Mensch und Maschine: Das Dreamteam bei der Bedrohungssuche

Die stetig zunehmenden Bedrohungen der IT-Sicherheit erfordern eine veränderte Herangehensweise. Das zeigt eine umfassende Studie, die McAfee durchführte. Die Kombination automatisierter Prozesse und menschlicher Intuition bei der Suche nach Bedrohungen bringt die besten Ergebnisse.

Wie können Unternehmen mit den sich ständig verändernden Angriffen auf ihre IT-Sicherheit am effektivsten umgehen? Welche Strategien entpuppen sich als besonders erfolgreich, und welche Rolle spielt dabei die aktive Suche nach Bedrohungen?

Um diesen Fragen auf den Grund zu gehen, führte McAfee im Frühjahr 2017 eine umfangreiche Studie durch, an der mehr als 700 Sicherheitsexperten teilnahmen. Die Befragten wurden aus der Datenbank eines Drittanbieters ausgewählt. Sie repräsentierten Unternehmen von 1.000 bis 5.000 Mitarbeitern oder Großunternehmen mit mehr als 5.000 Mitarbeitern. Diese Unternehmen kamen aus Australien, Kanada, Deutschland, Singapur, Großbritannien und den USA. Ausgewählt wurden Befragte, die Sandbox-Technologie und Sicherheits-Informations- und Ereignismanagement (SIEM) verwenden und bei denen die Bedrohungssuche ein wesentlicher Teil ihrer Tätigkeit ist. Die Befragten gaben Auskunft über verschiedene Aspekte ihrer Tätigkeit, zum Beispiel die genutzten Werkzeuge, das Vorgehen, die Rolle von Automatisierung und menschlichen Experten, sowie weitere Aspekte.

OSDA: Observe, Orientate, Decide, Act (Bild: McAfee)Angreifer und Verteidiger nutzen dasselbe strategische Vorgehen, die stetige Aufeinanderfolge von Beobachten, Orientieren, Entscheiden und Handeln (Observe, Orientate, Decide, Act , OSDA) (GrafiK: McAfee)

Der OSDA-Kreislauf

Strategisch nutzen Unternehmen und auch Angreifer im Grunde dieselbe, aus dem militärischen Bereich stammende Strategie: sie führen einen sich stetig wiederholenden Kreislauf von Beobachten, Orientieren, Entscheiden und Handeln (Observe, Orientate, Decide, Act, OSDA) aus. Beide Seiten versuchen dabei, schneller zu sein und ihren Gegner zu überraschen, um im entscheidenden Moment erfolgreich handeln zu können. Für die Verteidiger bedeutet das, dass sie sich aufbauende Bedrohungen oder sich abzeichnende Schwachstellen so schnell erkennen müssen, dass Angreifer nicht dazu kommen sie auszunutzen, um eine Attacke auf ihr Unternehmen zu starten.

Dabei zeigte es sich, dass eine intensive Bedrohungssuche, gekoppelt mit einer sehr schnellen Reaktion auf Risiken oder Angriffe, die erfolgreichste Herangehensweise ist. Bei der Bedrohungssuche kommt es auf die Fähigkeiten von Menschen an, intuitiv zu erkennen, wo sich Risiken zeigen, indem sie die Taktiken, Techniken und Prozeduren oder Prozesse (TTP) von Angreifern studieren. Erfolgreiche Bedrohungssucher gehen kategorisch vom Vorhandensein von Sicherheitsverletzungen aus, detektieren deren Spuren und analysieren mögliche Motive, Vorgehensweisen oder Ziele von Angreifern. Dementsprechend initialisieren sie wenn möglich eine Reaktion, bevor Angriffe tatsächlich Schaden anrichten. Während man Bedrohungssuche sozusagen als wissenschaftlich-kreative Aufgabe betrachten kann, muss die Reaktion auf eine Bedrohung sehr schnell und daher weitgehend automatisiert erfolgen, was bedeutet, dass hier vordefinierte, automatisierte Prozesse zum Einsatz kommen sollten.

McAfee-Reifegrade (Tabelle: McAfee)Die unterschiedlichen Reifegrade des Datenkontrollzentrums (Tabelle: McAfee).

Die Reifegrade der IT-Security

Die befragten Unternehmen wurden nach vier Reifegraden kategorisiert – von den Reifegraden 0 und 1, bei denen nur grundlegende oder minimale strategische Reife zu verzeichnen war, bis zum Reifegrad 4, dem Vorreiter-Unternehmen mit einer ausgereiften Sicherheitsstrategie zugeordnet wurden. Reifegrad 1 arbeitete vor allem mit automatisierten Warnungen und mit Tools wie Eindringungs- und Virenschutz oder einem SIEM. Daten wurden dagegen nicht oder kaum routinemäßig erfasst oder analysiert.

Darstellen lässt sich die zunehmende Reife der Unternehmen auch anhand der „Gleitenden Skala der Cyber-Sicherheit“ (siehe Abbildung) von Robert M.-Lee, SANS-Referent und CEO von Dragos: Hier zeigen sich fünf Investitionsphasen, die auf der linken Seite bei Architektur beginnen und dann schrittweise über passiven und aktiven Schutz, der Sammlung und Analyse von Bedrohungsdaten bis hin zu Offensivmaßnahmen reichen. Im Lauf ihrer Investitionen können Unternehmen sich systematisch von links nach rechts bewegen und schrittweise Funktionen hinzufügen. Am Ende steht ein ausgereiftes, analysebasiertes Sicherheitskontrollzentrum.

Cyber-Sicherheit: Gleitende-SkalaDie gleitende Skala der Cyber-Sicherheit nach Robert M. Lee, SANS-Referent und CEO von Dragos (Bild: McAfee).

Steigende Bedeutung von Automatisierung, Datenerfassung und -analyse

Mit dem Reifegrad steigt die Bedeutung von Datenerfassung und -analyse sowie die der Automatisierung von Prozessen schrittweise an – die erfolgreichsten Unternehmen wendeten in großem Umfang automatisierte Datenerfassung und -analyse sowie automatisierte Prozesse bei den Reaktionen an, die niedrigen Reifegrade nicht. Ab Reifegrad 3 entwickeln Unternehmen zudem selbst neue Analyseverfahren für die erfassten Daten.

Der größere Erfolg von Unternehmen des Reifegrades 4 beim Finden und Abwehren von Bedrohungen zeigte sich deutlich: So konnten 71 Prozent der Befragten aus Unternehmen mit Reifegrad 4 die Untersuchung von Zwischenfällen innerhalb einer Woche abschließen – bei Firmen der Reifegrade 1 bis 3 war das nur in maximal 57 Prozent der Fälle möglich. Das hat auch mit der Rolle von Bedrohungsjägern zu tun: Unternehmen mit Reifegrad 4 beschäftigten zu 80 Prozent Vollzeit-Bedrohungsjäger, die aus heterogenen Bereichen wie Sicherheitsanalyse, Systemtechnik, Endgeräte- und Netzwerksicherheit stammten. Unternehmen des Reifegrades 1 beschäftigten nur 65 Prozent Vollzeit-Bedrohungsjäger.

IT-Security: Unternehmen mit Reifegrad 4 reagieren schneller (Bild: McAfee)Unternehmen des Reifegrades 4 können IT-Security-Fälle in 71 Prozent der Fälle innerhalb einer Woche abschließen (Grafik: McAfee).

Wie wichtig mit den richtigen Tools ausgerüstete Bedrohungsjäger für die erfolgreiche Analyse und Bewältigung von Sicherheitsbedrohungen sind, zeigt sich daran, dass Bedrohungsjäger aus Unternehmen mit weit fortgeschrittenen Sicherheitskontrollzentren in 90 Prozent der Fälle die Ursache von Zwischenfällen ermitteln können, gegenüber nur 20 Prozent bei Unternehmen mit weniger ausgereiften Sicherheitskontrollzentren.

Bei Unternehmen der Reifegrade 0 bis 3 spiegelt sich diese Kombination menschlicher Fähigkeiten mit Automatisierung und Tool-Integration in ihren Investitions- und Maßnahmenplänen zur Security-Verbesserung wieder: Einerseits sehen sie Verbesserungspotential in einer besseren Tool-Ausstattung, der Integration von Tools und der Automatisierung von Bedrohungssuchprozessen. Andererseits aber setzen sie beim Auf- und Ausbau ihrer Fähigkeiten massiv darauf, neue, erfahrene Mitarbeiter zu gewinnen und diese besser zu schulen. Unternehmen des Reifegrades 4 scheinen diese ausgewogene Mischung bereits gefunden zu haben und können sich deshalb besonders gut auf die Suche nach Bedrohungen konzentrieren.

Wie oben dargestellt, spielt die Automatisierung von Prozessen der Datenerfassung und -analyse als Werkzeug für erfolgreiche Bedrohungsjäger eine besondere Rolle beim Aufbau eines erfolgreichen, abwehrstarken Sicherheitskontrollzentrums. Dazu, wie ein solches Toolset aussieht und wie es von leistungsstarken Bedrohungsjägern genutzt wird, mehr im zweiten Teil dieser Serie.

Themenseiten: McAfee, McAfee Integrierte Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Artikel empfehlen: