Wie können Unternehmen mit den sich ständig verändernden Angriffen auf ihre IT-Sicherheit am effektivsten umgehen? Welche Strategien entpuppen sich als besonders erfolgreich, und welche Rolle spielt dabei die aktive Suche nach Bedrohungen?
Um diesen Fragen auf den Grund zu gehen, führte McAfee im Frühjahr 2017 eine umfangreiche Studie durch, an der mehr als 700 Sicherheitsexperten teilnahmen. Die Befragten wurden aus der Datenbank eines Drittanbieters ausgewählt. Sie repräsentierten Unternehmen von 1.000 bis 5.000 Mitarbeitern oder Großunternehmen mit mehr als 5.000 Mitarbeitern. Diese Unternehmen kamen aus Australien, Kanada, Deutschland, Singapur, Großbritannien und den USA. Ausgewählt wurden Befragte, die Sandbox-Technologie und Sicherheits-Informations- und Ereignismanagement (SIEM) verwenden und bei denen die Bedrohungssuche ein wesentlicher Teil ihrer Tätigkeit ist. Die Befragten gaben Auskunft über verschiedene Aspekte ihrer Tätigkeit, zum Beispiel die genutzten Werkzeuge, das Vorgehen, die Rolle von Automatisierung und menschlichen Experten, sowie weitere Aspekte.
Der OSDA-Kreislauf
Strategisch nutzen Unternehmen und auch Angreifer im Grunde dieselbe, aus dem militärischen Bereich stammende Strategie: sie führen einen sich stetig wiederholenden Kreislauf von Beobachten, Orientieren, Entscheiden und Handeln (Observe, Orientate, Decide, Act, OSDA) aus. Beide Seiten versuchen dabei, schneller zu sein und ihren Gegner zu überraschen, um im entscheidenden Moment erfolgreich handeln zu können. Für die Verteidiger bedeutet das, dass sie sich aufbauende Bedrohungen oder sich abzeichnende Schwachstellen so schnell erkennen müssen, dass Angreifer nicht dazu kommen sie auszunutzen, um eine Attacke auf ihr Unternehmen zu starten.
Dabei zeigte es sich, dass eine intensive Bedrohungssuche, gekoppelt mit einer sehr schnellen Reaktion auf Risiken oder Angriffe, die erfolgreichste Herangehensweise ist. Bei der Bedrohungssuche kommt es auf die Fähigkeiten von Menschen an, intuitiv zu erkennen, wo sich Risiken zeigen, indem sie die Taktiken, Techniken und Prozeduren oder Prozesse (TTP) von Angreifern studieren. Erfolgreiche Bedrohungssucher gehen kategorisch vom Vorhandensein von Sicherheitsverletzungen aus, detektieren deren Spuren und analysieren mögliche Motive, Vorgehensweisen oder Ziele von Angreifern. Dementsprechend initialisieren sie wenn möglich eine Reaktion, bevor Angriffe tatsächlich Schaden anrichten. Während man Bedrohungssuche sozusagen als wissenschaftlich-kreative Aufgabe betrachten kann, muss die Reaktion auf eine Bedrohung sehr schnell und daher weitgehend automatisiert erfolgen, was bedeutet, dass hier vordefinierte, automatisierte Prozesse zum Einsatz kommen sollten.
Die Reifegrade der IT-Security
Die befragten Unternehmen wurden nach vier Reifegraden kategorisiert – von den Reifegraden 0 und 1, bei denen nur grundlegende oder minimale strategische Reife zu verzeichnen war, bis zum Reifegrad 4, dem Vorreiter-Unternehmen mit einer ausgereiften Sicherheitsstrategie zugeordnet wurden. Reifegrad 1 arbeitete vor allem mit automatisierten Warnungen und mit Tools wie Eindringungs- und Virenschutz oder einem SIEM. Daten wurden dagegen nicht oder kaum routinemäßig erfasst oder analysiert.
Darstellen lässt sich die zunehmende Reife der Unternehmen auch anhand der „Gleitenden Skala der Cyber-Sicherheit“ (siehe Abbildung) von Robert M.-Lee, SANS-Referent und CEO von Dragos: Hier zeigen sich fünf Investitionsphasen, die auf der linken Seite bei Architektur beginnen und dann schrittweise über passiven und aktiven Schutz, der Sammlung und Analyse von Bedrohungsdaten bis hin zu Offensivmaßnahmen reichen. Im Lauf ihrer Investitionen können Unternehmen sich systematisch von links nach rechts bewegen und schrittweise Funktionen hinzufügen. Am Ende steht ein ausgereiftes, analysebasiertes Sicherheitskontrollzentrum.
Steigende Bedeutung von Automatisierung, Datenerfassung und -analyse
Mit dem Reifegrad steigt die Bedeutung von Datenerfassung und -analyse sowie die der Automatisierung von Prozessen schrittweise an – die erfolgreichsten Unternehmen wendeten in großem Umfang automatisierte Datenerfassung und -analyse sowie automatisierte Prozesse bei den Reaktionen an, die niedrigen Reifegrade nicht. Ab Reifegrad 3 entwickeln Unternehmen zudem selbst neue Analyseverfahren für die erfassten Daten.
Der größere Erfolg von Unternehmen des Reifegrades 4 beim Finden und Abwehren von Bedrohungen zeigte sich deutlich: So konnten 71 Prozent der Befragten aus Unternehmen mit Reifegrad 4 die Untersuchung von Zwischenfällen innerhalb einer Woche abschließen – bei Firmen der Reifegrade 1 bis 3 war das nur in maximal 57 Prozent der Fälle möglich. Das hat auch mit der Rolle von Bedrohungsjägern zu tun: Unternehmen mit Reifegrad 4 beschäftigten zu 80 Prozent Vollzeit-Bedrohungsjäger, die aus heterogenen Bereichen wie Sicherheitsanalyse, Systemtechnik, Endgeräte- und Netzwerksicherheit stammten. Unternehmen des Reifegrades 1 beschäftigten nur 65 Prozent Vollzeit-Bedrohungsjäger.
Wie wichtig mit den richtigen Tools ausgerüstete Bedrohungsjäger für die erfolgreiche Analyse und Bewältigung von Sicherheitsbedrohungen sind, zeigt sich daran, dass Bedrohungsjäger aus Unternehmen mit weit fortgeschrittenen Sicherheitskontrollzentren in 90 Prozent der Fälle die Ursache von Zwischenfällen ermitteln können, gegenüber nur 20 Prozent bei Unternehmen mit weniger ausgereiften Sicherheitskontrollzentren.
Bei Unternehmen der Reifegrade 0 bis 3 spiegelt sich diese Kombination menschlicher Fähigkeiten mit Automatisierung und Tool-Integration in ihren Investitions- und Maßnahmenplänen zur Security-Verbesserung wieder: Einerseits sehen sie Verbesserungspotential in einer besseren Tool-Ausstattung, der Integration von Tools und der Automatisierung von Bedrohungssuchprozessen. Andererseits aber setzen sie beim Auf- und Ausbau ihrer Fähigkeiten massiv darauf, neue, erfahrene Mitarbeiter zu gewinnen und diese besser zu schulen. Unternehmen des Reifegrades 4 scheinen diese ausgewogene Mischung bereits gefunden zu haben und können sich deshalb besonders gut auf die Suche nach Bedrohungen konzentrieren.
Wie oben dargestellt, spielt die Automatisierung von Prozessen der Datenerfassung und -analyse als Werkzeug für erfolgreiche Bedrohungsjäger eine besondere Rolle beim Aufbau eines erfolgreichen, abwehrstarken Sicherheitskontrollzentrums. Dazu, wie ein solches Toolset aussieht und wie es von leistungsstarken Bedrohungsjägern genutzt wird, mehr im zweiten Teil dieser Serie.
Weitere Informationen zum Thema
- Herkömmliche Sicherheitsstrategien scheitern an Angriffsflut – neues Paradigma muss her
- Integrierte, offene Sicherheitsplattformen bieten dauerhaften Schutz
- Erfolgreiche Cyber-Sicherheit erfordert eine neue Sichtweise (Whitepaper)
- Störenfriede stören – Kunst oder Wissenschaft (Whitepaper)
- McAfee Labs Threats-Report: Cryptocurrency-Mining-Malware und Phishing-Kampagnen auf dem Vormarsch (Whitepaper)
- IDC: IT-Security in Deutschland (Whitepaper)