Gartner rät Unternehmen, ihre bestehenden Lösungen und Prozesse im Bereich Security zunächst zu optimieren, bevor sie neue Schutzmechanismen anschaffen. Dabei spricht der Analyst von der "Adaptive Security Architecture", die nicht länger allein auf der Abwehr (Respond) und der Erkennung (Detect) von Cyberattacken bestehen, sondern auf die Voraussage und aktives Management von Incidents wertlegen.
Foto: BeeBright - shutterstock.com
Dieser Gedanke wird immer wichtiger, da die IT-Landschaft immer ausgeweiteter wird. Die Ausgaben in digitale Technologie und dadurch auch in Schutzmechanismen werden immer größer. Aktuelle Studien zeigen, dass die Anzahl an vernetzten Geräten von derzeit 28 Milliarden bis 2020 auf voraussichtlich 50 Milliarden steigen wird. Auch die Zahl der vernetzten Personen wird sich von heute 2 Milliarden bis 2020 auf 6 Milliarden erhöhen. Das bedeutet, dass sowohl die Angriffsoberfläche, die das Netzwerk bietet, als auch die Angriffsoberfläche die der Mensch selbst darstellt, größer werden.
Hinzu kommt das Personalproblem. Voraussichtlich werden auf dem Sicherheitsarbeitsmarkt bis zum Jahr 2019 1,5 Millionen Fachleute fehlen. Für IT-Abteilungen bedeutet dies, dass sie selbst mit der Bewilligung von höheren Gehältern nur bedingt neues Personal finden können, um der zunehmende Zahl an Devices und Vorfällen Herr zu werden.
Garnter spricht zusätzlich die Bereiche Predict und Prevent an und spricht außerdem über insgesamt 12 Fähigkeiten einer Sicherheitsarchitektur. Um all dies umzusetzen braucht es nicht nur die passenden Werkzeuge und Fachpersonal, sondern auch die richtige Strategie zur Führung und Koordination von Security Operations. Schon heute gibt es in jedem Unternehmen 328 gleichzeitig erfolgende Verstöße - legt man die Verweilzeit, bis ein Datenverstoß entdeckt wird, und die durchschnittliche Anzahl an gemeldeten Vorfällen zugrunde.
- Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt. - Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht. - Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer. - Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern. - Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual". - Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen. - Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!
Während die Motivation der meisten Gegner finanzieller Art ist (Stehlen von Informationen wie Kreditkartennummern, Patenten und geheime Informationen, die im Darkweb verkauft werden können), sind auch Hacktivismus, Cyberkrieg und Cyberspionage Gründe für einen Angriff.
Weil die Problematik derart eklatant ist, dürfen Führungskräfte die Fachabteilungen nicht alleine lassen, sondern sollten sich ebenfalls die Frage stellen, wie sie effektiven Einblick in die großen Datenmengen von Sicherheitsvorfällen erlangen und helfen können, den nächsten Angriff zu erkennen und zu verhindern. Ziel muss es sein, die eigenen IT-Sicherheitsteams richtig aufzustellen und vorzubereiten.
Data-Mining und Threat-Intelligence
Jeder Sicherheitsvorfall weltweit liefert Hunderte von Indicators of Compromise (IOCs). Sie können mit der Host Evidence des Opfers (wie Malware-Typ, Dateiname, Hash-Datei und Registrierungsschlüssel) zusammenhängen, darüber hinaus aber auch mit den Kommunikationswegen zum schädlichen Link (wie IP-Adresse, Domain-Name, URL und Port-Nummern). Sowohl Host-basierte als auch Netzwerk-basierte IOCs deuten auf ein mögliches Eindringen in das Netzwerk.
Das Problem besteht darin, dass die Daten nicht immer verknüpft sind, und eine enorme Menge durchsucht werden muss. Wenn man vier Threat-Intelligence-Quellen hat, die auch nur 300 Indikatoren pro Tag liefern, bedeutet das, dass man mindestens 500.000 Indikatoren pro Jahr erhält. IT-Fachkräfte haben nicht die Zeit, sie alle zu untersuchen und alle Informationen in die bestehenden Sicherheitstools (IPS, Firewalls, usw.) einzustellen. Am Ende kann das zu Tonnen von Falschmeldungen und schlechter Performance führen.
Der Input von Threat-Intelligence-Anbietern ist enorm, denn sie versuchen auf die veränderte Gefahrenlandschaft zu reagieren. Zudem gibt es Open-Source-Projekte und öffentliche Quellen wie das BSI, die IOCs analysieren und Threat-Feeds veröffentlichen. Jeder Anbieter fügt dem Puzzle ein Teil hinzu, um die aktuelle Bedrohungslandschaft so gut wie möglich abzubilden. Das Problem ist dabei, dass Organisationen dieses Wissen integrieren und nutzbar machen müssen.
Das führte dazu, dass die Branche Threat-Intelligence-Plattformen einführte, um alle Teile an einem Speicherort zusammenzuführen und so ein Gesamtbild der Bedrohung zu erhalten. Die Threat-Intelligence-Plattform automatisiert Aufnahme, Korrelation, Normalisierung und Deduplizierung und dient als "Single Source of Truth" für alle Teams und Systeme innerhalb des Unternehmens. Sie wird zum Instrument, mit dem Daten gewonnen werden, die zum Verständnis von Bedrohungen beitragen, mit dem Kontext hinzugefügt wird, um Analysen und Untersuchungen durchführen zu können und mit dessen Hilfe Informationen aus den Prozessen und Tools eines Unternehmens effektiv genutzt werden können.