Lektionen für Sicherheitsfachkräfte
Wenn zwei von fünf Sicherheitsexperten sagen, dass sie routinemäßig Sicherheitswarnungen ignorieren, weil sie überfordert sind, haben sie ein ernstes Problem. Fachleute, die bei der Black-Hat-Studie befragt wurden, sehen die Automatisierung als eine mögliche Lösung für dieses Problem.
- Crime-as-a-Service (CaaS)
Nachdem das Information Security Forum in diesem Bereich bereits 2017 einen signifikanten Anstieg verzeichnen konnte, rechnen die Experten für 2018 mit einem neuerlichen CaaS-Boom. Das wird vor allem daran liegen, dass man insbesondere in der organisierten Kriminalität die Cybercrime-Vorteile zu schätzen weiß. <br><br /> Im Vergleich zu 2017 rechnet Steve Durbin - Managing Director des ISF - allerdings damit, dass der CaaS-Trend viele neue „Cybercrime-Aspiranten“ ohne tiefgehendes technisches Wissen anziehen wird, die dann mit gekauften Tools Hackerangriffe bewerkstelligen, zu denen sie sonst niemals in der Lage gewesen wären. Gleichzeitig steigt aber auch das Professionalisierungslevel unter fähigen Black-Hat-Hackern – insbesondere beim Thema Social Engineering, wie Durbin sagt: „Die Linie zwischen Enterprise und Privatperson verwischt immer mehr – das Individuum wird immer mehr zur Firma.“ <br><br /> - Internet of Things (IoT)
Das Internet der Dinge bleibt auch 2018 Security-Sorgenkind. Der Grund: Immer mehr Unternehmen setzen IoT-Devices ein – der „Security by Design“-Grundsatz hat sich hingegen immer noch nicht im großen Stil durchgesetzt. Auch die durch die rasant wachsenden IoT-Ökosysteme verwässerte Transparenz wird vom ISF angeprangert. <br><br /> Kommt es zu Datenlecks, ist es sehr wahrscheinlich, dass die betroffenen Unternehmen nicht nur den Zorn der Kunden, sondern auch die harte Hand der Regulatoren zu spüren bekommen. Worst-Case-Szenario: IoT-Devices in industriellen Kontrollsystemen (oder anderen kritischen Infrastrukturen) werden kompromittiert und führen zu Gefahr für Leib und Leben. <br><br /> „Aus Sicht der Hersteller ist es wichtig, Verhaltensmuster und Wünsche der Kunden zu verstehen,“ so Durbin. „Aber das hat dazu geführt, dass mehr Angriffsvektoren als je zuvor vorhanden sind. Die Devices müssen so abgesichert werden, dass sie unter Kontrolle sind – und nicht uns unter Kontrolle haben.“ <br><br /> - Supply Chain
Seit Jahren prangert das ISF die Schwachstellen in der Supply Chain an. Denn hier werden, wie die Experten wissen, oft vertrauliche Daten mit Zulieferern geteilt. Sobald das der Fall ist, verliert das betreffende Unternehmen seine direkte Kontrolle. <br><br /> „Egal, in welcher Branche Sie tätig sind“, macht Durbin klar, „jedes Unternehmen hat eine Lieferkette. Die Herausforderung besteht darin, zu wissen, wo sich die Daten befinden – und zwar zu jedem Zeitpunkt im Lifeycycle. Und natürlich darin, die Integrität der Informationen, die geteilt werden sollen, zu bewahren.“ Unternehmen sollten deshalb nach Meinung der ISF-Experten auf das schwächste Glied in ihrer Lieferkette fokussieren und Risikomanagement-Elemente in bestehende Prozesse einbauen. <br><br /> - Regulierung
Regulationen steigern die Komplexität. Das ist auch im Fall der EU-Datenschutzgrundverordnung (DSGVO/GDPR) nicht anders. <br><br /> „Ich habe in den letzten Monaten kein Gespräch geführt, bei der GDPR nicht Thema war“, meint Durbin. „Dabei geht es nicht nur um Compliance: Sie müssen in der Lage sein, persönliche Daten zu managen und zu schützen und das auch beweisen können – und zwar zu jeder Zeit. Und nicht nur gegenüber den Regulatoren, sondern auch gegenüber den Kunden.“ <br><br /> - Unerfüllte Erwartungen
Diskrepanzen zwischen den Erwartungen des Vorstands und dem, was IT-Sicherheits-Abteilungen tatsächlich leisten können, wird laut den ISF-Experten 2018 eine Bedrohung darstellen. <br><br /> Durbin erklärt, warum: „Der CISO – so die Denke – hat schon alles unter Kontrolle. In vielen Fällen weiß der Vorstand einfach nicht, welche Fragen er dem CISO stellen sollte. Auf der anderen Seite versteht auch so manch ein CISO nicht unbedingt, wie er mit dem Vorstand – oder dem Business – kommunizieren muss.“ <br><br /> Die Folgen eines Sicherheitslecks oder erfolgreichen Angriffs bekommt aber nicht nur das Unternehmen als Ganzes zu spüren – auch die Reputation einzelner Manager – oder des ganzen Vorstands – können darunter leiden. Die Rolle des CISOs muss sich 2018 deshalb verändern, ist Durbin überzeugt: „Die Rolle des CISOs besteht heute vor allem darin, Dinge vorher zu sehen – nicht darin, für die Funktion der Firewall zu sorgen. Ein guter CISO muss Sales-Experte und Berater zugleich sein: Wenn er seine Ideen nicht verkaufen kann, werden Sie beim Vorstand auch keinen Anklang finden.“ <br><br />
Mit folgenden drei Schritten können Sicherheitsmaßnahmen automatisiert werden:
1. Fangen Sie klein an.
Sie müssen nicht Automatisierung als ein End-to-End-Projekt betrachten. Fangen Sie mit ein paar banalen Aufgaben an, die Analysen vereinfachen. Die Umsetzung kann ganz simpel aussehen, wie zum Beispiel Automatisieren von maschineller Prozesssuche: Was läuft auf der Maschine? Ist das normal?
Das könnte etwa Malware-Eliminierung in einer Sandbox oder eine Bedrohungsintelligenz-Suche sein. Diese kleinen Schritte können den Zeitaufwand für die Bedrohungsanalyse stark beeinflussen.
2. Machen Sie weiter.
Wenn Sie einige Aufgaben erfolgreich automatisiert haben, wählen Sie weitere Anwendungsfälle. Fokussieren Sie sich dabei auf Arbeitsprozesse, die Teil der Analysen sind und gewöhnliche, sich wiederholende Aufgaben, die die Analysezeit deutlich verringern könnten.
3. Werden Sie aktiv.
Erweitern Sie Automatisierung auf risikoschwache Elemente, die Teil des Auflösungsprozesses sind, wie das Deaktivieren eines Benutzerkontos, wenn ein Konto kompromittiert wurde oder wenn ein Block auf einer Firewall hinzugefügt wird, wenn ein infiziertes System mit einem neu gefundenen Befehls- und Kontrollsystem kommuniziert. Oder sogar das automatische Löschen von neu bestätigter Phishing-E-Mail aus allen Postfächern. Dies ermöglicht eine Automatisierung, die Unternehmen wertvolle Zeit beim Beheben von Sicherheitsvorfällen spart und gleichzeitig Sicherheitsanalysen auslagert, damit sich Sicherheitsfachkräfte auf komplexere Aufgaben konzentrieren können.