Inhalt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verzeichnete allein für 2022 eine Zunahme um 116 Millionen neuer Schadprogramm-Varianten, 15 Millionen Meldungen zu Schadprogramm-Infektionen deutscher Systeme und eine deutliche Professionalisierung der Cyberangriffe. 40 Prozent der Security-Verletzungen wirkten sich erheblich auf den Geschäftsbetrieb aus (BSI Bericht zur Lage der IT-Sicherheit 2022). IT-Sicherheitsexperten betrachten diese Entwicklung als eine Herausforderung für die Cybersicherheit.
Wie kann es Unternehmen unter diesen Bedingungen gelingen, eine wirkungsvolle Cybersecurity zu erreichen und aufrechtzuerhalten? In diesem Beitrag zeigt unser Autor auf, wie das Compromise Assessment traditionelle Tools der IT Security sinnvoll erweitern und damit Unternehmen zu einer robusten Cyber Resilience verhelfen kann.
Die Voraussetzung für Cyber Resilience in Unternehmen
Cyber Resilience bezieht sich auf die Fähigkeit von Organisationen, Bedrohungsszenarien zu verstehen, sie korrekt einzuschätzen und optimal auf den Worst Case vorbereitet zu sein. Eine der wichtigsten Aufgaben von IT-Sicherheitsverantwortlichen besteht in diesem Zusammenhang darin, Möglichkeiten zu finden, eine mögliche Kompromittierung schnell zu erkennen, angemessen damit umzugehen und dessen Auswirkungen möglichst klein zu halten. Die Vorstellung, dass Cyberangriffe auf Organisation immer verhindert werden können, ist bereits seit geraumer Zeit nicht mehr realistisch. Aus der Vergangenheit wissen wir, dass es keine 100%ige Sicherheit geben kann. Je weiter die Digitalisierung voranschreitet, desto größer wird die Angriffsfläche für Cyberkriminelle und feindselige staatliche Akteure.
Es geht also nicht nur um die Vermeidung von Cyberangriffen, sondern insbesondere auch um die Fähigkeit, diese schnell zu erkennen und mit passenden Maßnahmen umgehend darauf zu reagieren, falls sie auftreten. Damit Unternehmen schnellstmöglich auf Angriffe reagieren können, sollten sie die Schwerpunkte auf proaktive IT-Sicherheitsmaßnahmen legen sowie auf Maßnahmen, welche der Erkennung von Cyberattacken dienen.
Der Aufbau und Ausbau dieser zielgerichteten Maßnahmen sind unabdingbar, um die Widerstandskraft gegen Cyberattacken zu stärken. Denn betriebliche Ausfallzeiten, der Diebstahl sensibler Daten und dadurch verursachte hohe Reputationsschäden könnten im schlimmsten Fall die geschäftliche Existenz von Unternehmen bedrohen.
Die Schwächen traditioneller Schutzmaßnahmen: Vulnerability Management und Penetrationstest
Traditionelle Maßnahmen wie das Vulnerability Management (bzw. Schwachstellenmanagement) oder Penetrationstests sind in Unternehmen nach wie vor häufig genutzte Maßnahmen zur Steigerung der IT-Sicherheit. Was aber kann mit dem Einsatz dieser Maßnahmen in Bezug auf schnelle Angriffserkennung und -abwehr überhaupt erreicht werden?
Das Vulnerability Management
Durch die Implementierung einer automatisierten Vulnerability Management-Lösung soll erreicht werden, vorhandene Sicherheitslücken zu erkennen und zu behandeln. Ein Vulnerability Management Tool untersucht hierfür die Angriffsoberfläche, identifiziert vorhandene IT-Schwachstellen und meldet diese. Den identifizierten IT-Sicherheitslücken werden Schweregrade zugeordnet (z.B. niedrig, mittel, hoch, kritisch). Auf dieser Basis erfolgt die Übermittlung an das Analysten-Team mit entsprechenden Handlungsempfehlungen. Das Schwachstellenmanagement umfasst nicht nur die Schwachstellenidentifikation und -bewertung, sondern auch die erfolgreiche Schwachstellenbehebung.
Der Penetrationstest
Ein Penetrationstest ist eine gezielte und individuell durchgeführte IT-Sicherheitsüberprüfung. Mithilfe dieses Vorgehens soll identifiziert werden, inwieweit die IT-bzw. Informationssicherheit eines Unternehmens durch externe oder interne Angriffe gefährdet ist und ob die bereits vorhandenen IT-Sicherheitsmaßnahmen einen ausreichenden Schutz bieten.
Ein Penetrationstester ist im Gegensatz zum Schwachstellenscanner in der Lage, die aufgedeckte Schwachstelle durch den Einsatz weiterer Tools, Module oder eines Exploits zu verifizieren. Darüber hinaus ist er nicht durch eine einzelne Schwachstellendatenbank limitiert, denn zusätzlich ist es bei dieser manuellen Vorgehensweise möglich, weitere Sicherheitslücken „hinter“ der ausgenutzten Schwachstelle zu identifizieren.
Was beim Einsatz von Vulnerability Management und Penetrationstests fehlt
Zusammenfassend gesagt hilft ein Vulnerability Management dabei, Schwachstellen zu identifizieren und der Penetrationstest zeigt auf, ob diese auch ausgenutzt werden könnten. Wäre es für die Cyber Resilience eines Unternehmens nicht mindestens genauso wichtig, Systeme permanent oder wenigstens periodisch dahingehend zu untersuchen, ob Schwachstellen bereits ausgenutzt wurden?
Oder anders gefragt: Wäre es nicht extrem wichtig zu wissen, ob Systeme im Unternehmen bereits kompromittiert wurden und sich somit in der Hand von Angreifern befinden? Genau hier setzt ein Compromise Assessment an!
Das Compromise Assessment als Ergänzung traditioneller Schutzmaßnahmen
Die oben genannten Maßnahmen sollten um ein sinnvolles Feature ergänzt werden – das Compromise Assessment.
Im Rahmen des Compromise Assessment werden forensische Methoden und Tools eingesetzt: Hierbei kommt ein Agent auf dem Endsystem zum Einsatz, der mit forensischer Gründlichkeit gezielt nach Angriffspuren, sogenannten Indicators of Compromise (IoC) sucht und die Ergebnisse an ein zentrales System übermittelt. Betrachtet werden zum Beispiel flüchtige und nicht-flüchtige Daten auf einem System, Konfigurationen, Anmeldungen, Nutzerinteraktionen oder Software, die installiert, ausgeführt oder heruntergeladen wurde. Die Indikatoren eines Angriffs (Indicators of Compromise) beruhen dabei auf forensischen Artefakten, welche ein Angreifer zwangsläufig hinterlässt.
Durch die Analyse und Bewertung dieser Indikatoren können zum einen kompromittierte Systeme erkannt werden und darüber hinaus auch die zugrunde liegenden Schwachstellen entdeckt und klare Handlungsempfehlungen zur Behebung der Schwachstellen abgeleitet werden.
Compromise Assessment betrachtet dabei nicht nur ein einzelnes System, sondern die gesamte Infrastruktur eines Unternehmens und ermöglicht auch einen Blick in die Vergangenheit. Es handelt sich um eine ressourcenschonende und akkurate Methode um Angriffe, welche trotz präventiver Maßnahmen oftmals erfolgreich sind, sicher zu erkennen und etwaige Schäden zu minimieren. Es hat sich gezeigt, dass mit Compromise Assessment das Sicherheitslevel – und damit die Cyber Resilience – stark erhöht werden kann: Studien verschiedener Unternehmen und Institute belegen, dass es in der Regel mehrere Monate dauert, bis ein Angriff überhaupt entdeckt wird. Somit hat ein Angreifer mehrere Monate Zeit, sein eigentliches Ziel zu erreichen. Der mögliche Schaden, der dabei entsteht, wird mit jedem Tag, an dem der Angreifer unentdeckt bleibt, größer. Mit Compromise Assessment kann die Zeit zur Erkennung eines erfolgreichen Angriffs im besten Fall auf wenige Tage reduziert werden.
Vulnerability Management, Penetrationstest und Compromise Assessment als Trio für eine robuste Cyber Resilience
Wie oben erörtert, hilft das Vulnerability Management dabei, Schwachstellen zu erkennen und zu beheben. Regelmäßige und durch erfahrene Pentester durchgeführte Penetrationstests zeigen auf, ob diese Schwachstellen auch ausgenutzt werden können. Das Wissen, ob Schwachstellen bereits ausgenutzt wurden bzw. Systeme in Ihrem Unternehmen kompromittiert wurden, kann am sichersten mit dem Einsatz eines Compromise Assessment erreicht werden.
Mit dem Continuous Compromise Assessment kann man noch einen Schritt weiter gehen: Hier wird die Systemlandschaft einer kontinuierlichen und proaktiven Überprüfung unterzogen, um eine nachhaltige Cyber Resilience zu erreichen und zu halten. Im Rahmen des Continuous Compromise Assessment wird am Anfang ein initialer Scan inklusive Auswertung durchgeführt, um eine erste Einschätzung über die generelle Lage zu erhalten. Diese Untersuchung ist recht aufwendig, da gegebenenfalls Millionen forensischer Artefakte untersucht werden müssen. Im Anschluss daran finden regelmäßig weitere Scans und Auswertungen statt, bei welchen nur noch die Änderungen an den für einen Angreifer verräterischen Artefakten analysiert werden müssen. Dies ist bedeutend einfacher und geht somit auch erheblich schneller.
Das Compromise Assessment kann damit als eine hervorragende Ergänzung vorliegender Sicherheitsmaßnahmen eingeordnet werden. Regelmäßig durchgeführt (Continuous Compromise Assessment) liefert es einen wertvollen Beitrag zur Steigerung der Cyber Resilience.
Fazit
Ein Vulnerability Management hilft dabei, Schwachstellen zu identifizieren und ein Penetrationstest zeigt auf, ob diese auch ausgenutzt werden könnten. Aber nur mit einem Compromise Assessment kann sicher erkannt werden, ob vorhandene Schwachstellen bereits ausgenutzt wurden!
Mit einem Compromise Assessment werden die Spuren von Angreifern sicher entdeckt und kompromittierte Systeme im Unternehmen aufgespürt. Somit können Cyberangriffe frühzeitig erkannt und vereitelt werden, im Idealfall bevor hoher Schaden entsteht. Damit stellt Compromise Assessment, speziell in der Form eines regelmäßig durchgeführten Continuous Compromise Assessment, ein wertvolles Instrument dar, um vorhandene Maßnahmen wie ein Vulnerability Management und regelmäßige Penetrationstest zu ergänzen und die Cyber Resilience eines Unternehmen nachhaltig zu stärken.
