CISO Insider: 2. Ausgabe

Ransomware-Angreifer haben es auf Ihre wertvollsten Ressourcen abgesehen, von denen sie glauben, dass sie damit den größten Geldbetrag erpressen können – seien es die für den Geschäftsbetrieb wichtigsten Ressourcen, jene, deren vorübergehender Verlust zur größten Beeinträchtigung führen würde, oder die sensibelsten im Hinblick auf eine mögliche Veröffentlichung.

Die Branche ist ein wichtiger Faktor für das Risikoprofil eines Unternehmens: Während Führungskräfte in der Fertigungsindustrie etwa die Unterbrechung des Geschäftsbetriebs als größte Sorge nennen, steht für CISOs im Einzelhandel und im Finanzdienstleistungssektor der Schutz sensibler personenbezogener Daten an erster Stelle. In Reaktion darauf verlagern die Sicherheitsverantwortlichen ihr Risikoprofil aggressiv weg von Datenverlust und -gefährdung, indem sie ihre Perimeter härten, Backups kritischer Daten erstellen, redundante Systeme einsetzen und die Verschlüsselung verbessern.

Die Unterbrechung des Geschäftsbetriebs steht jetzt bei vielen Führungskräften im Mittelpunkt. Selbst kurze Unterbrechungen kosten ein Unternehmen Geld. Ein CISO im Gesundheitswesen sagte mir kürzlich, dass Ransomware aus betrieblicher Sicht nicht anders sei als ein größerer Stromausfall. Auch wenn ein adäquates Backupsystem dazu beitragen kann, die Stromversorgung schnell wiederherzustellen, kommt es dennoch zu Ausfallzeiten, die den Geschäftsbetrieb unterbrechen. Ein anderer CISO äußerte sich besorgt über die Auswirkungen, die Beeinträchtigungen über das Unternehmensnetzwerk hinaus auf betriebliche Aspekte haben könnten (z. B. Pipeline-Probleme), oder über die sekundären Auswirkungen von Ransomware, wie den Ausfall wichtiger Zulieferer.

Taktiken zur Bewältigung von Unterbrechungen und Beeinträchtigungen umfassen sowohl redundante Systeme als auch die Segmentierung zur Minimierung von Ausfallzeiten, die es dem Unternehmen ermöglichen, den Datenverkehr auf einen anderen Teil des Netzwerks zu verlagern, während ein betroffenes Segment kontrolliert und wiederhergestellt wird. Doch selbst die zuverlässigsten Backup- oder Notfallwiederherstellungsprozesse können die Gefahr einer Betriebsunterbrechung oder Datengefährdung nicht vollständig beseitigen. Daher ist neben der Risikominderung auch die Prävention wichtig.

Viele der CISOs, mit denen ich spreche, verfolgen bei der Prävention und Erkennung von Angriffen einen breit gefächerten Ansatz und setzen Lösungen verschiedener Anbieter ein, die Schwachstellentests, Perimetertests, automatisierte Überwachung, Endpunktsicherheit, Identitätsschutz usw. umfassen. In einigen Fällen ist diese Redundanz beabsichtigt, in der Hoffnung, dass ein mehrschichtiger Ansatz alle Lücken abdeckt – wie wenn man mehrere Scheiben Schweizer Käse übereinander schichtet, hoffend, dass die Löcher nicht übereinander liegen.

Unserer Erfahrung nach kann diese Vielfalt die Umsetzung von Abhilfemaßnahmen erschweren und sogar zu einem höheren Risiko führen. Wie ein CISO anmerkt, liegt der Nachteil der Kombination mehrerer Lösungen in der mangelnden Transparenz aufgrund der Fragmentierung: "Ich verwende einen Best-in-Breed-Ansatz, der an sich schon gewisse Herausforderungen mit sich bringt, weil es an Einblick in die Gesamtrisikosituation mangelt, denn man verwaltet Bedrohungen ja über unabhängige Konsolen und hat keinen Gesamtüberblick darüber, was vor Ort gerade vor sich geht." (Gesundheitswesen, 1.100 Mitarbeiter) Wenn Angreifer ein komplexes Netz knüpfen, das sich über mehrere unterschiedliche Lösungen erstreckt, kann es schwierig sein, sich ein vollständiges Bild von der Angriffskette zu machen, das Ausmaß der Kompromittierung zu erkennen und Malware-Nutzlasten vollständig zu entfernen. Bei einem laufenden Angriff müssen verschiedene Vektoren berücksichtigt werden, um ihn in Echtzeit erkennen, abwehren, eindämmen oder stoppen zu können.

Die meisten sind sich des Potenzials von XDR noch nicht im Klaren. Viele CISOs, mit denen wir sprechen, haben in EDR einen soliden Ausgangspunkt geschaffen. EDR hat sich bewährt: Es hat sich gezeigt, dass die derzeitigen Nutzer von EDR (Endpoint Detection and Response) Ransomware nachweislich schneller erkennen und stoppen können.

Da XDR jedoch eine Weiterentwicklung von EDR ist, sind einige CISOs nach wie vor skeptisch, was dessen Nutzen angeht. Ist XDR nur EDR mit ein paar aufgesetzten Einzellösungen? Brauche ich wirklich eine komplett separate Lösung? Oder bietet mein EDR am Ende die gleichen Möglichkeiten? Der aktuelle Markt für XDR-Lösungen sorgt für weitere Verwirrung, da die Anbieter versuchen, sich gegenseitig bei der Aufnahme von XDR-Angeboten in ihre Produktpalette zu übertrumpfen. Einige Anbieter erweitern ihr EDR-Tool, um zusätzliche Bedrohungsdaten einzubeziehen, während andere sich mehr auf die Entwicklung spezieller XDR-Plattformen konzentrieren. Letztere sind von Grund auf so konzipiert, dass sie eine direkte Integration und Funktionen bieten, die auf die Bedürfnisse von Sicherheitsanalysten zugeschnitten sind, so dass Ihr Team kaum Lücken manuell wird füllen müssen.

Angesichts des Fachkräftemangels in der Sicherheitsbranche und der Notwendigkeit, schnell auf Bedrohungen reagieren zu können, haben wir Führungskräfte ermutigt, Automatisierung einzusetzen, damit sich ihre Mitarbeiter auf die Abwehr der schlimmsten Bedrohungen konzentrieren können, anstatt banale Aufgaben wie das Zurücksetzen von Passwörtern zu erledigen. Interessanterweise haben viele der Sicherheitsverantwortlichen, mit denen ich gesprochen habe, angegeben, dass sie die Vorteile automatisierter Funktionen noch nicht voll ausschöpfen. Einige sind sich der Möglichkeiten gar nicht bewusst. Andere hingegen zögern, Automatisierung einzusetzen, weil sie befürchten, die Kontrolle zu verlieren, falsche Ergebnisse zu riskieren oder den Überblick über Bedrohungen zu verlieren. Letzteres ist eine berechtigte Sorge. Wir beobachten jedoch, dass die Anwender einer effektiven Automatisierung genau das Gegenteil erreichen – mehr Kontrolle, weniger Fehlalarme, weniger irrelevante Signale und mehr verwertbare Erkenntnisse –, indem sie die Automatisierung zur Unterstützung des Sicherheitsteams einsetzen, um dessen Bemühungen zu lenken und zu bündeln.

Die Automatisierung deckt die verschiedensten Möglichkeiten und Bereiche ab, von einfachen automatisierten Verwaltungsaufgaben bis hin zu intelligenten Risikobewertungen, die durch maschinelles Lernen unterstützt werden. Die meisten CISOs geben an, dass sie die erstgenannte, ereignis- oder regelbasierte Automatisierung einsetzen, aber nur eine kleine Anzahl hat integrierte KI- und Machine Learning-Funktionen genutzt, die risikobasierte Zugriffsentscheidungen in Echtzeit ermöglichen. Die Automatisierung von Routineaufgaben trägt zweifellos dazu bei, dass sich das Sicherheitsteam mehr auf strategisches Denken konzentrieren kann, das Menschen bekanntlich am besten beherrschen. Aber gerade in diesem strategischen Bereich – z.B. bei der Bestimmung der Reaktionsreihenfolge bei Vorfällen – hat die Automatisierung das größte Potenzial, das Sicherheitsteam als intelligenter Partner zu unterstützen, der Daten auswertet und Muster vergleicht. KI und Automatisierung sind beispielsweise sehr gut darin, Sicherheitssignale zu korrelieren, um eine umfassende Erkennung und Reaktion auf Sicherheitsverletzungen zu erleichtern. Etwa die Hälfte der Sicherheitsexperten, die wir kürzlich befragt haben, gaben an, dass sie Signale manuell korrelieren müssen.1   Dies ist unglaublich zeitaufwändig und macht es fast unmöglich, schnell zu reagieren, um einen Angriff einzudämmen. Wenn Automatisierung – wie die Korrelation von Sicherheitssignalen – richtig eingesetzt wird, können Angriffe oft nahezu in Echtzeit erkannt werden.

Wir haben festgestellt, dass viele Sicherheitsteams die Automatisierungsmöglichkeiten, die in den von ihnen bereits eingesetzten Lösungen enthalten sind, kaum nutzen. In vielen Fällen ist der Einsatz von Automatisierung so einfach (und wirksam!) wie das Konfigurieren verfügbarer Funktionen, z. B. das Ersetzen von Zugriffsrichtlinien mit festen Regeln durch risikobasierte Richtlinien für bedingten Zugriff, das Erstellen von Reaktionsplaybooks usw.

CISOs, die die Möglichkeiten der Automatisierung nicht nutzen, tun dies oft aus Misstrauen, da sie befürchten, dass das System ohne menschliche Aufsicht irreparable Fehler machen könnte. Zu den möglichen Szenarien gehört, dass ein System versehentlich Benutzerdaten löscht oder eine Führungskraft behindert, die auf das System zugreifen muss, oder im schlimmsten Fall, dass man die Kontrolle oder den Überblick über eine Schwachstelle verliert, die ausgenutzt wurde.

Sicherheit beruht aber meist auf einer Abwägung zwischen täglichen kleinen Unannehmlichkeiten und der ständigen Gefahr eines katastrophalen Angriffs. Die Automatisierung hat das Potenzial, als Frühwarnsystem für einen solchen Angriff zu dienen, und die damit verbundenen Unannehmlichkeiten können verringert oder ganz beseitigt werden. Im Idealfall läuft die Automatisierung außerdem nicht für sich allein, sondern an der Seite menschlicher Anwender, wobei die künstliche Intelligenz die menschliche Intelligenz sowohl ergänzen als auch von dieser kontrolliert werden kann.

Für eine reibungslose Implementierung haben wir unsere Lösungen mit reinen Reportmodi ausgestattet, um einen Testlauf vor der Implementierung zu ermöglichen. Auf diese Weise kann das Sicherheitsteam die Automatisierung in seinem eigenen Tempo implementieren, die Automatisierungsregeln verfeinern und die Leistung der automatisierten Tools überwachen.

Die Sicherheitsverantwortlichen, welche die Automatisierung am effektivsten nutzen, setzen sie an der Seite ihres Teams ein, um Lücken zu schließen und sie als erste Verteidigungslinie zu nutzen. Wie mir ein CISO kürzlich sagte, ist es praktisch unmöglich und unerschwinglich, ein Sicherheitsteam zu haben, das ständig alles im Fokus hat – und selbst wenn, ist die Fluktuation in Sicherheitsteams in der Regel hoch. Die Automatisierung bietet beständige Kontinuität und Einheitlichkeit zur Unterstützung des Sicherheitsteams in Bereichen, die eine solche Einheitlichkeit erfordern, wie z. B. die Überwachung des Datenverkehrs und Frühwarnsysteme. In dieser unterstützenden Funktion entlastet die Automatisierung das Team von der manuellen Überprüfung von Protokollen und Systemen und ermöglicht es ihm, proaktiver zu handeln. Die Automatisierung ersetzt nicht den Menschen – sie ist ein Werkzeug, das es Ihren Teams ermöglicht, Warnmeldungen zu priorisieren und ihre Aufmerksamkeit auf die Bereiche zu lenken, in denen sie am meisten benötigt wird.