single.php
< Beitrag von Michael Wirth

Protect – Detect – Respond. 3-fach-Schutz vor Cyber-Attacken – Gastbeitrag

Das „National Institute of Standards and Technology“ (Nist) nennt in seinem Cyber Security Framework 5 Funktionen des Cyber Security Risk Managements: Identify – Protect – Detect – Respond – Recover. Angeblich können sich Entscheidungsträger ja höchstens 3 Bullet Points merken. Aber auch unabhängig davon, plädiert Microsoft dafür, nur 3 dieser 5 Funktionen zu fokussieren, um Cyber-Attacken abzuwehren: Protect – Detect – Respond.

3 Basisfunktionen zur Abwehr von Cyber-Attacken sind genug

Die Funktionen Identify und Recover sind zwar nicht überflüssig. Aber für die operative Betrachtung von Security sind die Identifikation von Systemen und die Ermittlung ihres Schutzbedarfes nur von theoretischer Bedeutung. So ist z. B. die Grenze zwischen „Respond“ und „Recover“ häufig fließend, denn Recovery kann leicht als ein typisches Element von „Response“ verstanden werden.

Im Hinblick auf die verbleibenden 3 Funktionen Protect – Detect – Respond kann ich aus Erfahrung sagen: Bei den meisten Unternehmen, mit denen ich zusammenarbeiten durfte, stand die Gewichtung in einem krassen Missverhältnis. Sehr viel investiert wurde in die präventiven Schutzmaßnahmen (Protect). Vernachlässigt wurden dagegen das Aufspüren von Angriffen (Detect) und die Antwort auf erfolgreiche Angriffe (Respond).

Tipp 1: Mehr Budget und Aufmerksamkeit für Detection

Jetzt denken Sie vielleicht: „… aber wir stecken doch so viel Aufwand in unser Security Information and Event Management (SIEM)!“ Das mag sein, aber die Studien von Gartner und FireEye 2014 zeigen: Trotz aller Protection-Anstrengungen dauert es durchschnittlich 205 Tage, um einen Eindringling aufzuspüren. Andere Studien ermitteln Werte zwischen 98 und 197 Tagen – je nach Industrie-Branche.

Und außerdem: Nach meiner Erfahrung werden Cyber-Attacken fast nie über die Auswertung des SIEM entdeckt, sondern eher durch:

  • den Abfluss (und die Publikation) interner Dokumente
  • die (in der Regel zeitlich deutlich später erfolgende) Aktualisierung der Signaturen von Antimalware
  • die Beobachtung von ungewöhnlichem Verhalten der Computer-Systeme (die erst dann von Systembetreuern genauer unter die Lupe genommen werden)

Sie fragen sich, warum das so ist? Nun, SIEM-Systeme untersuchen rückblickend Fragen, wie z. B.: Über welches System ist der Angreifer in das Netzwerk eingedrungen? Und wann genau war der Angriff erfolgreich?

Die Angreifer, die wir als „Advanced Persistent Threat“ bezeichnen, agieren aber nicht rückblickend, sondern vorausschauend: Ihre Schadsoftware ist deshalb „advanced“ und „erfolgreich“, weil sich die Entwickler „Qualitätssicherungsteams“ leisten. Die Arbeit dieser Teams hat nur ein Ziel: Kein aktuelles Anti-Viren-Programm soll den Schadcode zu Beginn der Cyber-Attacke erkennen.

Verstehen Sie mich nicht falsch: Der Einsatz von SIEM- und Anti-Viren-Programmen ist absolut notwendig – aber eben nicht hinreichend. Nutzen Sie unbedingt auch Detection-Tools wie UEBA (User & Entity Behavioral Analytics) und EDR (Endpoint Detection & Response), um Cyber-Attacken Risks effektiv abzuwehren.

Der Begriff UEBA stammt von Gartner. UEBA-Tools beobachten das Verhalten von Nutzern und Systemen im Netzwerk, um einen Angriffsversuch zu erkennen. Die Programme arbeiten teils deterministisch, teils heuristisch, mit Hilfe von Signaturen oder auch durch den Einsatz von Machine Learning-Methoden. EDR-Tools protokollieren alle Aktivitäten auf dem Arbeitsplatz-PC: Sie analysieren diese Aktivitäten und warnen bei verdächtigen Verhaltensabweichungen.

Tipp 2: Machen Sie den Ernstfall zum Normalfall

Was tun Sie, wenn es gekracht hat? Verfallen Sie in den „Headless Chicken Mode“ oder liegt ein Notfallplan bereit? Auf jeden Fall ist es jetzt zu spät, EU-weit nach einem guten Security-Dienstleister zu suchen!

Sie sollten also vorbereitet sein, und das heißt: Sie haben bereits den Supportvertrag mit einem externen Incident Response-Team in der Tasche. Sie kennen Ihren Ansprechpartner und haben einen Kommunikationsplan erstellt, der Fragen wie diese beantwortet:

  • Wann wird welcher Management-Level informiert?
  • Wann wird der Vorfall den Ermittlungsbehörden angezeigt?
  • Wie ist der Umgang mit der Presse geregelt?

Planen, testen und trainieren Sie Response- und Recovery-Maßnahmen. Es mag frustrierend sein, aber am besten, Sie betrachten die potenziell erfolgreiche Cyber-Attacke als Normalzustand. Ein erfolgreicher Angriff und Ihre Reaktion darauf müssen ein Routinevorgang sein.

Tipp 3: Entwickeln Sie Routine

Ein Fußballteam, das langfristig erfolgreich sein will, bestreitet nicht nur Pflicht- und Finalspiele. Ebenso wichtig sind Trainings- und Vorbereitungsmatches. Für Security-Teams gilt das Gleiche: Warten Sie nicht, bis ein Angreifer zuschlägt, sondern üben Sie regelmäßig – und zunehmend routiniert – den Umgang mit Cyber-Attacken.

Bewährt hat sich dabei das Engagement eines Sparringpartners: Das Security Team – das „Blue Team“ – sucht sich ein gegnerisches „Red Team“. Das „Red Team“ versucht, die Systeme zu attackieren. Das „Blue Team“ setzt alles daran, diese Angriffe zu erkennen (detect) und zu bekämpfen (respond).

Fazit: Fokus auf Detection und Reponse – nicht ohne Protection

Meine dringende Empfehlung, Detection und Response zu fokussieren, bedeutet nicht, dass Protection keine Rolle mehr spielt. Im Gegenteil: Bedrohungsmodellierung, Systemhärtung, Identity- und Access-Management sowie zeitnahe Sicherheitsupdates sind unbedingt notwendig. Aber wenn Sie mit Ihrem Management über das Security-Budget sprechen oder wenn Sie selbst darüber entscheiden, dann sollten Sie Detection und Reponse mehr Gewicht geben – ohne den Einsatz für die Prävention zurückzufahren. Die Sicherheit Ihres Unternehmens wird es Ihnen danken.

Extra-Tipp: Möchten Sie mehr erfahren über das Sparringspartner-Konzept? Das White Paper des Microsoft Azure Security Teams erläutert das Red Teaming am Beispiel von Microsoft Azure und erklärt der Unterschied zu herkömmlichen Penetration-Tests.

Folgen
X

Folgen

E-mail : *
Kategorie: IT-Security | Schlagwörter: , , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.