Die Bedrohungslage da draussen ist hart und unerbittlich. Organisierte, intelligente und spezialisierte Black Hats schmeiden unaufhörlich Pläne, wie sie in Ihr Netzwerk eindringen, kritische Daten stehlen und Ihre Betriebsabläufe stilllegen können, bis Sie ein Lösegeld zahlen.

Wir hören jeden Tag von neuen Opfern.

Und wir wissen, dass es noch viele weitere Unternehmen gibt, die stillschweigend das Lösegeld bezahlen oder einen langen, ausgedehnten Säuberungsprozess und Neustart durchmachen. Sie erscheinen nicht in den Nachrichten.

Wie kann ein Chief Information Security Officer nachts schlafen?

Wir haben Dave Martin, Vice President of Managed Detection and Response bei Open Systems, nach seiner Meinung gefragt. (Und nur als Anmerkung nebenbei – er schläft nachts recht gut.) Hier sind die fünf Schlüsselaspekte von Martin für CISOs, die morgens gut ausgeruht und bereit für den Arbeitstag aufwachen wollen.

1. Kontinuierliches Monitoring

Der Schlüsselfaktor bei der Angst eines CISO hinsichtlich einer Datenverletzung? Laut Martin ist es das Unbekannte. Und auch ein jahrzehntelanger Modus Operandi in Sachen Cybersicherheit, der noch nie wirklich effektiv war, sondern sich erst jetzt als wirklich schlechte Idee entpuppt.

„Das war eine Art von ‚Einrichten und Vergessen-Mentalität', bei der wir einen Haufen Technik einsetzen … und dann irgendwie hoffen, dass sie ihre Aufgabe erfüllt. Und das führt ins Unbekannte … diese Idee, dass sie sich darüber Sorgen machen ... das Gegenmittel ist natürlich kontinuierliches Monitoring.“

Die jüngsten Entwicklungen bei den Bedrohungsakteuren lassen erkennen, dass es gleichzeitig viele clevere Angreifer geben kann, die sich auf Ihr Unternehmen und Ihre Security-Infrastruktur konzentrieren. Nur ein kontinuierliches Monitoring-Framework schützt vor diesen Bedrohungen und gibt Ihnen die Gewissheit, dass Sie Angriffe schnell erkennen.

2. Wissen, wo Sie anfällig sind

Was man nicht wahrnimmt, kann man nicht beheben. Wenn man nichts davon weiss, kann man es nicht warten. Wenn es in Ihrem Netzwerk schwarze Löcher gibt, wissen Sie nicht, was dabei herauskommen könnte. Und manchmal geht es nicht nur um das, was man nicht weiss. Es ist eine Fehlkonfiguration dessen, was sich in diesem schwarzen Loch befindet.

„Viele Unternehmen, mit denen ich zu tun habe, haben Probleme mit präzisen Beständen, Gerätestandorten und implementierten Anwendungen. Und es steht tatsächlich fest, dass viele Angriffe nicht aufgrund von Fehlern in der Security-Technologie geschehen, sondern aufgrund einer Fehlkonfiguration.“

Die meisten CISOs verstehen das natürlich, aber die Herausforderung besteht darin, dieses Wissen in die Tat umzusetzen. Wenn Sie es umsetzbar machen, können Sie einer enormen Anzahl von Angriffsvektoren entgehen und die beste Verteidigung gegen einen Angriff besteht natürlich darin, von vornherein nie angegriffen zu werden.

3. Bereiten Sie die Reaktion vor dem Verstoss vor

Je länger sich ein Bedrohungsakteur innerhalb Ihres Perimeters befindet, desto gravierender ist das Problem, das auf Sie zukommt. Das gilt für Minuten und Stunden, aber wenn man bedenkt, dass es im Durchschnitt 212 Tage dauert, einen Einbruch zu entdecken und zu beheben, dann gilt das auch für Wochen und Monate.

„Viele Studien haben gezeigt, dass es bei Sicherheitsvorfällen auf die Zeit ankommt: Je länger sich ein Bedrohungsakteur in einem Netzwerk aufhält, desto grösser ist der Schaden, den er anrichten kann. Die Identifizierung der Bedrohungsvektoren, die Angreifer nutzen, und einen Plan zu haben, ist bei weitem das Wichtigste ... Sie wollen dies nicht unter Druck eines Sicherheitsvorfalls herausfinden.“

Wenn Sie einen Plan haben, wissen Sie und Ihr Team, was zu tun ist, sobald ein Angriff erkannt wird. Es bedeutet auch, dass Ihre Organisation und Ihre Führungskräfte wissen, was passieren wird – zumindest in groben Zügen – so können sie zur Unterstützung Ihrer Bemühungen aktiv werden oder Ihnen zumindest nicht im Weg stehen.

4. Automatisieren Sie, was Sie können

Zeit ist Geld, und Zeit ist auch ein Risiko. Wie bereits erwähnt, je länger sich etwas Unerwünschtes innerhalb Ihres Perimeters befindet, desto schlimmer die potenziellen Auswirkungen. Automatisierung ist daher entscheidend, insbesondere weil Cybersicherheitsangriffe zunehmend nicht mehr nur einmalig stattfinden.

„Wir beginnen, viel ausgefeiltere Angriffe zu erleben, die richtige Kampagnen sind: Es geht dabei nicht um einen Überfall, sondern es sind Akteure, die versuchen, Fuss zu fassen und Berechtigungen zu eskalieren. Wir hatten Situationen, in denen sich der Bedrohungsakteur basierend auf unserer Reaktion zur Eindämmung umgeschwenkt ist... deshalb spielt Zeit eine grosse Rolle. Und je mehr Sie automatisieren können, desto besser können Sie das Risiko minimieren und den Bedrohungsakteur eindämmen.“

In den meisten Fällen ist die Automatisierung schneller als es einem Menschen jemals möglich ist. Unmittelbare Reaktionen auf definierte Bedrohungen können den Schaden eindämmen und man gewinnt Zeit, um die Experten einzuschalten.

5. Zugang zu Fachwissen

Die meisten Unternehmen arbeiten hart daran, Fachkenntnisse in ihren Geschäftsbereichen aufzubauen. Für die meisten Marken geht es dabei nicht um Cybersicherheit, und dennoch benötigen sie erstklassige digitale Verteidigungen. Ansonsten riskieren sie, nicht in der Lage zu sein, Kunden zu bedienen, Produktinnovationen zu liefern oder Dienstleistungen zu erbringen.

Darum ist es so wichtig, auf Fachwissen zuzugreifen.

„Wir sprechen hier von Experten im Roten Team. Wir sprechen auch von Experten für Schwachstellenbewertung sowie Compliance-Experten für Security und präventive Kontrolle und auch Erkennungs- und Reaktionsexperten. Sie müssen entweder dieses Fachwissen in all diesen Bereichen einstellen und aufbauen oder sich auf Experten verlassen, die bereits über das Fachwissen verfügen.“

Mit anderen Worten: Managed Detection and Response, die nicht ruht und immer nach Bedrohungen der Infrastruktur Ihres Kerngeschäfts sucht.

Lesen Sie unseren neuesten Bericht

Hat Ihnen dieser Beitrag gefallen? Holen Sie sich unseren neuesten Bericht zur Managed Detection and Response: Der perfekte Cyber Storm: Warum MDR die Option für die moderne Cybersicherheit ist

Covid, von zu Hause aus arbeiten und „Bring Your Own Device“ haben unsere Bedrohungsbereiche um das 1'000-Fache erweitert. Laden Sie diesen Bericht herunter, um einen Einblick zu erhalten:

  • Wie schnell reale Probleme wachsen
  • Warum die Angriffsfläche zunimmt
  • Warum jetzt alles in der Cloud ist
  • Warum Tools allein nicht die Antwort sind
  • Wie die erfolgreichsten Organisationen sich jetzt schützen