Die Arbeit im Bereich Cybersicherheit kann sich wie ein Kampf auf verlorenem Posten anfühlen. Cyberkriminelle können sich innerhalb von Minuten Zugang zum Netzwerk eines Unternehmens verschaffen, während es oft Monate dauert, bis Cybersecurity-Analysten eine Sicherheitsverletzung erkennen. Die Zahl der Cyberangriffe nimmt kontinuierlich zu, während die Cybersecurity-Branche mit einem immer größeren Mangel an Fachkräften und an erforderlichem Know-how zu kämpfen hat. Cybersecurity-Analysten müssen alle Schwachstellen in der Infrastruktur finden, um ihr Perimeter zu schützen, während die Angreifer nur eine finden müssen, um eindringen zu können.
Die Bedrohungsakteure haben die Oberhand. Wie können Unternehmen dann erfolgreich durch die Bedrohungslandschaft navigieren?
Die gegnerische Dominanz erfordert einen zielorientierten Ansatz
Es ist unmöglich, die gesamte Infrastruktur vor Cyberkriminellen zu schützen. Sie sind dominant, und diese Tatsache wird sich wahrscheinlich auch nicht ändern. Cyberangriffe sind unvermeidlich und machen deutlich, dass Analysten von einem präventiven Ansatz zu einem zielorientierten Ansatz wechseln müssen, wie er von SANS SEC511 eingeführt wurde. Anstatt zu versuchen, eine Kompromittierung zu verhindern, ist der zielorientierte Ansatz darauf ausgerichtet, die Angreifer daran zu hindern, das zu bekommen, was sie möchten. Das sind in der Regel die Daten oder eine wesentliche Kontrolle über die Systeme. Letztendlich müssen Analysten nicht die gesamte Infrastruktur schützen, sondern nur die kritischen Assets.
Der Schlüssel zum Erfolg eines zielgerichteten Ansatzes ist die Transparenz im Netzwerk. Nur so können Analysten eine Sicherheitsverletzung erkennen. Cyberkriminelle werden immer Spuren hinterlassen, aber Analysten müssen die Gegner kennen, um diese Spuren zu erkennen: Sie müssen wissen, wie die Gegner denken und wie sie arbeiten. Angreifer nutzen beispielsweise immer Schwachstellenbewertungen als Teil der aktiven oder passiven Beobachtung. Ein starkes Security-Team muss demzufolge auch damit befassen, um einen Vorsprung zu erzielen. Analysten müssen die Taktiken, Techniken und Verfahren der Bedrohungsakteure verstehen.
Es ist unerlässlich, die IT-Umgebung genau zu kennen
Cyberkriminelle gehen bei einem Angriff in der Regel immer nach demselben Muster vor. Zunächst versuchen sie, die Umgebung kennenzulernen und einen Plan zu entwickeln. Im nächsten Schritt versuchen sie, die kritischen Assets zu lokalisieren. Schließlich nutzen sie Schwachstellen aus und stehlen die ins Visier genommenen Assets. Damit ein Sicherheitsteam Angriffe erfolgreich abwehren kann, muss es seine IT-Umgebung und die kritischen Assets kennen.
Das Sicherheitsteam muss die Infrastruktur abbilden, indem es die Verteidigungsmaßnahmen bewertet und erkennt, welche Informationen einen Überblick über die Infrastruktur geben können und welcher Detaillierungsgrad erforderlich ist. Zudem muss das Team die kritischen Anwendungen und deren Speicherort, die sensiblen Daten und deren Speicherort, die privilegierten Benutzer sowie die wichtigsten Netzwerkübergänge identifizieren und lokalisieren. Ist diese Zuordnung (das Mapping) abgeschlossen, müssen die Security-Verantwortlichen die Bewegungen in der Infrastruktur beobachten, um einen Überblick über das Geschehen in Systemen, Anwendungen, Datenbanken, Cloud-Umgebungen und Betriebssystemen zu gewinnen.
Kontext ist Trumpf
Analysten benötigen Kontext, um zwischen erwarteten und unerwarteten Bewegungen in der Infrastruktur unterscheiden zu können. Sie können diesen Kontext aus Open-Source-Informationen, internen Verzeichnissen, Datenbanken für das Konfigurationsmanagement, statischen und dynamischen Listen sowie Tabellen mit den am stärksten gefährdeten Benutzerkonten, Netzwerken und Standorten abrufen. Der wichtigste Punkt für das Verständnis der Beobachtungen sind die Logdaten. Ein starkes Security-Team sorgt dafür, dass sich niemand in der Infrastruktur bewegen kann, ohne dass dies registriert wird.
Die Überwachung von Logdaten in Echtzeit ist ein wichtiges Instrument für die Cybersicherheit. Sie schafft ein Bewusstsein für die aktuelle Situation und ermöglicht es Analysten, mit größerer Sicherheit zu bestimmen, ob eine Bewegung in der Infrastruktur oder insbesondere in der Umgebung eines kritischen Assets erwartet oder unerwartet ist. Analysten können erkennen, wenn ein Cyberkrimineller das Perimeter durchbricht, und den Angriff stoppen. Darüber hinaus können sie maschinelles Lernen nutzen, um Anomalien zu erkennen. So können sie die Wahrscheinlichkeit erhöhen, dass ein Angreifer erfolgreich daran gehindert wird, auf wichtige Assets zuzugreifen.
Erfahren Sie mehr darüber, wie die Funktionen eines SIEMs diese Herausforderungen lösen kann..
