Aufbau einer hypervigilanten Sicherheit für die Welt nach der Pandemie

Die Pandemie hat die Unternehmen dazu gezwungen, auf Remote-Operationen umzusteigen, so dass Millionen von Mitarbeitern auf Remote-Geräten und -Netzwerken arbeiten müssen, die anfälliger für Angriffe sind. Da immer mehr Endgeräte geschützt werden müssen und Cyberangriffe zunehmen, sind Unternehmen zunehmend anfällig für Angriffe. In einem kürzlich veröffentlichten Bericht gaben 85% der CISOs an, dass sie die Cybersicherheit geopfert haben, um Remote-Arbeiten schnell zu ermöglichen.

Cybersicherheitslösungen

In diesem neuen Paradigma sind herkömmliche Cybersicherheitslösungen, die dem Ansatz „Burg und Burggraben“ folgen, unzuverlässig. Sie schützen zwar die Unternehmensgrenzen, gehen aber davon aus, dass die wichtigsten Unternehmensressourcen automatisch sicher sind, und bemerken oft nicht, dass es bereits Bedrohungen gibt.

Normalerweise werden eingehende Sicherheitsereignisse oder potenzielle Indikatoren für eine Gefährdung (Indicators of Compromise, IoC) von Sicherheitsteams aus verschiedenen Quellen wie Endpunkten, Netzwerken und Firewalls gesammelt. Auf manuelle oder halbautomatische Weise visualisieren und korrelieren sie die Ereignisse und erarbeiten einen Lösungsansatz, um bösartige Bedrohungen zu beseitigen.

Angesichts der zunehmenden Anzahl von Sicherheitswarnungen müssen die Betriebsteams jedes Ereignis verarbeiten, anstatt kritische Ereignisse zu priorisieren. In Wirklichkeit handelt es sich bei über 75 % dieser Ereignisse um Fehlalarme, die das Unternehmen jedoch einem erheblichen Sicherheitsrisiko aussetzen. Dies ist bemerkenswert, wenn man bedenkt, dass ein Unternehmen zwischen 20 und 50 Sicherheitsprodukte im Einsatz hat.

Mit der zunehmenden Verbreitung der Cloud wird es für Unternehmen immer einfacher und schneller, Umgebungen zu erstellen, einzurichten und zu implementieren. Aber auch die Verarbeitung von Sicherheitswarnungen wird komplexer, so dass die manuelle Verarbeitung von Ereignissen sehr ineffektiv ist. Außerdem verlangsamt dies ein schlankes Sicherheitsteam und lenkt es von anderen Prioritäten ab. Tatsächlich geben 70 % der Cybersecurity-Experten an, dass sich der Mangel an Cybersecurity-Fachkräften auf ihr Unternehmen auswirkt.

Sicherheitsoperationen

Dies zwingt die Sicherheitsteams dazu, fortschrittliche Lerntechnologien einzusetzen, um den Incident Response Workflow zu bewältigen – unter Verwendung von künstlicher Intelligenz und maschinellem Lernen (AI/ML) – um bösartige Ereignismuster zu identifizieren, zu korrelieren und zu automatisieren. Um auf die statischen Signaturen der traditionellen Sicherheitsendpunkte zurückzukommen: bösartige Ereignisse geben sich als harmlose Ereignisse aus und schlüpfen durch die Netzwerkabwehr.

Die Taktiken der Bedrohung und die sich entwickelnden Signaturen der eingehenden Ereignisse deuten auch auf einen zunehmenden Grad an Raffinesse hin, wie z.B. die Ausnutzung von Schwachstellen, die Eskalation von Angriffen durch umfangreiche Aufklärungsaktivitäten und die Bewaffnung zum Zeitpunkt der Ausführung ihrer Wahl. In vielen Fällen sind ältere Tools die Fußsoldaten, die schädliche Bedrohungen abwehren. Dennoch werden sie zunehmend durch ausgeklügelte Angriffe behindert, die möglicherweise bereits in der Umgebung des Unternehmens lauern.

Um eine Haltung der Hypervigilanz zu erlangen, müssen Unternehmen Sicherheitslösungen einsetzen, die Funktionen zum Scannen von Bedrohungen mit einer automatisierten Reaktion auf Bedrohungen kombinieren, die größere Ereignismengen konsistent verarbeiten können. Um dies zu erreichen, müssen Infrastrukturen ständig auf verdächtige Bedrohungsvektoren und Anzeichen für eine Gefährdung gescannt werden. Bei der Überwachung und Erkennung bösartiger Muster müssen Bedrohungen automatisch identifiziert werden, während gleichzeitig die Prioritäten für die Beseitigung von Ereignissen festgelegt werden.

Parallel dazu ist es wichtig, ausgefeilte KI/ML-basierte Parsing-Algorithmen und Mustererkennung einzusetzen. Das Ziel ist es, böswillige Akteure in ihren Bahnen zu stoppen, ohne dass die Sicherheitsteams sich auf Aktivitäten mit höherer Priorität konzentrieren müssen.

Angesichts der Geschwindigkeit, mit der sich Sicherheitsverletzungen ausbreiten, wenden sich Sicherheitsexperten zunehmend Lösungen zu, die sich auf Hypervigilanz und die ständige Überwachung der Netzwerkinfrastruktur auf verdächtige Aktivitäten im Zusammenhang mit Richtlinienänderungen, Konfigurationsaktualisierungen oder der Eskalation von Privilegien konzentrieren. Dies ist ein entscheidender Schritt, wenn man bedenkt, wie schnell die Infrastruktur mit Cloud-Workloads erweitert werden kann. Wie wir bei SolarWinds gesehen haben, sind Unternehmen Cyberangriffen ausgesetzt, die sowohl lokale als auch Cloud-Ressourcen betreffen. Deshalb brauchen Unternehmen eine Lösung, die einen umfassenden Erkennungs- und Reaktionsmechanismus bereitstellt, der nahtlos mit den Kundenumgebungen kompatibel ist.

Eine effiziente Erkennung von und Reaktion auf Sicherheitsbedrohungen hängt in hohem Maße von der Transparenz des Netzwerks in den verteilten Umgebungen des Kunden ab. Darüber hinaus ermöglicht die Analyse des kontextbezogenen Verhaltens von Bedrohungen, die über grundlegende Footprints und statische Auslöser hinausgehen, eine bessere Identifizierung und Abhilfe. Unternehmen erweitern ihren Geschäftsbetrieb und ihre Infrastruktur und vergrößern dabei unbeabsichtigt ihre Angriffsfläche. Daher kann ein Hypervigilant-Ansatz dazu beitragen, diese Angriffsfläche durch kontinuierliche Überwachung zu minimieren und katastrophale Bedrohungen abzuwehren.