Beseitigung von Cyberangriffen
Prävention allein reicht nicht mehr
Unternehmen müssen heute von erfolgreichen Attacken ausgehen. Deshalb reichen präventive Massnahmen nicht mehr aus. Sicherheitsverantwortliche sollten eine Strategie für Incident Detection & Response ausarbeiten – trotz der Herausforderungen bei der Umsetzung.
Text: Andreas Heer, Bilder: Unsplash,
«Assume the breach.» Dieses Paradigma für die IT-Security-Strategie sollten Sicherheitsverantwortliche heute verfolgen. Angesichts einer steigenden Zahl von Angriffen, die immer ausgeklügelter werden, müssen Unternehmen wiederum ihre Sicherheitsmassnahmen verbessern. Denn: Wie lange dauert es, bis das kürzlich von der US-amerikanischen National Security Agency entdeckte, mutmasslich russische Linux-Rootkit «Drovorub» auch hiesige (Cloud-)Server befällt?
Drovorub wird der russischen APT-Gruppe 28 zugeschrieben, auch bekannt als «Fancy Bear» oder «Strontium». Sie steht im Verdacht, mit ihren Anliegen die Interessen der Regierung zu unterstützen. APT28 und viele andere Cyberkriminelle wie etwa die Urheber hinter Emotet zeigen, dass Cybercrime längst ein professionalisiertes Geschäft ist. Aufgrund der personellen und finanziellen Ressourcen hinter diesen Aktivitäten stellt sich heute nicht mehr die Frage, ob ein Unternehmen angegriffen wird. Sondern nur noch, wann eine solche Attacke erfolgreich sein wird. Deshalb müssen Sicherheitsverantwortliche davon ausgehen, dass sich der Angreifer bereits im Netz befindet.
Detection & Response: der nächste logische Schritt
Unter diesen Voraussetzungen reicht es nicht mehr aus, sich alleine auf präventive Massnahmen zu verlassen. Diese bleiben wichtig, um einen Grossteil der Angriffe abzuwehren. Doch in der heutigen Ausgangslage gewinnen Incident Detection & Response an Bedeutung, um erfolgreiche Attacken zu kontern. Anders gesagt: Je ausgeklügelter die Angreifer vorgehen, desto höher muss der Reifegrad der IT-Security in Unternehmen sein.
Das NIST Cybersecurity Framework beschreibt Methoden und Best Practices für die Cyberabwehr. Es unterteilt die IT-Security in fünf Phasen: Identifikation (Identify), Schutz (Protect), Erkennung (Detect), Reaktion (Respond) und Wiederherstellung (Recover). Detection & Response als dritte und vierte Phase befassen sich also mit dem Incident Handling bei erfolgreichen Angriffen.
Technik und Security-Spezialisten im Zusammenspiel
Detection umfasst dabei neben automatisierten Massnahmen wie etwa dem Erkennen und Blockieren bösartigen Netzwerkverkehrs zahlreiche manuelle Methoden. Sie dienen dazu, Angriffsmuster zu entdecken, die zu komplex für automatisierte Abwehrmassnahmen sind. Hierzu bedienen sich IT-Security-Spezialisten verschiedener Hilfsmittel. Aufgrund der Dynamik ist dabei die Informationsbeschaffung zentral. Security-Blogs, Wissensdatenbanken wie das Mitre ATT&CK Framework und Diskussionsforen im Darknet gehören genauso dazu wie der regelmässige Austausch mit anderen Spezialisten. Nur so kann ein Unternehmen sicherstellen, dass Indikatoren für einen Angriff überhaupt bekannt sind und dementsprechend in der eigenen Infrastruktur entdeckt werden können.
Ein Ansatz, Indikatoren für Angriffe zu erkennen, liegt im Threat Hunting. Hierbei durchsuchen IT-Security-Spezialisten das Unternehmensnetz auf Angriffsmuster laufender Cyberattacken. Diese Aufgabe erfordert vertieftes Fachwissen. Aber sie ermöglicht es, Anomalien zu erkennen, die von den Security-Systemen nicht erfasst wurden.
Wird im Rahmen solcher Detection-Massnahmen ein erfolgreicher Angriff entdeckt, ist eine angemessene Reaktion erforderlich. Diese Response sollte nicht nur rasch und agil erfolgen, also auf die effektive Situation angepasst. Sondern auch nach einem definierten Vorgehen, idealerweise nach Best-Practice-Ansätzen. Wie bei der Incident Detection kombiniert auch die Beseitigung zahlreiche Massnahmen auf technischer und kommunikativer Ebene. Ein bewährter Ansatz ist, hierfür ein Computer Security Incident Response Team (CSIRT) zu bilden, das sich aus IT-Security-Spezialisten mit vertieftem Fachwissen zusammensetzt.
Mit Auslagerung gegen den Fachkräftemangel
Wenn dem Sicherheitsverantwortlichen eines Unternehmens nicht schon die Rekrutierung dieser Security-Spezialisten Sorgenfalten bereitet, kommen sie spätestens bei der Budgetdiskussion. Denn IT-Security-Massnahmen sind wie eine Versicherung. Wenn alles gut läuft, kann es an der guten Arbeit der Spezialisten und der technischen Massnahmen liegen. Oder daran, dass schlichtweg grad kein Angriff stattfand. Gerade die Unberechenbarkeit von Cyberangriffen erschwert dem CISO die Ressourcenplanung und die Argumentation mit dem CFO.
Eine elegante, weil finanziell transparente Massnahme besteht darin, Detection & Response an einen Managed Security Service Provider (MSSP) auszulagern. Dieser Ansatz skaliert zudem besser, weil die Ressourcen nach Bedarf eingesetzt werden können und dadurch die Kosten kalkulierbar werden. Denn, es sind keine hellseherischen Fähigkeiten notwendig, um vorauszusehen, dass aufgrund der Komplexität der Cyberangriffe deren Entdeckung und Behebung an Bedeutung noch zunehmen wird. Mit einer teilweisen Auslagerung, einem Outtasking, findet der Security-Verantwortliche eine Antwort darauf.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
Andere Leser interessierte auch:
