Die Cybersecurity-Lücke im Blick

E-book
Die Cybersecurity-Lücke im Blick
„Cybersecurity“ hat als Diskussionsthema die Vorstandsetagen
Wie das Unternehmen Mandiant Consulting ermittelt hat, verschafft
erreicht, weil Organisationen nach Wegen suchen, durch
die Cybersecurity-Lücke dem Angreifer durchschnittlich 205 Tage
Sicherheitsmaßnahmen nicht an Agilität zu verlieren.
freies Spiel im kompromittierten Netzwerk. Mehr als sechs Monate
Unternehmen aller Wirtschaftszweige und Behörden arbeiten
kann er somit ungehindert spionieren, sich ausbreiten und
hart daran, geistiges Eigentum, personenbezogene Daten und
Daten stehlen.
ihren Ruf in der Öffentlichkeit zu schützen – und manchmal
In den meisten Fällen nehmen die Organisationen eine Verletzung
kämpfen sie tatsächlich um ihr Überleben.
ihrer Informationssicherheit erst war, wenn bereits Schaden ent-
Cyber-Kriminelle haben sich in hohem Maße organisiert und
standen ist. Mandiant berichtet, dass 69 Prozent der Betroffenen
gehen koordiniert vor. Dem Privacy Rights Clearinghouse zufolge
vom Angriff auf ihr Netz erst durch Strafverfolgungsbehörden oder
wurden in den vergangenen zehn Jahren mehr als 895 Milliarden
andere externe Institutionen erfahren.
Datensätze gestohlen – und dieser Wert beruht nur auf Fällen,
die veröffentlicht wurden.
Die Risiken, die die Cybersecurity-Lücke birgt, sind groß und
werden immer größer.
Die Cybersecurity-Lücke
Die Cybersecurity-Lücke ist jene Zeitspanne, die beginnt, wenn ein
Angreifer die präventiven Sicherheitssysteme an der Netzwerkgrenze
einer Organisation erfolgreich überwinden konnte. Die Phase endet,
wenn das Opfer schließlich erkennt, dass wichtige Informationen
oder Systeme entweder gestohlen oder sabotiert wurden, sodass
es zur Schadensbegrenzung übergehen muss.
Prävention
Warum die Cybersecurity-Lücke
unbeachtet bleibt
Unternehmen investieren mehr als je zuvor in Cybersecurity.
Ein großer Anteil der Summen entfällt dabei auf präventive
Maßnahmen, die Bedrohungen am Netzwerkperimeter
stoppen sollen.
Aktive Phase
Interne Informationen im Internet
entdeckt
Anfängliche
Infektion
$$$$
$$$
$$
•
•
•
•
Firewalls
IPS
Proxies
Sandboxes
Schadensbegrenzung
Angreifer haben 205
Tage lang freies Spiel
in kompromittierten
Netzwerken
Quelle: M-Trends 2015
Cybersecurity Lücke
• SIEM-gestützte
Analyse
• Forensische
Untersuchung
$
Bild 1: Zwischen den präventiven Sicherheitsmaßnahmen am Netzwerkperimeter und den forensischen Analysen im Anschluss an eine Attacke klafft eine gefährliche Cybersecurity-Lücke.
Gartner prognostiziert, dass Organisationen bis 2017 mehr als 12
Reputationsliste ausfindig zu machen oder Code in einer Sandbox
Milliarden Dollar für die große Mauer aufwenden werden, die die
zu beobachten. Zero-Day-Threats passieren diese Mechanismen
präventiven Sicherheitssysteme bilden – mehr als 9 Milliarden für
unerkannt und stürzen sich ungehindert auf ihr erstes Opfer.
VPNs und Firewalls, mehr als 1,2 Milliarden für Intrusion-PreventionSysteme, mehr als 2,7 Millarden für Web-Proxies1 und etwa 500
Millionen für Malware-Sandboxes.
Die Angreifer können im Verborgenen ungestraft im internen
Netzwerk operieren. Sie haben viel Zeit, zu spionieren (Internal
Reconnaissance), sich im Netz auszubreiten (Lateral Movement)
Ironischerweise verliert das Konzept des Netzwerk-Perimeters aber
und schließlich Informationen zu stehlen (Exfiltration) –
stetig an Bedeutung, seit sich der Einsatz von mobilen Geräten
wie es ihnen beliebt.
durchgesetzt hat und seitdem die Unternehmen auch BYOD
akzeptieren. Dennoch schlägt man die Security-Ressourcen noch
immer hauptsächlich dem Perimeterschutz zu, während das interne
Netzwerk nur spärlich auf Anzeichen aktiver Bedrohungen und
verbrecherischen Verhaltens hin überwacht wird.
Zur Schadensbegrenzung werden Organisationen der bereits
zitierten Gartner-Studie2 zufolge 2,2 Milliarden Dollar in SecurityInformation-and-Event-Management-Tools (SIEM) und das
zugehörige Personal investieren. SIEM-Systeme sammeln LogDateien von Security- und Netzwerk-Geräten und bestätigen
bereits bekannte Verletzungen der Informationssicherheit, wie sie
Sie ändern ihre Taktiken und modifzieren ihre Malware per
Fernsteuerung. Sie verhalten sich ruhig, bis der richtige Moment
gekommen ist. Dann nutzen sie normale Netzwerkprotokolle wie eine
Maske, um unerkannt zu kommunizieren, und sie verstecken sich in
Standard-Anwendungen wie zum Beispiel Webmail.
Darüber hinaus verschlüsseln sie ihre Kommunikation und benutzen
versteckte Tunnel. Für die meisten Organisationen ist es dann extrem
schwierig oder sogar unmöglich, dieses Vorgehen zu erkennen und
zu analysieren. Die Angreifer spielen bei bester Sicht Versteck – und
haben damit auch noch Erfolg.
von Strafverfolgungsbehörden und anderen externen Instanzen
dokumentiert werden.
SIEM-Systeme erfordern außerdem, dass heißbegehrte und hoch
Cyber-Attacken aufzuspüren ist ein
mühsamer, manueller Prozess
professionelle Security-Analysten viel Zeit damit verbringen, manuell
Log-Daten zu durchsuchen, zu korrelieren und zu priorisieren, um
Es ist unmöglich, jedem Angriff vorzubeugen. Das macht es in
eine laufende Attacke zu stoppen.
kritischem Maße wichtig, laufende Attacken aufzudecken und
abzuwehren, die es bis ins interne Netz geschafft haben. Wenn es
gelingt, einen bereits voranschreitenden Angriff zu stoppen, lässt er
Prävention allein reicht nicht
Organisationen haben sich bisher darauf konzentriert, zuerst
und mit Vorrang Angriffe bereits im Vorfeld zu unterbinden. Diese
ausschließlich auf Prävention ausgerichtete Strategie reicht aber
längst nicht mehr, um die heutigen raffinierten Attacken zu erkennen.
Gartner rät seinen Kunden seit 2013: „Prävention wird 2020
nutzlos sein. Hochentwickelte, zielgerichtete Angriffsformen
machen Strategien obsolet, die sich allein auf präventive
Maßnahmen stützen.“3
Ein auf Prävention ausgelegter Ansatz birgt eine einzige und nur
begrenzt aussichtsreiche Chance, eine Bedrohung abzuwehren,
bevor sich der Angreifer am Perimeter-Schutz vorbeigeschlichen hat.
Es stehen nur Mikrosekunden zur Verfügung, um Netzwerk-Traffic mit
den Signaturen bekannter Malware abzugleichen, die URL in einer
sich eingrenzen, und das Risiko eines Datenverlusts sinkt.
Gartner rät: „Um gegen ausgefeilte Attacken vorzugehen, die
spezifische Sicherheitstechniken überlisten oder umgehen, müssen
die CISOs den Schwerpunkt ihrer Sicherheitsprogramme verlagern:
Vom Erkennen und Blockieren hin zum Erkennen und Reagieren.“4
Aber die Tools, auf die man sich heute verlässt, machen es den
Security-Teams durchaus nicht leicht, Bedrohungen schnell
aufzudecken und dann die passende Reaktion einzuleiten.
Ganz im Gegenteil sogar: Eine Sicherheitsstrategie, die sich auf
Prävention stützt, zehrt einen Großteil der IT-Ressourcen auf.
Erfahrene Security-Analysten und externe Berater brauchen
vielleicht Wochen, um eine Firewall oder ein IPS so zu tunen,
dass sie effizient arbeiten. Tag für Tag müssen die Security-Teams
Dutzende von Sicherheitsmeldungen manuell auswerten,
korrelieren und priorisieren.
1
“Forecast Analysis: Information Security, Worldwide, 2013-2019, 1Q15 Update, 28 April 2015, by Ruggero Contu, Christian Canales, Sid Deshpande and Lawrence
Pingree, ID G00277265, © Gartner, Inc.
2
“Forecast Analysis: Information Security, Worldwide, 2013-2019, 1Q15 Update, 28 April 2015, by Ruggero Contu, Christian Canales, Sid Deshpande and Lawrence
Pingree, ID G00277265, © Gartner, Inc.
3
“Prevention Is Futile in 2020: Protect Information Via Pervasive Monitoring and Collective Intelligence,” 30 May 2013, by Neil MacDonald, Gartner, ID G00252476, © 2015
Gartner, Inc.
4
“Cool Vendors in Security Intelligence, 2015,” 24 April 2015, by Ray Wagner, Laurence Orans, Avivah Litan, Lawrence Pingree, Anton Chuvakin, Jeremy D’Hoinne, Craig
Lawson, Oliver Rochford, ID G00275655, © 2015 Gartner, Inc.
Vectra Networks
Die Cybersecurity-Lücke im Blick
2
Eine neu entdeckte Bedrohung zu isolieren, kann bedeuten,
einen ermüdenden Tag lang Berge von Daten zu durchsieben
Automatisiertes Threat Management –
Analysten-Skills als Software-Lösung
und dabei unermüdlich zu versuchen, Logdaten von Netzwerkund Sicherheits-Appliances zu verstehen und einzuordnen: Eine
Automatisiertes Threat Management hilft Organisationen dabei,
Aufgabe für ebenso hochqualifizierte wie geduldige Analysten.
Bedrohungen in Echtzeit zu erkennen und gegen sie vorzugehen.
Experten dieser Kategorie zu beschäftigen, überschreitet das Budget
der meisten mittleren Unternehmen. Und große Organisationen,
Die Cybersecurity-Lücke zwischen Prävention und postforensischer Aufarbeitung wird so geschlossen.
die sich die Spezialisten leisten können, finden einfach nicht genug
Signifikante Innovationen in den Bereichen Data Science,
erfahrenes Personal, um alle Stellen zu besetzen.
maschinelles Lernen und Verhaltensanalyse erlauben es, die
Echtzeit-Erkennung von Threats und sinnvolle Gegenmaßnahmen
zu automatisieren, indem man die Techniken kombiniert.
Der Cybersecurity-Fachkräftemangel
Anhand einer Umfrage unter CISOs fanden die IT-Analysten
von ESG heraus, dass der Mangel an qualifiziertem Personal
für Informationssicherheit bereits seit vier Jahren an der Spitze
Automatisiertes Threat Management findet laufende CyberAttacken in allen Phasen – von Command and Control über Internal
Reconnaissance und Lateral Movement bis hin zur Daten-Exfiltration.
Auch Botnet Monetization wird aufgedeckt.
der berichteten Fehlbestände steht. Das SANS-Institut meldet
Automatisierung bedeutet fürs Threat Management die einzige
außerdem, dass Kenntnisse im Bereich Incident Response für
Chance, mit der rapiden Zunahme und den immer differenzierteren
die nächsten zwei Jahre besonders gefragt sein werden, weil die
Erscheinungsweisen von Cyber-Attacken Schritt zu halten. Menschen
Organisationen nach Möglichkeiten suchen, Cyber-Attacken zu
ist es schier unmöglich, die heute typischen ungeheuren Mengen an
verhindern oder deren Auswirkungen zu minimieren.
Sicherheitsmeldungen und Log-Daten zu analysieren, um die wenigen
Als Ergänzung zu den traditionellen Berufen im Sicherheitssektor
werden for allem Data Scientists als Teammitglieder gesucht.
Brotkrumen zu finden, die auf eine aktuelle Bedrohung fürs interne
Netz hindeuten.
Ein Grund dafür ist, dass die Analyse von Informationen in
Automatisiertes Threat Management für ein dezentrales Netzwerk
allen Sicherheitsbereichen eine immer wichtigere Rolle spielt:
versetzt Sie in einen Status, als könnten Sie auf je einen Security-
Vom Auswerten der SIEM-Daten bis hin zur Ausarbeitung von
Analysten der Spitzenklasse sowohl in der Firmenzentrale als auch
organisationsspezifischen Verhaltensmodellen, auf deren Basis
an jeder anderen Lokation ihrer Organisation zurückgreifen – wobei
interne Bedrohungen (Insider Threats) erkannt werden können.
diese Lösung dann auch noch rund um die Uhr arbeitet, den
CIO.com hat vor Kurzem mehr als 500 CIOs befragt und dabei
gesamten Traffic ausnahmslos überwacht und nie Urlaub nimmt. .
ermittelt, dass Data Scientists und Security-Personal ganz an der
Spitze des aktuellen Fachkräftemangels stehen.
Angriffsverhalten im Fokus
Es überrascht nicht, dass die hohe Nachfrage nach diesen
seltenen Qualifikationen dazu geführt hat, dass Cybersecurity-
Fortschritte in der Verhaltensanalyse machen es möglich, sowohl
Analysten und Data Scientists inzwischen zu den höchstbezahlten
bekannte als auch unbekannte Bedrohungen zu erkennen,
Positionen in der IT zählen. Ein aktueller Report von Glassdoor
und zwar verschlüsselt ebenso wie im Klartext, sogar wenn
zeigt, dass das Durchschnittsgehalt für einen Data Scientist
die Nutzdaten nicht inspiziert werden dürfen. Angreifer mögen
bei 118.709 Dollar liegt, verglichen mit 64.537 Dollar für einen
ihr taktisches Vorgehen ändern – etwa, indem sie Malware
ausgebildeten Programmierer.
modifizieren oder neue Domains anlegen – aber ihr schädliches
Die am besten qualifizierten Data Scientists können
Verhalten selbst bleibt immer erkennbar.
sogar noch höhere Gehälter verlangen. Eine Analyse des
Verhaltensanalyse, kombiniert mit maschinellem Lernen, fördert
Personalberatungsunternehmens Burch Works ergab, dass
die verräterischen Anzeichen der Aktionen eines Angreifers
Spitzenkräfte auf diesem Gebiet im Mittel mit einem Einkommen
in jeder Phase seiner Handlungskette (Kill Chain) zutage.
von 175.000 Dollar rechnen können.
Automatisiertes Threat Management ermittelt, ob ein Krimineller
Dabei ist das Gehalt nur ein Teil der Gesamtkosten für einen
Angestellten. Die Zahlen zeigen dennoch recht gut, welcher
Aufschlag zurzeit für Security- und Data-Science-Fachwissen
zu zahlen ist.
heimlich mittels versteckter Tunnel kommuniziert, sich in häufig
genutzten Applikationen versteckt, per Fernsteuerung einen
Angriff kontrolliert, oder ob er Verschlüsselung oder andere
Verschleierungstechniken nutzt.
Vectra Networks
Die Cybersecurity-Lücke im Blick
3
Es reicht nicht, Traffic zu analysieren, wenn er die Netzwerkgrenze passiert. Die IT benötigt Einsicht in die gesamte Netzwerkkommunikation – die im internen Netz, im Rechenzentrum
und die von und zum Internet oder in die Cloud und zurück.
Automatisiertes Threat Management identifiziert Angreifer, die
Internal Reconnaissance im Netzwerk betreiben, die Malware
verbreiten, die ihre Zugriffsrechte ausbauen und Daten
anhäufen, um sie zu stehlen.
Echtzeit-Erkennung für EchtzeitOrganisationen
Die Sicherheitsmaßnahmen einer Organisation müssen mit den
Aktivitäten von Kunden, Auftraggebern und Geschäftspartnern
Schritt halten. Vorausschauende Security-Teams gehen zu
automatisiertem Echtzeit-Threat-Management über, um laufende
Angriffe zu stoppen – noch bevor sie irreparablen Schaden
verursachen.
Es ist ein Zahlenspiel – je mehr Traffic überwacht wird, desto
größer ist die Chance, einem laufenden Angriff auf die Spur
zu kommen. Mit Data Science, maschinellem Lernen und
Verhaltensanalyse ermöglicht automatisiertes Threat Management
Methoden des Erkennens und der Gegenwehr, die tatsächlich
skalieren.
Bedrohungen proaktiv zu neutralisieren und wertvolle Daten
geschützt zu halten, ist um Längen besser, als erst von
den Strafverfolgungsbehörden zu erfahren, dass die eigene
Organisation einer Cyber-Attacke zum Opfer gefallen ist und die
eigenen Daten bereits auf dem grauen Markt zum Verkauf stehen.
Automatisiertes Threat Management vereinfacht forensische
Analysen von Incidents, weil es auf die orginalen Datenpakete
zurückgreift, in denen sich die Bedrohung fand. SIEM dagegen
kann wichtige Bestandteile einer Attacke übersehen, weil es
sich auf Informationen von Security-Produkten verlässt, die die
Bedrohung im ersten Anlauf nicht erkannt haben oder vielleicht
nur einen Bruchteil des gesamten Netzwerk-Traffic analysieren.
Bild 2: Eine aktive Cyber-Attacke besteht aus mehreren Phasen, die jede für sich ein gefährliches Glied in der komplexen „Kill Chain“ darstellen und es den Angreifern ermöglichen,
im Netzwerk zu spionieren, sich auszubreiten und Daten zu stehlen.
E-Mail [email protected] Tel. +41 43 810 47 52 / +49 89 46 08 88 85 www.vectranetworks.de
© 2016 Vectra Networks, Inc. Alle Rechte vorbehalten. Vectra und das Vectra Networks Logo sind durch Patente oder angemeldete Patente von Vectra Networks geschützt. Security that thinks, the Vectra Threat
Labs, and the Threat Certainty Index sind Marken oder eingetragene Marken von Vectra Networks. Alle weiteren in diesem Dokument verwendeten oder aufgeführten Marken sind Marken der jeweiligen Eigentümer.

Download Report