrolle über verschiedene Datenquellen zu haben.
Der Missbrauch von generativen KI-Tools
Der Missbrauch von Technologien der künstlichen Intelligenz (KI) insbesondere der generativen KI, für bösartige Angriffe ist für Sicherheitsforscher und CSOs ein Problem. Es geht um neuartige Angriffe wie Pig Butchering, virtuelle Entführung oder Harpoon Whaling.
WMit generativen KI-Tools können böswillige Akteure legitim aussehende E-Mails für Phishing-Angriffe erstellen. Darüber hinaus entdeckten Forscher vor kurzem, dass KI-Chatbots durch einen indirekten Prompt-Injection-Angriff, bei dem Hacker eine Eingabeaufforderung in Null-Punkt-Schrift auf einer Webseite platzieren, leicht überlistet werden können. Wenn ein Benutzer mit dem KI-Chatbot interagiert, wird die Eingabeaufforderung aktiviert und ermöglicht es den Hackern, die Benutzer davon zu überzeugen, persönliche Informationen wie ihren echten Namen weiterzugeben, ohne Verdacht zu erregen. Dieser Angriff kann dann zu einem Identitätsdiebstahl führen. Während der Verlust von persönlichen Daten keine Kleinigkeit ist, ist der Diebstahl von Unternehmensdaten alarmierend, da er zu kostspieligen Datenverletzungen führen kann.
Angriffe auf E-Mails und Messaging-Plattformen
Bis 2026 soll es weltweit 4,73 Milliarden E-Mail-Nutzer geben - ein Anstieg um 11% gegenüber den 4,26 Milliarden 2022. Daher bleiben Mails ein bevorzugter Angriffsvektor für Cyberkriminelle. Eine kürzlich durchgeführte Deloitte-Studie fand heraus, dass 91% aller Cyberangriffe mit E-Mails beginnen, die ihre böswillige Absicht verschleiern. Unternehmen wissen, dass Cyberkriminelle E-Mails für böse Absichten nutzen. Laut dem Bericht „2023 State of Email Security (SOES)“ glauben drei von vier IT-Sicherheitsverantwortlichen in globalen Unternehmen, dass E-Mail-basierte Angriffe schwerwiegende Folgen für ihr Unternehmen haben werden.
Es kommen immer neue Methoden für E-Mail-Angriffe, wie z.B. das Ausnutzen von Schwachstellen in der E-Mail-Weiterleitung, um Spoofing zu betreiben. Dieser Angriff gefährdet Zehntausende anfälliger Domains. Mit diesem Angriff können Cyberkriminelle bösartige E-Mails versenden, die vorgeben, von legitimen Organisationen zu stammen, und so ihre Chancen erhöhen, eine größere Anzahl von Opfern zu täuschen.
Cyberkriminelle kompromittieren auch weit verbreitete Kommunikations- und Kollaborationsplattformen in Unternehmen wie Slack und Microsoft Teams. Anfang dieses Jahres stahlen Angreifer Mitarbeiter-Tokens, um Zugang zu den privaten GitHub-Code-Repositories von Slack zu erhalten. Im Juni 2023 wurde ein Fehler in Teams öffentlich, der es externen Quellen ermöglicht, Dateien an die Mitarbeiter eines Unternehmens zu senden. So können Cyberkriminelle möglicherweise Malware in die Dateien eines Unternehmens einschleusen. Teams wird auch für eine Phishing-Kampagne missbraucht, bei der die DarkGate-Malware verteilt und installiert wird.
Schatten-IT und Schatten-KI
Schatten-IT, also der Zugriff von Mitarbeitern auf Unternehmensdaten über persönliche oder nicht genehmigte Geräte, Anwendungen und Services, behindert die Transparenz. Dies gilt umso mehr, als sich die Arbeitsumgebungen aufgrund der steigenden Anzahl von Internet-of-Things (IoT)- und Industrial Internet-of-Things (IIoT)-Geräten völlig verändert haben: 2022 „erwarben, veränderten oder erstellten 41% der Mitarbeiter Technologie außerhalb der Übersicht der IT“.
Nun hat auch generative KI in der Schatten-IT Einzug gehalten – als Schatten-KI. Für SOC-Teams ist es damit noch schwieriger, die gesamte Unternehmensumgebung vor Bedrohungen und Risiken zu schützen. Obwohl Unternehmen ihre Mitarbeiter davon abhalten, generative KI bei der Arbeit zu nutzen, wird sie von einem großen Teil der Belegschaft in verschiedenen Bereichen eingesetzt. Laut einer von Dell durchgeführten Studie haben 71% der Befragten generative KI bei der Arbeit eingesetzt.
Netzwerkprobleme
Unternehmen müssen Multi-Cloud- und Hybrid-Konfigurationen unterstützen, die eine effiziente Verbindung zwischen verteilten Büros, Mitarbeitern und Cloud-Bereitstellungen ermöglichen. Darüber hinaus brauchen Unternehmen mit Systemen, die fortschrittliche Funktionen erfordern, wie z. B. Metaverse-Projekte und virtuelle Desktop-Infrastrukturen (VDIs), eine robuste Netzwerkinfrastruktur. Böswillige Akteure können die Netzwerkkomplexität ausnutzen, um bekannte Angriffe zu starten, wie das Ausnutzen von Netzwerkschwachstellen und das Starten von verteilten Denial-of-Service-Angriffen (DDoS).
Schwachstellen, die den Server Message Block (SMB) Version 1, kurz SMBv1, ausnutzen, gibt es beispielsweise immer noch zuhauf, obwohl SMBv1 Jahrzehnte alt ist und dringend empfohlen wird, ihn zu deaktivieren. Ein kürzlich veröffentlichter Armis-Bericht ergab zudem, dass 74% der Unternehmen immer noch mindestens ein Asset in ihrem Netzwerk haben, das für den EternalBlue-Exploit anfällig ist, eine SMBv1-Schwachstelle und die treibende Kraft hinter massiven Ransomware-Angriffen wie WannaCry.
DDoS-Angriffe sind immer noch weit verbreitet, wie die 7,9 Millionen Fälle zeigen, die laut 1H2023 DDoS Threat Intelligence Report allein in der ersten Hälfte 2023 gestartet wurden. Im vergangenen Monat waren Google, Amazon und Cloudflare von groß angelegten DDoS-Angriffen betroffen, die durch eine HTTP/2-Schwachstelle möglich waren.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers