Foto: Rawpixel.com - shutterstock.com
Die von IBM in Auftrag gegebene Studie "2018 Cost of a Data Breach" vom Ponemon Institute stellt fest, dass sich die durchschnittlichen Kosten eines Datenangriffs weltweit auf 3,86 Millionen US-Dollar belaufen. Das ist ein Anstieg von 6,4 Prozent gegenüber dem Vorjahr, wobei Mega-Breaches (Verletzungen von mehr als 1 Million Datensätzen) 40 Millionen US-Dollar und mehr kosten. Trotz aller Schutzebenen und Maßnahmen scheitert der gegenwärtige Sicherheitsansatz.
Security-Teams optimieren und Informationssilos vermeiden
CISOs wollen die Ausweitung und den Kauf weiterer reaktiver, auf den jüngsten Angriff ausgerichteten Produkte stoppen. Stattdessen sollte eine Verbesserung der Sicherheitsabläufe durchgeführt werden, indem die bereits vorhandenen Sicherheitstechnologien und -teams aufeinander abgestimmt und die Informationen teamübergreifend genutzt werden. Was einfach klingt, gestaltet sich allerdings schwierig. Die meisten Unternehmen verfügen über ein Computer Security Incident Response Team (CSIRT), Security Operations Center, Risk Management, Vulnerability Management, Endpoint, Perimeter Teams und mehr. Jedes dieser Teams stützt sich auf eine bestimmte Kombination unterschiedlicher Punktprodukte, die jeweils ihre eigene Intelligenz beinhalten. Es werden ebenfalls diverse Bedrohungs-Feeds von kommerziellen Quellen, Open Source, Industrie, Regierung und bestehenden Sicherheitsanbietern abonniert, um umfassend informiert zu sein.
Sicherheitsteams und deren Sicherheitssysteme sind allerdings so organisiert, dass sich Informationssilos bilden. Das heißt, sie agieren aus einem Informationssystem heraus, das nicht in der Lage ist wechselseitig mit weiteren ähnlichen Systemen zu arbeiten und zu kommunizieren, obwohl das gleiche Ziel verfolgt wird. Potenzielle Synergien zu nutzen scheint fast unmöglich.
Die CISOs sind sich bewusst, dass der zeitnahe und sinnvolle Austausch von Informationen zwischen diesen Teams und den von ihnen eingesetzten Tools der Schlüssel zu einer kürzeren Erkennungs- und Reaktionszeit ist - nicht die nächste "Silver Bullet"-Sicherheitstechnologie oder ein anderer Bedrohungsfeed. Dies erfordert jedoch eine Veränderung und Optimierung gewohnter Arbeitsabläufe und -prozesse. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt im aktuellen Lagebericht zur IT-Sicherheit fest, dass fortgeschrittene Angriffsmethoden mit komplexeren Sicherheitsmaßnahmen beantwortet werden müssen.
"Um nicht bei einem rein reaktiven Vorgehen zu bleiben, kommt dem vorhandenen Managementsystem für Informationssicherheit (ISMS), der Sicherheitskonzeption und der Umsetzung aktueller Sicherheitsmaßnahmen eine hohe Bedeutung zu", so das BSI. Außerdem sollte laut Aussage im BSI-Lagebericht auf entdeckte Schwachstellen und Angriffe planvoll und systematisch reagiert werden: "Nachdem die Erstmaßnahmen umgesetzt wurden, sollten anschließend sinnvollerweise auch das Informationssicherheitsmanagementsystem (ISMS) auf Aktualität sowie Konformität mit den Vorgaben überprüft und die Sicherheitsmaßnahmen angepasst werden."
Security-Alarm in der Praxis
Die meisten Sicherheitsexperten können sich mit folgenden Szenarien identifizieren:
1.Das SOC (Security Operation Center) erkennt etwas im Netzwerk, hat Schwierigkeiten zu überprüfen ob tatsächlich ein Angriff stattfindet, und leitet die Informationen an das Incident Response Team zur weiteren Verwaltung weiter.
2.Das Incident Response Team ist mit der Menge an Alarmen oftmals überfordert und benötigt teilweise Stunden, Kontext über verschiedene Plattformen und das Internet zu bekommen. Handelt es sich tatsächlich um einen Angriff, werden Informationen manuell, oftmals per XLS-Sheets, an andere Teammitglieder weitergeleitet. Erst dann kann mit dem Lösen des Problems begonnen werden - wertvolle Zeit ist dann aber bereits verstrichen. Man schließt den Vorfall ab und fährt mit dem nächsten Alarm fort.
3.Das Schwachstellenteam hat Schwierigkeiten zu überprüfen, ob durch den Angriff eine im Netzwerk befindliche Schwachstelle ausgenutzt werden kann, führt eine manuelle Überprüfung durch, findet die Schwachstelle im Netzwerk und stellt sie in die Warteschlange für das Patchen durch einen wahrscheinlich manuellen Prozess ohne echte Priorität.
Zentrale Informationsplattform als Ausweg
Nun stellt sich die Frage, wie dieses Szenario aussehen würde, wenn die einzelnen Abteilungen über eine zentrale Bedrohungsdatenbank untereinander kommunizieren würden und Informationen problemlos austauschen könnten?
Das SOC reichert IoCs (Indicator of Compromise) durch die zentrale Bedrohungsdatenbank automatisch mit externen Informationen an und teilt diese mit den anderen Sicherheitsteams, um eine umfassendere Untersuchung und Korrelation mit anderen Aktivitäten zu ermöglichen. An dieser Stelle können für das Unternehmen nicht relevante Ereignisse bereits herausgefiltert und so die Last des Incident Response Teams reduziert werden. So können beispielsweise die Endpunkt- und Perimeter-Teams Hashes und Reputationslisten überprüfen, um die Bereiche zu blockieren, von denen bekannt ist, dass sie direkt oder indirekt vom Angriff betroffen ist.
Das Incident Response Team erhält durch eine zentrale Bedrohungsdatenbank schnell benötigten Kontext, kann somit weitere False/Postives eliminieren und teilt nun alle Informationen über den Angriff und die Abwehr, damit andere Teams an anderer Stelle im Netzwerk nach relevanten IoCs suchen können. So kann entsprechend darauf reagiert und das Risiko minimiert werden. Gleichzeitig kann der Schutz von den Endpunkt- und Perimeter-Teams entsprechend aktualisiert werden.
Das Schwachstellenteam erhält über die Bedrohungsdatenbank sofort und automatisch Informationen, ob sich Systeme im Netzwerk befinden, welche für einen Angriff verwundbar sind und welche Bedeutung das für das Unternehmen hat. Dadurch können Patches entsprechend priorisiert und gegebenenfalls ein automatischer Patchprozess gestartet werden.
Zudem ermöglicht eine Bedrohungsdatenbank dem SOC und dem CSIRT, zu sehen, ob die aktuelle Schwachstelle bereits in der Vergangenheit für einen Angriff auf das Unternehmen ausgenutzt wurde. Über eine retrospektive Analyse kann festgestellt werden, ob der IoC vor Wochen oder Monaten bereits erschienen ist, welches Ausmaß an Schaden der Angriff hatte und welche Abwehrmaßnahmen durchgeführt werden müssen.
Informations-Sharing erhöht IT-Security
Die CISOs sind auf dem richtigen Weg. Der Schlüssel zur Verbesserung der Security-Struktur besteht darin, Verbindungen zwischen den einzelnen Teams herzustellen und Informationssilos zu vermeiden. So können Informationen über Angriffe sofort geteilt und entsprechend reagiert werden. Das Wissen, das sich in jedem dieser Teams befindet, stellt die wertvollste und umsetzbare Bedrohungsintelligenz dar, die dem Unternehmen zur Verfügung steht - und dieses Wissen wäre verschenkt, würde es nicht nutzbar gemacht werden.
Um diese Verbindungen herzustellen und von diesem Wissen zu profitieren, benötigen Unternehmen eine zentrale Bibliothek, in der sie Bedrohungs- und Ereignisdaten aggregieren und durch Korrelation mit Indikatoren aus der Umgebung ergänzen können. Hierbei werden externe Bedrohungsinformationen, sogenannte Feeds (Open Source Intelligence (OSINT), MISP, kommerzielle Feeds, Enrichment Plattformen) und interne Informationen unter anderem von SIEM,Firewalls, Vulnerability Assessment in einer zentralen und lokalen Datenbank gespeichert. Daten werden automatisch aggregiert, normalisiert und die Relevanz für das Unternehmen überprüft. So ist es möglich, Arbeitsabläufe zu optimieren und die automatische Bereitstellung relevanter und priorisierter Bedrohungsinformationen in Echtzeit für eine orchestrierte und koordinierte Reaktion zu integrieren.
Durch die Zusammenführung von bereits genutzten Sicherheitsmaßnahmen und -diensten, Technologien und Bedrohungsinformationen, können Unternehmen sofortige Verbesserungen der IT-Security vornehmen. CISOs erhalten so ein vollständiges Lagebild aller verfügbaren Ressourcen und Aktivitäten und können alle vorhandenen Sicherheitslücken genau einschätzen. Mit diesem Wissen können globale Sicherheitssysteme effektiver weiterentwickelt werden. (hal)