Leitfaden von Kudelski Security
Bessere Bedrohungserkennung und Abwehr von Cyberangriffen
Im Hinblick auf die IT-Sicherheit bleibt die Lage in Deutschland weiterhin dynamisch und angespannt, wie aus einem aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik hervorgeht. Unter anderem kamen im Jahr 2020 insgesamt rund 117 Millionen neue Schadprogramm-Varianten hinzu. Besonders dominant und gefährlich war Besonders dominant und gefährlich war beispielsweise der Trojaner Sodinokibi der Hacker-Gruppe REvil, die die Schadsoftware für Ransomware-Attacken nutzt.
Häufig sind Unternehmen das Opfer gezielter Cyberangriffe – insbesondere während der COVID-19-Pandemie. Um sich effektiv gegen die Gefahren zu schützen, benötigen sie eine verlässliche Strategie für die Bedrohungserkennung und -abwehr. Laut einem neuen Report lösen jedoch 91 Prozent aller Angriffe keinen Alarm aus und 53 Prozent der Sicherheitsverletzungen erfolgen unentdeckt.
„Viele der Strategien, auf die Unternehmen im Rahmen ihrer Bedrohungserkennung und -abwehr setzen, funktionieren nicht. Das ist die schlechte Nachricht“, erklärt Philippe Borloz, Vice President EMEA Sales bei Kudelski Security. „Aber es gibt auch eine gute Nachricht, denn wahrscheinlich haben viele Unternehmen bereits alles, um sich zu verbessern und so den Schutz zu erhöhen.“
Welche vier Hürden einer besseren Bedrohungserkennung und -abwehr im Weg stehen und wie die Lösung dafür aussieht, erläutern die Spezialisten in einem aktuellen Papier.
Falsche Herangehensweise beim Thema SIEM
Einige Unternehmen sind mit Bezug auf eigene Security Information and Event Management (SIEM) Lösungen schlecht aufgestellt. Die meisten Unternehmen führen einfach Daten der Sicherheitsüberwachung aus allen verfügbaren Quellen im Unternehmen zusammen und analysieren sie anschließend. Allerdings sind nicht immer alle Daten relevant, was einerseits zu Mehrarbeit für die IT-Teams führt und andererseits die Bedrohungserkennung und -abwehr langsamer und ineffizienter macht.
Standardkonfigurationen reichen nicht
Viele Standard-Logging-Konfigurationen von IT-Lösungen erweisen sich als problematisch, da sie die individuellen Anforderungen an die Bedrohungssuche von Unternehmen nicht erfüllen. Stattdessen entspricht die Richtvorgabe dem kleinsten gemeinsamen Nenner. Das heißt, die konkrete Lage in den einzelnen Unternehmen bleibt unberücksichtigt, wodurch ein Alarm eventuell zu spät erfolgen oder ganz ausbleiben kann.
Übermaß an Sicherungssystemen
Es hört sich zunächst widersprüchlich an, doch der Einsatz einer zu großen Zahl unterschiedlicher Geräte, Tools und Anwendungen für die Angriffs- und Bedrohungserkennung ist für die Effizienz der Sicherheitsüberwachung oft schädlich. Die meisten Unternehmen verstehen ihr Bedrohungsmodell nicht und sind mit der Technik überfordert, die sie dann nicht effektiv nutzen. Mehr Technik verspricht zwar meist mehr Sicherheit, führt aber auch zu einer Vielzahl von Alarmen, die gesichtet und ausgewertet werden müssen oder dazu, dass wertvolle Technik brachliegt. Schnell geht die Übersicht und damit der Fokus auf die wirklichen Gefahren verloren.
Fehlende echte Priorisierung
Oft unterscheiden sich die Gefahren nicht in ihrer Priorität. Wenn aber alle dieselbe Priorität haben, gibt es für sie keine Rangfolge, die im Umgang mit ihnen als Orientierung dienen kann. Dies erschwert ein gezieltes Vorgehen der IT-Teams. Sie stehen vor der Herausforderung, sich direkt und parallel um alle Gefahren zu kümmern. Dementsprechend müssen die IT-Teams gleichzeitig viele Daten überprüfen und sind daher potenziell schnell überfordert.
- Bessere Bedrohungserkennung und Abwehr von Cyberangriffen
- Den Herausforderungen begegnen
Lesen Sie mehr zum Thema
