Sie stehen unter Beschuss. Trotz Ihrer besten Bemühungen und beträchtlicher Investitionen in Einzellösungen zum Schutz Ihres Unternehmens vor Cyberbedrohungen – kommen die Angriffe immer wieder vor.

Das Schlimmste ist, dass viele Umgebungen, die gehackt werden, als sicher galten. Aktuelle Untersuchungen von Sophos haben ergeben, dass 91 % der Unternehmen, die verletzt wurden, aktuelle Sicherheitsstacks ausgeführt haben. Ein undurchlässiger Perimeter wäre ideal, aber das ist nicht immer machbar.

Unter dem Strich müssen Sie mit Verstössen rechnen. Wenn es dazu kommt, wollen Sie es mitbekommen. Noch wichtiger ist, dass Sie auf den Verstoss reagieren, bevor er ausser Kontrolle gerät.

Das ist nicht einfach, insbesondere wenn Sie einen kleinen Cybersicherheitsbetrieb haben oder sich als Einzelperson um Sicherheit kümmern müssen. Sie wissen, dass Sie verwundbar sind, haben aber nicht die Kontrolle, die Sie zum Schutz Ihres Unternehmens benötigen. Doch mit den richtigen Lösungen und Best Practices ist es möglich, Cyberangriffe zu identifizieren und zu isolieren.

Einen umfassenderen Datensatz verwenden

Zurzeit geht man davon aus, dass Cybersicherheit damit beginnt, dass man weiss, ob eine Sicherheitslücke vorliegt. Unternehmen arbeiten in der Regel daran, mithilfe von Security Information and Event Management (SIEM)-Lösungen nach auffälligem Verhalten zu suchen, um festzustellen, ob ein Verstoss vorliegt. Viele Organisationen senden jedoch nicht alle relevanten Informationsquellen an das SIEM.

Dies schränkt ihre Genauigkeit bei der Identifizierung von Ereignissen ein, die Aufmerksamkeit erfordern oder nicht. Ergänzen Sie die Security-Logdaten in Ihrem SIEM mit Informationen, die Ihre Warnungen kontextualisieren, wie Authentifizierung-Logs, datenflussbezogene Metadaten und einer Vielzahl von Bedrohungsinformationen. Durch die Kombination dieser Informationen mit den richtigen Analyseregeln können Sie erweiterte Bedrohungen identifizieren, die möglicherweise bestehende Sicherheitskontrollen umgangen haben.

Sie sollten für Ihre Endgeräte nicht nur einen Virenschutz haben, sondern auch eine Endpoint Detection and Response (EDR) Lösung nutzen. (Hintergrund: Mein Unternehmen bietet EDR- und MDR-Lösungen an.) Auf diese Weise kann Ihr Security Operations Center (SOC) weitere Analysen von Warnmeldungen durchführen, die von Endgeräten generiert werden. Dies ist wertvoll, denn Untersuchungen von Absolute (im Magazin Security) aus dem Jahr 2019 zeigen, dass 70 % der Sicherheitsverletzungen an den Endgeräten beginnen.

Leistungsfähigkeit von KI und Menschen kombinieren

Dies zeigt eine weitere Herausforderung mit SIEM auf: Sie generieren viele Warnungen, die nicht unbedingt sinnvoll sind und nicht automatisch sortiert werden können. Der Cybersicherheitsmarkt versuchte, dies mit Security Orchestration, Automation and Response (SOAR) zu behandeln. Aber auch SOAR löst das Problem nicht vollständig, da SOAR aufgrund der Komplexität der Orchestrierung, die für die Reaktion auf einige Bedrohungen erforderlich ist, häufig nicht die richtigen Ergebnisse liefert. Ausserdem lässt sich SOAR nur schwer in unterschiedliche kommerzielle Lösungen integrieren, die keine umfangreichen APIs bieten oder für die Änderung der Konfiguration erweiterte Berechtigungen erfordern.

Aus dieser Erkenntnis entstanden SOCs. Diese sind durchaus sinnvoll, denn für Warnungen ist ein menschliches Auge erforderlich. Aber auch hier gibt es eine Herausforderung. Der Einsatz von Menschen zur Überwachung von Warnungen ist extrem kostspielig und nicht immer skalierbar. Sechzig Prozent der von Fidelis (über TechRepublic) im Jahr 2018 befragten SOC-Analysten gaben an, dass sie nur sieben bis acht Warnungen pro Tag untersuchen können und nur 10 Prozent gaben an, dass sie acht bis 10 Warnungen prüfen können.

Ein besserer Ansatz besteht darin, die Leistungsfähigkeit von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) zur Identifizierung von Angriffsmustern zu nutzen, indem historische Daten als Leitfaden verwendet und anschliessend von einer Person überprüft werden. Verlassen Sie sich auf Security-Analysten, um nuancierte Angriffssignale aufzudecken.

Die Konnektivität zur Eindämmung von Bedrohungen nutzen

Die Identifizierung von Verstössen ist nur dann sinnvoll, wenn Sie auf der Grundlage dieser Informationen handeln. Wählen Sie eine Managed Detection and Response (MDR)-Lösung aus, die das Netzwerk steuert, damit Sie erkennen können, was falsch ist und mit vorab genehmigten Massnahmen zur Behebung von Problemen beginnen können.

Die Lösung sollte infizierte Geräte vom Netzwerk isolieren oder die Verbindung mit E-Mails oder anderen Anwendungen und Netzwerkelementen blockieren. Infektionen verbreiten sich schnell, erhöhen die Kosten, decken private Daten auf, schädigen den Ruf und bereiten Kopfschmerzen. Ich glaube, das wichtige Mass ist nicht die Zeit bis zur Erkennung, sondern die Zeit bis zur Reaktion.

Worauf Sie achten sollten, um passende Lösungen zu finden

Suchen Sie nach Lösungen, die ihre eigenen Erkennungssensoren für das Monitoring potenzieller Angriffsflächen verwenden. Viele Anbieter sammeln einfach Logs und versuchen, Bedrohungen aus allen Daten zu verstehen oder zu identifizieren. Dieser Ansatz kann aufgrund der Menge an Warnungen und Gesamtinformationen und einem mangelnden Verständnis der zugrunde liegenden Systeme störend sein. Infolgedessen kann die Suche nach unerkannten Bedrohungen oder falsch positiven Berichten über Sicherheitsvorfälle viel Zeit in Anspruch nehmen. Sensoren können für das SOC-Team eine „Quelle der Wahrheit“ sein. Kombinieren Sie diese Sensoren mit anderen Logdaten, um Kontext hinzuzufügen und den Verteidigern die genauere Identifizierung von Bedrohungen zu erleichtern.

Entscheiden Sie sich für Lösungen, die Eindämmung und Ratschläge für die Reaktion auf Bedrohungen rund um Ihre spezifischen Sicherheitsbedenken bieten. Sind Sie besorgt über Ransomware, kompromittierte Konten oder Datendiebstahl? Suchen Sie nach Lösungen, die Erfahrung und Eindämmungsmöglichkeiten in diesen Bereichen haben.

Die meisten Unternehmen arbeiten in hybriden Umgebungen. Wählen Sie eine Lösung, die alle potenziellen Angriffsflächen in Ihrer spezifischen hybriden Umgebung berücksichtigt.

Jetzt ist es an der Zeit, eine aktive Ausrichtung auf Cybersicherheit einzunehmen, damit Sie bereit sind, wenn es zu Angriffen kommt. Wenn Sie von Warnungen zu Erkenntnissen wechseln, können Sie weitreichende Schäden vermeiden, bessere Erfahrungen bieten, ein verbessertes Wachstumspotenzial nutzen und die Ausfallsicherheit Ihrer Organisation erhöhen.

Ursprünglich auf Forbes veröffentlicht