Neue Anwendungen und Services lassen die IT-Landschaft von Unternehmen immer weiter wachsen und wird für Sicherheitsteams zur Herkules-Aufgabe. Zusätzlich erschweren die sich immer weiter entwickelnden Cyber-Bedrohungen dieses Vorhaben. Dass in Sachen Cyber-Sicherheit der Überblick verloren gehen kann, ist daher nicht gerade verwunderlich.
Tanja Hofmann, Lead Security Engineer bei Trellix, spricht über die Herausforderungen von IT-Sicherheitsteams und wie Extended Detection and Response (XDR) helfen kann, diese zu meistern.
In den vergangenen zwei Jahren hat sich im Unternehmensumfeld sowohl in technologischer als auch in operativer Hinsicht einiges verändert. Im Zuge der Ereignisse sahen sich Unternehmen gezwungen, ihre Belegschaft von zu Hause aus arbeiten zu lassen – eine damals scheinbar kurzfristige Remote Work-Lösung, die sich in mehr und mehr Unternehmen zum Standard etabliert hat.
Infolgedessen fanden neue moderne Technologien ihren Weg in die Unternehmens-IT, um die „Business Continuity“ zu wahren, die heute nicht mehr wegzudenken sind. Viele Unternehmen kamen beispielsweise zum ersten Mal mit der Cloud in Kontakt. Die Implementierung zahlreicher neuer Anwendungen und Services sowie die darauffolgende Anpassung und Digitalisierung von Geschäftsprozessen, hat jedoch einen großen Nachteil: IT-Abteilungen stehen einer immer komplexeren IT-Landschaft gegenüber.
Steigende IT-Komplexität sorgt für Kopfzerbrechen
Diese wachsende Komplexität kann für Sicherheitsteams zu einer echten Herausforderung werden, da sich dadurch die Angriffsfläche innerhalb der IT-Landschaft automatisch vergrößert. Den Teams fällt es zunehmend schwerer, den Überblick über die Sicherheit sämtlicher Systeme, Netzwerke, Anwendungen, Services und Daten zu behalten. Gleichzeitig stehen ihnen jedoch oftmals nicht genügend Ressourcen zur Verfügung – sowohl finanzielle als auch in Form fehlender Expertise.
Dennoch ist es notwendig, die gesamte IT-Landschaft vor äußeren Einflüssen und Datenabfluss zu schützen. Um den Mangel an Ressourcen auszugleichen, implementieren Sicherheitsteams daher oftmals mehrere verschiedene Sicherheitslösungen von unterschiedlichen Herstellern. Dies ist jedoch eine höchst ineffiziente Alternative und erhöht nur weiter die Komplexität:
All diese Lösungen arbeiten unabhängig voneinander und lösen bei jeder Anomalie, die in den verschiedenen Winkeln der IT-Landschaft entsteht, zahlreiche Warnmeldungen und False-Positives aus. Durch diese müssen sich Sicherheitsteams dann händisch durcharbeiten und echte Bedrohungen herausfiltern und priorisieren.
Cyber-Bedrohungen sind allgegenwärtig
Zusätzlich zur Komplexität haben Sicherheitsteams mit der wachsenden Cyber-Bedrohungslandschaft zu kämpfen. Zu Beginn der Pandemie versuchten Cyber-Kriminelle mittels Phishing-Kampagnen der Accounts von Mitarbeitern habhaft zu werden. Diese nutzen sie als Zugang zu Unternehmensnetzwerken, um personenbezogene und/oder unternehmenskritische Daten abzugreifen. Daraufhin verlagerte sich der Fokus zunehmend auf große Unternehmen, bei denen Akteure vor allem auf Ransomware-Methoden zurückgriffen.
Trellix stellte im Rahmen seines aktuellen Advanced Threat Research Reports fest, dass Ransomware-Attacken auch heute noch höchst relevant sind. Besonders stark sind kritische Infrastrukturen betroffen wie der Finanzsektor und Versorgungsunternehmen, ebenso wie Einzelhändler. Insgesamt fast 60 Prozent der erfassten Ransomware-Angriffe entfallen auf diese drei Branchen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt in seinem aktuellen Lagebericht, dass die Lage weiterhin kritisch ist.
Die Anzahl der Cyber-Attacken auf Unternehmen habe in den letzten Monaten sogar zugenommen. Erschwerend kommt hinzu, dass Angreifer ihre Tools und Vorgehensweisen stetig weiterentwickeln und an gegebene Situationen anpassen.
Die dynamische Bedrohungslage in Kombination mit der Intransparenz moderner IT-Umgebungen verlangt nach einer gesamtheitlichen Lösung, die sämtliche IT-Systeme und Geräte mit einbezieht. Sie sollte Sicherheitsteams einerseits einen Überblick verschaffen und sich andererseits ebenso dynamisch an die aktuellen Cyber-Crime-Entwicklungen anpassen können, um die Bedrohungserkennung zu optimieren – ganz im Sinne einer „Living Security“-Strategie.
Erhöhung des Sicherheitsniveaus mit Extended Detection and Response
Eine SaaS-basierte Extended Detection and Response (XDR)-Plattform führt sämtliche Sicherheitsfunktionen, wie zum Beispiel Endpoint Detection and Response (EDR), Webproxy und Email Logs, sowie andere sicherheitsrelevante Daten zentral zusammen. Dabei berücksichtigt sie interne sowie externe Bedrohungsdaten: Sie analysiert und korreliert diese automatisch und kontextbasiert.
In dieser aufbereiteten Form verschafft eine XDR-Plattform Sicherheitsteams mehr Transparenz sowie Kontrolle über die IT-Umgebung und ermöglicht so eine effiziente und gezielte Angriffserkennung über sämtliche Systeme, Netzwerke und Geräte hinweg – einschließlich Cloud Workloads und mobile Endgeräte. Dadurch können die verantwortlichen Mitarbeiter schneller mit entsprechenden Gegenmaßnahmen reagieren.
Da XDR-Plattformen interne Telemetrie-Daten mit Daten von externen Anbietern korrelieren, lassen sich selbst bislang unbekannte Bedrohungen und Angriffsvektoren ausmachen. Auf dieser Grundlage kann die Plattform Risiken priorisieren, eine Einschätzung der Gegenmaßnahmen vornehmen und passende Maßnahmen empfehlen. Sicherheitsteams erhalten dadurch nicht nur Unterstützung im Falle eines aktiven Angriffs und darüber hinaus, sondern sind zudem in der Lage, Bedrohungen präventiv zu erkennen.