Im Gespräch über eine angemessene IT-Sicherheitsstrategie sind Unternehmen meist an der Antwort auf eine einzige Frage interessiert: Welche Maßnahmen sind ausreichend? Lange Zeit gingen viele davon aus, dass eine passive Strategie – der Schutz der Netzwerkumgebung und Workstationen – ausreichen würde. Heute, da Unternehmen zunehmend Opfer fortgeschrittener und gezielter Attacken werden, ist klar, dass ein angebrachter Schutz neue Methoden wie zum Beispiel EDR (Endpoint Reaction and Response) erfordert.
Deshalb sind passive Strategien nicht genug
Passive Strategien funktionieren gut bei Massenbedrohungen: Mails, die Trojaner enthalten, Phishing, bekannte Schwachstellen, usw. In anderen Worten: derartige Strategien sind effektiv, wenn Angreifer ein großes Netz auswerfen, in der Hoffnung, dass jemand darauf anspringt und folglich Profit gemacht werden kann. Ihr Geschäft ist illegal aber entspricht noch immer der Geschäftspraxis eine positive Balance zu erzielen – in diesem Fall, die Balance zwischen der Angriffskomplexität (und deren Kosten) und dem erhofften Profit.
Es ist sehr wahrscheinlich, dass sich Ihr Unternehmen in ein interessantes Zielobjekt verwandelt, vor allem wenn es sich um ein größeres Unternehmen handelt. Kriminelle, die es auf Unternehmen abgesehen haben, können an zahlreichen Dingen interessiert sein, wie: finanzielle Transaktionen, Geschäftsgeheimnisse oder Kundendaten. Vielleicht wollen sie auch einfach nur Ihr Unternehmen sabotieren, um der Konkurrenz zu helfen.
Sicherheitsstrategien für Unternehmen: Welcher Schutz ist ausreichend?
Tweet
An dieser Stelle fangen Kriminelle an, in komplexe und gezielte Attacken zu investieren. Sie untersuchen die Software, die Ihr Unternehmen nutzt, und halten nach Schwachstellen Ausschau, die dem Markt bis dato unbekannt sind, um so spezifische Exploits zu entwickeln. Sie suchen sich Ihren Weg durch Partner und Vertreiber und bestechen ehemalige Mitarbeiter. Es ist sogar möglich, dass sie unzufriedene Angestellte finden und versuchen eine Attacke aus „dem Inneren“ zu starten. Im „schlimmsten“ Fall können Kriminelle sogar ganz auf Malware verzichten und sich exklusiv auf legitime Tools verlassen, die eine traditionelle Sicherheitslösung nicht als Bedrohung einstufen würde.
Die Gefahr einer verspäteten Reaktion
Es besteht die Möglichkeit, dass passive Systeme eine gezielte Attacke, oder Aktivität, die mit einer solchen verbunden ist, entdeckt. Doch selbst wenn das geschehen sollte, entdecken die Systeme meist nur die Tatsache, dass ein Vorfall stattgefunden hat. Das hilft Ihnen allerdings nicht dabei schnell festzustellen, was genau passiert ist, welche Informationen von dem Vorfall betroffen sind, wie die Attacke zu stoppen ist und wie man einem weiteren Angriff vorbeugen kann.
Wenn Ihr Unternehmen traditionelle Endpunkt-Sicherheitstools verwendet, können Sicherheitsdienstmitarbeiter nicht immer rechtzeitig auf einen Angriff reagieren. Ihnen sind die Hände gebunden, während Sie auf einen Cybervorfall warten und erst dann mit der Untersuchung beginnen können. Abgesehen davon könnte ihnen ein wichtiger Vorfall, unter den Hunderten kleineren Vorfällen, die nun mal Teil des Business sind, entgehen.
Analysten erhalten diese Daten oftmals erst viel später. Erst nach einer sorgfältigen Untersuchung, die für gewöhnlich akribische manuelle Arbeit erfordert, wird der Vorfall an Response- und Recovery Experten weitergeleitet. Selbst in großen Unternehmen, die über seriöse Reaktionscenter verfügen, werden alle drei Funktionen – Sicherheitsspezialist, Analyst und Response-Experte – in den meisten Fällen von ein und derselben Person ausgeführt.
Unseren Statistiken zufolge vergehen durschnittlich 214 Tage zwischen der anfänglichen Systempenetration und dem Zeitpunkt, an dem ein Großunternehmen eine komplexe Bedrohung entdeckt. Im besten Fall können IT-Sicherheitsexperten noch in letzter Sekunde die Spuren einer Attacke identifizieren. Oftmals stehen aber Verluste und Systemwiederherstellung auf der Tagesordnung.
Wie Sie Risiken minimieren und IT Sicherheit optimieren können
Ein neuer, adaptiver Ansatz ist erforderlich, um das geistige Eigentum, die Reputation und andere wichtige Vermögenswerte der Organisationen zu schützen. Netzwerk-Perimeter- und Workstation-Schutzstrategien müssen durch aktive Suchtools und die einheitliche Untersuchung und Reaktion auf IT-Sicherheitsbedrohungen angepasst und verstärkt werden.
Richtige Cybersicherheitsstrategien beinhalten den Gebrauch eines aktiven Suchkonzepts, auch als Threat Hunting bekannt. Obwohl es sich hierbei um eine schwierige Aufgabe handelt, können spezielle Tools das Ganze deutlich einfacher machen. EDR, Endpoint Detection and Response, ist ein solches Tool. Es gibt den IT-Sicherheitsmitarbeitern die Möglichkeit, Bedrohungen schnell und mittels einer einheitlichen Schnittstelle zu identifizieren, Informationen zusammenzutragen und einen Angriff zu neutralisieren. EDR-Systeme nutzen Threat-Intelligence-Informationen, die Unternehmen von verschiedenen Quellen beziehen, um Prozesse in ihren Unternehmensnetzwerken zu kontrollieren.
Theoretisch kann Threat Hunting auch ohne EDR ausgeführt werden; rein manuelles Threat Hunting ist allerdings deutlich teurer und weniger effektiv. Aber nicht nur das: es kann sich negativ auf Geschäftsprozesse auswirken, da Analysten direkt in die Operationen einer großen Anzahl von Workstationen eingreifen müssen.
Im Wesentlichen gibt EDR Sicherheitsexperten die Möglichkeit, alle benötigten Informationen schnell zusammenzutragen, sie zu analysieren (sowohl automatisch als auch manuell), Entscheidungen zu treffen, Dateien oder Malware über die vereinte Kontrollschnittstelle zu löschen, ein beliebiges Objekt unter Quarantäne zu stellen und den benötigten Prozess zur Wiederherstellung zu starten – und all das, ohne das der Nutzer davon etwas mitbekommt, da kein physischer Zugriff auf die Workstationen nötig ist und somit keine Geschäftstätigkeiten gestört werden.
Wir arbeiten bereits seit einiger Zeit an Lösungen für derartige Probleme und haben eine Pilotversion unserer eigenen EDR-Lösung veröffentlicht. Erfahren Sie mehr über Kaspersky Endpoint Detection and Response.