Cyber Resilience bezieht sich auf die Fähigkeit von Organisationen, Bedrohungsszenarien zu verstehen, sie korrekt einzuschätzen und optimal auf den Worst Case vorbereitet zu sein. Eine der wichtigsten Aufgaben von IT-Sicherheitsverantwortlichen besteht in diesem Zusammenhang darin, Möglichkeiten zu finden, eine mögliche Kompromittierung schnell zu erkennen, angemessen damit umzugehen und dessen Auswirkungen möglichst klein zu halten.

Wie Sie mit Compromise Assessment Ihre Cyber Resilience stärken

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnete allein für 2022 eine Zunahme um 116 Millionen neuer Schadprogramm-Varianten, 15 Millionen Meldungen zu Schadprogramm-Infektionen deutscher Systeme und eine deutliche Professionalisierung der Cyberangriffe. 40 Prozent der Security-Verletzungen wirkten sich erheblich auf den Geschäftsbetrieb aus (BSI Bericht zur Lage der IT-Sicherheit 2022). IT-Sicherheitsexperten betrachten diese Entwicklung als eine Herausforderung für die Cybersicherheit.

Wie kann es Unternehmen unter diesen Bedingungen gelingen, eine wirkungsvolle Cybersecurity zu erreichen und aufrechtzuerhalten? In diesem Beitrag zeigt unser Autor auf, wie das Compromise Assessment traditionelle Tools der IT Security sinnvoll erweitern und damit Unternehmen zu einer robusten Cyber Resilience verhelfen kann.  

Die Voraussetzung für Cyber Resilience in Unternehmen

Cyber Resilience bezieht sich auf die Fähigkeit von Organisationen, Bedrohungsszenarien zu verstehen, sie korrekt einzuschätzen und optimal auf den Worst Case vorbereitet zu sein. Eine der wichtigsten Aufgaben von IT-Sicherheitsverantwortlichen besteht in diesem Zusammenhang darin, Möglichkeiten zu finden, eine mögliche Kompromittierung schnell zu erkennen, angemessen damit umzugehen und dessen Auswirkungen möglichst klein zu halten. Die Vorstellung, dass Cyberangriffe auf Organisation immer verhindert werden können, ist bereits seit geraumer Zeit nicht mehr realistisch. Aus der Vergangenheit wissen wir, dass es keine 100%ige Sicherheit geben kann. Je weiter die Digitalisierung voranschreitet, desto größer wird die Angriffsfläche für Cyberkriminelle und feindselige staatliche Akteure.

Es geht also nicht nur um die Vermeidung von Cyberangriffen, sondern insbesondere auch um die Fähigkeit, diese schnell zu erkennen und mit passenden Maßnahmen umgehend darauf zu reagieren, falls sie auftreten. Damit Unternehmen schnellstmöglich auf Angriffe reagieren können, sollten sie die Schwerpunkte auf proaktive IT-Sicherheitsmaßnahmen legen sowie auf Maßnahmen, welche der Erkennung von Cyberattacken dienen.

Der Aufbau und Ausbau dieser zielgerichteten Maßnahmen sind unabdingbar, um die Widerstandskraft gegen Cyberattacken zu stärken. Denn betriebliche Ausfallzeiten, der Diebstahl sensibler Daten und dadurch verursachte hohe Reputationsschäden könnten im schlimmsten Fall die geschäftliche Existenz von Unternehmen bedrohen.

Die Schwächen traditioneller Schutzmaßnahmen: Vulnerability Management und Penetrationstest

Traditionelle Maßnahmen wie das Vulnerability Management (bzw. Schwachstellenmanagement) oder Penetrationstests sind in Unternehmen nach wie vor häufig genutzte Maßnahmen zur Steigerung der IT-Sicherheit. Was aber kann mit dem Einsatz dieser Maßnahmen in Bezug auf schnelle Angriffserkennung und -abwehr überhaupt erreicht werden?

Das Vulnerability Management

Durch die Implementierung einer automatisierten Vulnerability Management-Lösung soll erreicht werden, vorhandene Sicherheitslücken zu erkennen und zu behandeln. Ein Vulnerability Management Tool untersucht hierfür die Angriffsoberfläche, identifiziert vorhandene IT-Schwachstellen und meldet diese. Den identifizierten IT-Sicherheitslücken werden Schweregrade zugeordnet (z.B. niedrig, mittel, hoch, kritisch). Auf dieser Basis erfolgt die Übermittlung an das Analysten-Team mit entsprechenden Handlungsempfehlungen. Das Schwachstellenmanagement umfasst nicht nur die Schwachstellenidentifikation und -bewertung, sondern auch die erfolgreiche Schwachstellenbehebung.

Der Penetrationstest

Ein Penetrationstest ist eine gezielte und individuell durchgeführte IT-Sicherheitsüberprüfung. Mithilfe dieses Vorgehens soll identifiziert werden, inwieweit die IT-bzw. Informationssicherheit eines Unternehmens durch externe oder interne Angriffe gefährdet ist und ob die bereits vorhandenen IT-Sicherheitsmaßnahmen einen ausreichenden Schutz bieten.

Ein Penetrationstester ist im Gegensatz zum Schwachstellenscanner in der Lage, die aufgedeckte Schwachstelle durch den Einsatz weiterer Tools, Module oder eines Exploits zu verifizieren. Darüber hinaus ist er nicht durch eine einzelne Schwachstellendatenbank limitiert, denn zusätzlich ist es bei dieser manuellen Vorgehensweise möglich, weitere Sicherheitslücken „hinter“ der ausgenutzten Schwachstelle zu identifizieren.

Was beim Einsatz von Vulnerability Management und Penetrationstests fehlt

Zusammenfassend gesagt hilft ein Vulnerability Management dabei, Schwachstellen zu identifizieren und der Penetrationstest zeigt auf, ob diese auch ausgenutzt werden könnten. Wäre es für die Cyber Resilience eines Unternehmens nicht mindestens genauso wichtig, Systeme permanent oder wenigstens periodisch dahingehend zu untersuchen, ob Schwachstellen bereits ausgenutzt wurden?

Oder anders gefragt: Wäre es nicht extrem wichtig zu wissen, ob Systeme im Unternehmen bereits kompromittiert wurden und sich somit in der Hand von Angreifern befinden? Genau hier setzt ein Compromise Assessment an!

Das Compromise Assessment als Ergänzung traditioneller Schutzmaßnahmen

Die oben genannten Maßnahmen sollten um ein sinnvolles Feature ergänzt werden – das Compromise Assessment.

Im Rahmen des Compromise Assessment werden forensische Methoden und Tools eingesetzt: Hierbei kommt ein Agent auf dem Endsystem zum Einsatz, der mit forensischer Gründlichkeit gezielt nach Angriffspuren, sogenannten Indicators of Compromise (IoC) sucht und die Ergebnisse an ein zentrales System übermittelt. Betrachtet werden zum Beispiel flüchtige und nicht-flüchtige Daten auf einem System, Konfigurationen, Anmeldungen, Nutzerinteraktionen oder Software, die installiert, ausgeführt oder heruntergeladen wurde. Die Indikatoren eines Angriffs (Indicators of Compromise) beruhen dabei auf forensischen Artefakten, welche ein Angreifer zwangsläufig hinterlässt.

Durch die Analyse und Bewertung dieser Indikatoren können zum einen kompromittierte Systeme erkannt werden und darüber hinaus auch die zugrunde liegenden Schwachstellen entdeckt und klare Handlungsempfehlungen zur Behebung der Schwachstellen abgeleitet werden.

Compromise Assessment betrachtet dabei nicht nur ein einzelnes System, sondern die gesamte Infrastruktur eines Unternehmens und ermöglicht auch einen Blick in die Vergangenheit. Es handelt sich um eine ressourcenschonende und akkurate Methode um Angriffe, welche trotz präventiver Maßnahmen oftmals erfolgreich sind, sicher zu erkennen und etwaige Schäden zu minimieren. Es hat sich gezeigt, dass mit Compromise Assessment das Sicherheitslevel – und damit die Cyber Resilience – stark erhöht werden kann: Studien verschiedener Unternehmen und Institute belegen, dass es in der Regel mehrere Monate dauert, bis ein Angriff überhaupt entdeckt wird. Somit hat ein Angreifer mehrere Monate Zeit, sein eigentliches Ziel zu erreichen. Der mögliche Schaden, der dabei entsteht, wird mit jedem Tag, an dem der Angreifer unentdeckt bleibt, größer. Mit Compromise Assessment kann die Zeit zur Erkennung eines erfolgreichen Angriffs im besten Fall auf wenige Tage reduziert werden.

Vulnerability Management, Penetrationstest und Compromise Assessment als Trio für eine robuste Cyber Resilience

Wie oben erörtert, hilft das Vulnerability Management dabei, Schwachstellen zu erkennen und zu beheben. Regelmäßige und durch erfahrene Pentester durchgeführte Penetrationstests zeigen auf, ob diese Schwachstellen auch ausgenutzt werden können. Das Wissen, ob Schwachstellen bereits ausgenutzt wurden bzw. Systeme in Ihrem Unternehmen kompromittiert wurden, kann am sichersten mit dem Einsatz eines Compromise Assessment erreicht werden.

Mit dem Continuous Compromise Assessment kann man noch einen Schritt weiter gehen: Hier wird die Systemlandschaft einer kontinuierlichen und proaktiven Überprüfung unterzogen, um eine nachhaltige Cyber Resilience zu erreichen und zu halten. Im Rahmen des Continuous Compromise Assessment wird am Anfang ein initialer Scan inklusive Auswertung durchgeführt, um eine erste Einschätzung über die generelle Lage zu erhalten. Diese Untersuchung ist recht aufwendig, da gegebenenfalls Millionen forensischer Artefakte untersucht werden müssen. Im Anschluss daran finden regelmäßig weitere Scans und Auswertungen statt, bei welchen nur noch die Änderungen an den für einen Angreifer verräterischen Artefakten analysiert werden müssen. Dies ist bedeutend einfacher und geht somit auch erheblich schneller.

Das Compromise Assessment kann damit als eine hervorragende Ergänzung vorliegender Sicherheitsmaßnahmen eingeordnet werden. Regelmäßig durchgeführt (Continuous Compromise Assessment) liefert es einen wertvollen Beitrag zur Steigerung der Cyber Resilience.

fazitanfang

Fazit

Ein Vulnerability Management hilft dabei, Schwachstellen zu identifizieren und ein Penetrationstest zeigt auf, ob diese auch ausgenutzt werden könnten. Aber nur mit einem Compromise Assessment kann sicher erkannt werden, ob vorhandene Schwachstellen bereits ausgenutzt wurden!

Mit einem Compromise Assessment werden die Spuren von Angreifern sicher entdeckt und kompromittierte Systeme im Unternehmen aufgespürt. Somit können Cyberangriffe frühzeitig erkannt und vereitelt werden, im Idealfall bevor hoher Schaden entsteht. Damit stellt Compromise Assessment, speziell in der Form eines regelmäßig durchgeführten Continuous Compromise Assessment, ein wertvolles Instrument dar, um vorhandene Maßnahmen wie ein Vulnerability Management und regelmäßige Penetrationstest zu ergänzen und die Cyber Resilience eines Unternehmen nachhaltig zu stärken.

fazitende

Ramon Weil · Autor

Founder & CEO

Ramon Weil ist Gründer und Geschäftsführer der SECUINFRA GmbH. Seit 2010 hat er SECUINFRA zu einem der führenden Unternehmen im Bereich der Erkennung, Analyse und Abwehr von Cyberangriffen in Deutschland entwickelt.

Ramon Weil ist Gründer und Geschäftsführer der SECUINFRA GmbH. Seit 2010 hat er SECUINFRA zu einem der führenden Unternehmen im Bereich der Erkennung, Analyse und Abwehr von Cyberangriffen in Deutschland entwickelt. Vor der Gründung von SECUINFRA war Ramon mehr als 20 Jahre im Bereich IT & IT-Security tätig. Unter anderem hat er bei Siemens im Security Operation Center (SOC) gearbeitet, den Back Level Support für IT-Security Produkte bei Siemens aufgebaut und weltweit IT- Security Projekte umgesetzt und geleitet. Von 2006 bis zur Gründung von SECUINFRA hat Ramon das IT-Security Geschäft für Siemens und später Nokia Siemens Networks (NSN) in der Region Asia Pacific (APAC) aufgebaut. Neben zahlreichen IT-Security Produkt-Zertifizierungen ist er seit 2006 CISSP und seit 2010 CISM.

Founder & CEO

Ramon Weil is founder and managing director of SECUINFRA GmbH. Since 2010, he has developed SECUINFRA into one of the leading companies in the field of detection, analysis and defense against cyber attacks in Germany.

Ramon Weil is founder and managing director of SECUINFRA GmbH. Since 2010, he has developed SECUINFRA into one of the leading companies in the field of detection, analysis and defense against cyber attacks in Germany. Before founding SECUINFRA, Ramon worked for more than 20 years in the field of IT & IT security. Among other things, he worked at Siemens in the Security Operation Center (SOC), established the back level support for IT security products at Siemens and implemented and managed IT security projects worldwide. From 2006 until the foundation of SECUINFRA, Ramon built up the IT Security business for Siemens and later Nokia Siemens Networks (NSN) in the Asia Pacific (APAC) region. In addition to numerous IT security product certifications, he has been a CISSP since 2006 and a CISM since 2010.
Beitrag teilen auf: