Viele Organisationen setzen heutzutage auf Detection-and-Response-Technologien wie Network Detection and Response (NDR) oder Endpoint Detection and Response (EDR), die effektive Automatisierung wie KI und maschinelles Lernen (ML) beinhalten. Solche Technologien einzusetzen, erhöhen den Schutzlevel schon auf ein gutes Niveau. Leider können damit aber nur ca. 80 bis 90 Prozent der Cyber-Angriffe eindeutig identifiziert werden.
Automatische Responses (zum Beispiel Endpoint Containment) helfen bei den meisten Detections. Jedoch bleibt immer ein kleiner Rest an Detections übrig, bei denen nicht eindeutig klar ist, ob es sich um ein True oder False Positive handelt. In Fällen solch unklarer Erkennungen könnte eine automatische Blockierung möglicherweise zu einem erheblichen Business Impact führen.
Zero Trust beinhaltet folgende zwei Denkweisen:
Assume a breach! Gehen Sie davon aus, dass Ihre Organisation jederzeit angegriffen werden kann. Auch gerade jetzt. Es gibt keinen 100-prozentigen Schutz!
You are under Attack! Gehen Sie davon aus, dass nicht alle Sicherheitsvorgaben eingehalten wurden und dass die «Angreifer» bereits in Ihrem Netzwerk sind, resp. sich bereits auf Ihren Systemen eingenistet haben.
Eine moderne Cyber-Abwehr sollte beide Aspekte gebührend berücksichtigen.
Business Impacts infolge unklarer Blockierungen
Ein weiterer bedeutender Aspekt ist der Mangel an geschulten und spezialisierten Mitarbeitenden für Cyber Defense, die sich um diese Technologien (NDR/EDR) kümmern. Insbesondere kleinere und mittelständische Unternehmen haben oft Schwierigkeiten, qualifiziertes Personal zu finden, und wenn sie es doch tun, wechseln diese nach ein paar Jahren möglicherweise aus Langeweile den Job. Zudem fehlt bei kleinen und mittelständischen Unternehmen auch die Zeit, sich um solche modernen Angriffe zu kümmern.
Hinzu kommt, dass selbst die besten Produkte zur Erkennung und Reaktion nie alle Cyber-Vorfälle detektieren können. Es ist auch ein Irrglaube anzunehmen, dass mehr Technologie weniger Bedarf an Bedrohungsanalysten mit sich bringt.
Zusätzlich zu den durch die Technologie gefundenen Erkennungen gehört auch das fortlaufende manuelle Suchen nach möglichen Bedrohungen (Threat Hunting). Threat Hunting ist wichtig, da komplexe Bedrohungen in der Lage sind, Erkennungs- und Reaktionstechnologien zu umgehen. Gerade bei den durch das Threat Hunting aufgedeckten Bedrohungen handelt es sich häufig um hochkomplexe Angriffe, die erheblichen Schaden anrichten können.
Unentdeckte Bedrohungen richten immer den grössten Schaden an
Eine effiziente Cyber-Abwehr benötigt beides – einerseits fortschrittliche Erkennungs- und Reaktionstechnologien. Andererseits als Ergänzung das Know-how und die Erfahrung der Threat-Analysten und Threat Hunters, die wie der Angreifer denken und handeln.
Es ist ebenso wichtig, dass die Bedrohungen nicht nur während Bürozeiten gesucht, analysiert und bewertet werden und ggf. darauf reagiert wird (Playbooks), sondern dass dies rund um die Uhr geschieht. Angreifer sind nicht unbedarft und nutzen für ihre Angriffe das optimale Zeitfenster aus, welches ihnen möglichst viel Zeit verschafft, um so unentdeckt einen grösstmöglichen Schaden anzurichten. Diese Zeitfenster liegen meistens nach den Bürozeiten, an Wochenenden oder innerhalb der Feiertage.
Dies kann entweder durch ein internes Security Operation Center (SOC) oder durch einen externen Managed Detection and Response (MDR) Service realisiert werden. Gerade für kleinere und mittelständische Unternehmen ist es finanziell attraktiver, einen MDR-Service von einem professionellen SOC-Anbieter zu erwerben, da ein 24/7-Betrieb mindestens sechs bis sieben Experten erfordert und diese Analysten kontinuierlich in Cyber-Abwehr geschult werden müssen, um den Angreifern einen Schritt voraus zu sein.
Fazit
Vertrauen Sie nicht nur auf Technologie! Der menschliche Faktor ist nach wie vor ein wichtiger Baustein in der Cyber-Abwehr, auch wenn immer mehr KI und ML in den Detection-Technologien vorzufinden ist. Cyber-Defence-Experten verstehen das Denken der Angreifer.
Etablieren Sie ein professionelles 24/7 SOC und schulen Sie die Experten stetig auf Cyber-Abwehr und Threat Hunting oder weichen Sie auf einen professionellen MDR-Service-Anbieter aus, der diese herausfordernde Arbeit für Sie übernimmt. Ein MDR-Service-Anbieter kann einen reellen Mehrwert schaffen – diesen betreuen viele Kunden und er kann wichtige Erkenntnisse von anderen Organisationen auch in Ihre Cyber-Abwehr einfliessen lassen.
Weiterführende Links:
www.avantec.ch/services/managed-detection-and-response-service
www.tec-bite.ch/braucht-jedes-unternehmen-ein-soc
www.tec-bite.ch/welches-soc-passt-intern-extern-hybrid-passende-soc
www.tec-bite.ch/welche-moeglichkeiten-gibt-es-fuer-detection-response
www.tec-bite.ch/managed-threat-hunting-was-bringt-das
www.tec-bite.ch/endpoint-detection-and-response-wer-richtig-sucht-der-findet
Peter Hämmerli
Peter Hämmerli ist Senior Presales bei AVANTEC. Sein Lieblingsthema ist Managed Security Services. Am Wochenende geht er oft schwimmen oder wandern. Als Ausgleich zum Arbeitstag fährt er nach Feierabend gerne Velo.