Security-Strategie – „Take back control”

von Richard Werner, Business Consultant

Ein abgedroschener Slogan aus der politischen Brexit-Kampagne als Titel einer Security-Strategie? Und mehr noch, er unterstellt dem Leser, die Kontrolle verloren zu haben! Leider stimmt er teilweise, denn in letzter Zeit fällt die Häufung der Schlagzeilen auf, die über Unternehmen, Behörden oder öffentliche Einrichtungen als Opfer von Cyber-Attacken berichten. Als Folge oder als Lehre daraus wird regelmässig eine „Umstrukturierung der IT Security“ gefordert. Die Betroffenen haben nachweislich die Kontrolle über Ihre IT Security zumindest für einen gewissen Zeitraum verloren. Haben sie also individuell etwas fundamental falsch gemacht, oder ist der schwerwiegende Ausbruch das offensichtliche Symptom einer schon längst verloren gegangenen Kontrolle?

Der Einsatz von IT in Unternehmen wird zu einem immer wichtigeren Grundpfeiler des Geschäftsmodells. Digitalisierung auf der einen und Mitarbeiter auf der anderen Seite treiben diese Entwicklung weiter voran. Die IT ist dabei oft historisch und vor allem lösungsorientiert gewachsen. In diesem somit vorhandenen Sammelsurium verschiedenster Technologien und Systeme ist die IT-Security mitgewachsen und in den meisten Umgebungen ebenso „vielfältig“. Analysten errechneten 2017, dass grössere Unternehmen im Schnitt Produkte von 80 verschiedenen Sicherheitsanbietern einsetzen. Die Steuerung dieser, zwangsläufig als Silo vorhandenen, also separaten, nicht integrierten Lösungen obliegt sehr oft den Fachabteilungen. Klassisch wird dabei beispielsweise zwischen Netzwerk, Endpoint und Rechenzentrum unterschieden.

Kontrollverlust

Den Kontrollverlust bemerken IT-Sicherheitsverantwortliche oft erst, wenn sie sich mit der Realität eines tatsächlichen Angriffs konfrontiert sehen. Dann allerdings werden die Lücken offenbar. Ist der Angriff kleiner und lokal begrenzt, wird häufig schlicht eine weitere Sicherheitstechnologie eingesetzt. Die dafür ausgegebene Summe steht im direkten Verhältnis zum erzeugten Schaden.

Ist es allerdings ein ernstzunehmender Angreifer, der bewusst Unternehmensnetze infiltriert mit dem Ziel, möglichst breitflächig Systeme zu übernehmen, werden die dramatischen Auswirkungen dieser Strategie richtig deutlich. In der öffentlichen Wahrnehmung sind diese Angriffe mit dem Schädling „Emotet“ verbunden, der seit Anfang 2019 für unrühmliche Schlagzeilen sorgt. Tatsächlich gab es ähnliche Angriffe schon früher, und sie sind weiterverbreitet als vielen bewusst ist. Der Grund, warum Emotet und seine Nachfolger für Schlagzeilen sorgen, ist die Tatsache, dass die Kriminellen hinter den Angriffen bewusst destruktiv auftreten und exorbitante Lösegeldsummen fordern.

Auswirkungen des Kontrollverlusts

Die Herausforderung, der sich betroffene Firmen dabei stellen müssen, ist die Frage, wieso es den Angreifern gelang trotz Security-Technologie in das Netzwerk einzudringen und sich darin auszubreiten. Das Vorgehen der böswilligen Akteure beruht zumeist auf den wohlbekannten „Social Engineering“-Techniken, also dem „Austricksen“ von Menschen und Sicherheitslücken. Die eingesetzte Sicherheitstechnologie erkennt Teile des Angriffs dabei regelmässig. Diese Teile werden auch in den entsprechenden Tools dargestellt und geloggt. Die „Kunst“ der Angreifer dabei besteht darin, in den jeweiligen Silos als unbedeutender Event zu erscheinen, denn so können sie sich oft monatelang in einem Netzwerk ausbreiten.

Es ist nicht nur die Erkennung des Angriffs, die Probleme bereitet. Ist dieser offenkundig, geht es darum, schnell und effizient Gegenmassnahmen zu ergreifen. Auch hier stellt sich die Vielzahl unterschiedlichster Sicherheitslösungen als kontraproduktiv heraus. Nicht zuletzt bedeutet auch die Verteilung der Aufgaben in verschiedenen Fachabteilungen, dass rein menschliche Hürden wie z.B. ungleiche Wissensstände überwunden werden müssen.

Diese Herausforderungen sorgen letztlich für einen enormen Aufwand und nicht selten auch für Frustration.

Kontrolle zurück erlangen

Was bedeutet nun „Take back control“? IT-Security ist zum Glück zumeist eine ziemlich langweilige Aufgabe, von der jeder hofft, dass sie nie spannend wird. Ein „brutaler“ Angriff erfolgt auch nicht täglich, weil die Security-Technologie wesentlich besser als Ihr Ruf ist. Fortschrittliche Lösungen sind darauf ausgerichtet, Auffälligkeiten zu erkennen und Ungewöhnliches zu entdecken. Um dies sinnvoll tun zu können, benötigen sie Informationen aus möglichst vielen Bereichen, die sie dann konsolidieren müssen. Geht es um eine übergreifende Konsolidierung, fällt der Silo-Gedanke weg, dem zufolge eine Abteilung die Security des eigenen Bereiches „mitmacht“. Diese Verantwortung wird zentralisiert, und in grösseren Unternehmen entstehen dabei z.B. Security Operation Center (kurz SOC).

Umbau der Sicherheit

Gerade Unternehmen, die jüngst einen Vorfall zu verkraften hatten, ändern ihre Security-Strategie grundlegend. Im Ernstfall eines Angriffs kommt es vor allem auf Schnelligkeit und Effizienz an. Eigene Teams werden dabei durch externe Spezialisten ergänzt. Ist eine Umgebung historisch gewachsen, wird es zunehmend schwieriger Spezialisten zu finden, die zumindest einen Grossteil der eingesetzten Sicherheitslösungen auf Expertenniveau bedienen können. Auch die Koordination mit unterschiedlichen Supportabteilungen der einzelnen Hersteller erweist sich als Herausforderung. Unternehmen, die diese Erfahrung machen mussten, ändern deshalb in der Regel ihre Strategie hin zu einem sogenannten XDR-Modell. Der grundlegende Gedanke dahinter ist es, die Analyse von Security Events zu automatisieren und mithilfe von künstlicher Intelligenz den Menschen zu entlasten. In einem solchen Modell wird die Anzahl der Hersteller minimiert und einer strategisch gesetzt.

XDR

Das Konzept XDR besagt, dass alle Informationen sowohl aus den Schutzmodulen als auch die „Detection“ (Erkennung) und „Response“ (Gegenmaßnahme) zentral gesteuert werden. Das „X“ wiederum steht für übergreifend (Cross) und bezeichnet die Zusammenführung verschiedener Technologien. Informationen werden durch die Systeme automatisch korreliert und für Menschen verwertbar dargestellt. Alternativ lassen sich auch Gegenmassnahmen automatisieren. Je mehr Tools eines strategischen Herstellers eingesetzt werden, desto genauer ist die Analyse und automatisierbarer sind die Gegenmaßnahmen. Aber nicht nur die Technik bietet Vorteile. In einer Notfallsituation minimiert das Anwenderunternehmen auch die Anzahl der zuständigen Kontakte und Supportstellen. Gleichzeitig ist auch für die eigenen Mitarbeiter die Bedienung zentralisierter Konsolen einfacher und überschaubarer. Abgesehen davon kann in der Regel durch Einsparungen bei z.B. Lizenzen, Schulungen und anderen Managementkosten neben einer verlässlichen IT-Security auch der ROSI (Return of Security Investment) verbessert werden.

Trend Micro-Lösungen

Trend Micro gehört mit nun über 30 Jahren Erfahrung zu den Pionieren der IT-Security und weiss, dass sich Sicherheit konstant weiter entwickeln muss. Der Anbieter gehört folgerichtig auch zu den ersten, die einen XDR Ansatz bieten.

Trend Micro™ XDR sammelt und korreliert detaillierte Aktivitätsdaten für mehrere Vektoren – E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Kombinierter Kontext macht Ereignisse, die für sich betrachtet harmlos erscheinen, plötzlich zu wichtigen Indikatoren für Gefährdungen. So können Sie die Auswirkungen schnell eindämmen und den Schweregrad und Umfang minimieren.

XDR stellt einen SIEM-Konnektor für die Weiterleitung von Warnungen bereit. Die Korrelierung von Ereignissen aus Trend Micro Produkten führt zu weniger, jedoch zuverlässigeren Warnungen und reduziert den Sichtungsaufwand für Sicherheitsanalysten. Nach dem Klick auf eine SIEM-Warnung können Analysten auf die Untersuchungs-Workbench von XDR zugreifen, um weitere Daten zu erhalten, das Ereignis detaillierter zu analysieren und die notwendigen Massnahmen zu ergreifen.