Sind Sie Jäger oder Gejagter? Beginnen Sie die Jagd jetzt

16.04.2019

Die Jagd nach Cyberbedrohungen könnte als unbezahlbarer Luxus betrachtet werden. Roland Messmer, Sales Director bei Fidelis Cybersecurity, erklärt, warum es jetzt notwendig ist, präventiv in IT-Sicherheit zu investieren. In den vergangenen Jahren ist nicht nur die Zahl der ...

Die Jagd nach Cyberbedrohungen könnte als unbezahlbarer Luxus betrachtet werden. Roland Messmer, Sales Director bei Fidelis Cybersecurity, erklärt, warum es jetzt notwendig ist, präventiv in IT-Sicherheit zu investieren.

In den vergangenen Jahren ist nicht nur die Zahl der Cyberattacken alarmierend gestiegen, die Angriffe werden auch immer raffinierter und effizienter. Trotz der traditionellen Perimeter-Sicherheit, die sich vorwiegend auf vorbeugende Maßnahmen konzentriert, kommt es weiterhin zu massiven Angriffen auf Unternehmen. Deshalb ist es notwendig, Verstöße schneller zu erkennen, um diese umgehend und automatisiert abwehren zu können.

Wird ein Unternehmensnetzwerk angegriffen, erfolgen innerhalb der ersten beiden Stunden die nächsten Schritte der Kompromittierung. Der Angreifer ist meist sehr schwer zu identifizieren, da er tief in das Netzwerk eindringt und für längere Zeit inaktiv bleiben kann, um einen gezielten Angriffsplan zu erstellen. Der Zeitraum zwischen der ersten Kompromittierung und der Erkennung des Angriffs wird als Verweildauer bezeichnet. Da eine längere Verweildauer leider die Norm ist, bevorzugen Cybersecurity-Experten heute proaktive Taktiken zur Bedrohungserkennung – die aktive Jagd nach Bedrohungen.

DIE LETZTE VERTEIDIGUNGSLINIE
Die Jagd nach Angreifern stellt das Präventivmodell auf den Kopf und sucht aktiv nach unbekannten Bedrohungen. Obwohl oft missverstanden, ist die Bedrohungsjagd eine proaktive Methode, um moderne und raffinierte Bedrohungen zu aufzudecken. Dabei handelt es sich um Bedrohungen, die entwickelt wurden, um traditionelle Abwehrmechanismen und rein automatisierte Erkennungssysteme zu umgehen. Diese proaktive Methode ist die letzte Verteidigungslinie, um unternehmenskritische Daten und Informationen vor einer Datenausschleusung zu schützen.

Die Jagd nach Angreifern ist zwar noch stark auf Automatisierung und maschinelle Unterstützung angewiesen, unterscheidet sich in der Erkennung jedoch dadurch, dass sie von einem Analysten, einem Bedrohungsjäger (Threat Hunter), ausgeführt wird. Anstatt passiv auf eine Bedrohung zu warten, sucht ein Threat Hunter proaktiv nach möglichen Bedrohungsformen – und zwar bevor es zu spät ist. Threat Hunter erstellen eine Hypothese, die auf den von einem Unternehmen wahrgenommenen Schwachstellen basiert. Dann versuchen sie, diese zu belegen.

FEHLENDE VORAUSSETZUNGEN
„Threat Hunting“ ist kein einfacher Prozess und erfordert die richtigen Daten, Informationen, Werkzeuge und Fachkenntnisse. Der vor kurzem veröffentlichte Bericht „State of Threat Detection“ von Fidelis Cybersecurity zeigt, dass 88 Prozent der Befragten die Bedrohungssuche als notwendig erachten, um ein hohes Sicherheitsniveau zu erzielen. 63 Prozent gaben jedoch an, dass sie keine aktive Bedrohungsjagd durchführen, da sie nicht wissen, wie sie dies bewerkstelligen sollten. Dies ist wenig verwunderlich, da die Sicherheitsteams unter einem Mangel an Ressourcen, an Kapazitäten und an Know-how zu leiden haben. Die Untersuchung ergab, dass fast die Hälfte der Sicherheitsexperten schlicht nicht die Zeit hat, um „Threat Hunting“ umzusetzen, wobei ein Drittel fehlende Security-Kenntnisse als Grund angab.

Die gute Nachricht ist, dass die Adaptionsrate für eine aktive Bedrohungssuche bereits gestiegen ist, jedoch noch nicht so stark wie eigentlich notwendig. Leider scheinen die Unternehmen in naher Zukunft noch kein Licht am Ende des Tunnels zu sehen: 53 Prozent der Unternehmen glauben nicht, dass sie im Laufe des nächsten Jahres aktiv auf die Jagd nach Bedrohungen gehen.
 
BEGINNEN SIE MIT DER JAGD – JETZT
Unternehmen, die über solide Sicherheitssysteme und geschulte Mitarbeiter verfügen, jedoch zeitlich eingeschränkt sind und deshalb keine wöchentliche, monatliche oder vierteljährliche Bedrohungsjagd umsetzen können, können Metadaten und forensische Erkenntnisse nutzen und so den Prozess der aktiven Bedrohungssuche („Threat Hunting“) effizienter gestalten und erheblich beschleunigen.
 
„Threat Hunting“ wird bereits als Managed Service von verschiedenen Dienstleistern angeboten. Diese Unternehmen verfügen über das erforderliche Know-how und die passenden Tools, um Unternehmen jeder Größenordnung bei der proaktiven Jagd zu unterstützen.
Dank des Outsourcings dieser Aufgaben ist eine sichere Erkennung und Abwehr von Bedrohungen möglich. Ob Sie über ein bestehendes Security Operations Center (SOC) verfügen und dieses ausbauen und „Threat Hunting“ einführen möchten oder ob Sie es vorziehen, diese Aufgaben vollständig auszulagern – es ist ein großartiger Ausgangspunkt, das Know-how externer Dienstleister in Kombination mit deren modernen Technologien zu nutzen und auf deren Flexibilität und Vertrauenswürdigkeit zu setzen.
Roland Messmer – Fidelis Cybersecurity GmbH