Risikobewertung und -priorisierung
Cyberrisiken proaktiv erkennen und mindern
Cybervorfälle sind heute das weltweit größte Geschäftsrisiko. Dies macht die Bewertung von Cyberrisiken zur Chefsache. Doch dabei stehen Unternehmen vor großen Herausforderungen: Sie müssen Unmengen an internen und externen Security-Informationen sammeln, analysieren, korrelieren und in Relation betrachten. Ohne Unterstützung durch modernste Technologie und Expertenwissen ist das nicht möglich. Kontinuierliche, individuelle Risikoanalysen ermöglichen proaktives Handeln und schaffen die Basis für eine umfassende Security-Strategie.
Die Rolle der Cybersecurity befindet sich im Wandel – weg vom reaktiven Verteidiger hin zum proaktiven Analysten. In der Vergangenheit konzentrierten sich Security-Anbieter vor allem darauf, Unternehmen bestmöglich bei der Abwehr von Cyberangriffen zu unterstützen und im Ernstfall Schaden zu minimieren. Für die verschiedenen Anwendungsszenarien und Bereiche der IT-Umgebung entwickelten die Hersteller Einzellösungen, aus denen sich Unternehmen dann im Baukastenprinzip ihre Security-Umgebung zusammenstellten.
Ein Beispiel sind Systeme für Detection und Response: Sie dienen dazu, Cyberangriffe schnellstmöglich zu erkennen und einzudämmen. Doch das wird immer schwieriger, denn Cyberangriffe verlaufen heute häufig in Wellen und erstrecken sich über mehrere Ebenen. Meist versuchen die Angreifer zudem, unter dem Radar zu segeln und Security-Mechanismen auszuhebeln. Angesichts der wachsenden Bedrohungslage greifen reaktive Strategien zu kurz.
Security-Hersteller dürfen nicht mehr nur die Rolle des Versicherers einnehmen, der reaktiv im Falle eines Cyberangriffs vor Schaden schützt. Sie müssen schon viel früher ansetzen und die Anwenderunternehmen proaktiv bei der Risikobewertung unterstützen. So lassen sich Maßnahmen ableiten, um die Angriffswahrscheinlichkeit zu reduzieren.
Threat Intelligence
Wo CISOs an ihre Grenzen stoßen, können Security-Anbieter unterstützen. Sie verfügen über tagesaktuelle, globale Threat Intelligence und können ihre Anwenderunternehmen über relevante Risiken informieren. Als Spezialisten sammeln und sichten sie ohnehin Security-Informationen aus den verschiedensten Quellen – sowohl eigenen als auch branchenweiten, darunter die Daten der Zero Day Initiative (ZDI). In dieser Organisation haben sich unabhängige Sicherheitsforscher auf der ganzen Welt zusammengeschlossen, um Schwachstellen aufzudecken.
Außerdem gewinnen Security-Anbieter Erkenntnisse aus den Telemetriedaten ihrer installierten Systeme und führen eigene Studien durch – zum Beispiel dazu, wie Cyberkriminelle KI einsetzen. Sie betreiben Untergrundforschung und beobachten Aktivitäten im Darknet. So wissen die Security-Fachleute zum Beispiel, welche Hackergruppen gerade bevorzugt welche Schwachstellen ausnutzen und wie sie bei ihren Angriffen häufig vorgehen.
Bei ihren Untersuchungen stoßen sie auch auf Insider-Informationen, etwa wenn die Beteiligten der cyberkriminellen Szene Passwörter oder Zugänge zu Unternehmensnetzwerken handeln. Erhalten Sicherheitsforscher zum Beispiel über eine Quelle im Darknet Zugangsdaten zu einem Unternehmen, informieren sie das betroffene Unternehmen darüber und unterstützen den CISO dabei, das Problem weiter zu untersuchen und zu beheben.
XDR schafft Transparenz
Auch für die Ermittlung von internen Security-Informationen und Schwachstellen haben Security-Anbieter geeignete Lösungen. Hier spielt insbesondere Extended Detection und Response (XDR) eine wichtige Rolle. Diese Technologie sammelt Informationen aller angeschlossenen Security-Systeme über alle Vektoren der IT-Umgebung hinweg – von den Endpunkten über Server und Netzwerke bis in die Cloud. Sie analysiert die Daten KI-gestützt und unter Einbeziehung globaler Threat Intelligence.
So erkennt die Plattform relevante Meldungen und korreliert sie zu verwertbaren Warnungen. Bei der kontinuierlichen Analyse ermittelt XDR auch aktuelle Informationen über Systemzustände und Schwachstellen. Dadurch gewinnen Security-Teams umfassende Transparenz in der gesamten IT-Umgebung.
Im Hinblick auf die Risikobewertung erfüllt XDR damit eine Doppelfunktion: Einerseits liefert die Plattform Informationen zur Angriffsfläche und deckt Schwachstellen auf, andererseits kann sie anhand kleinster Anzeichen erkennen, ob gerade ein Angriff stattfindet. Nimmt man beides zusammen – also die Spuren eines möglichen Angriffes und die Information über die generelle Verwundbarkeit eines Systems – ergibt sich eine Risikokalkulation. Anhand dieser lassen sich dann Maßnahmen definieren, um die Gefahr zu mindern. Ein Beispiel: Wenn das Risiko größer als 50 Prozent ist, kann die Entscheidung lauten, das System von wichtigen Daten zu trennen.
Internes und externes Wissen zusammenführen
Bei XDR fließen externe und interne Security-Information in einem zentralen Data Lake zusammen. Innerhalb von Sekunden wertet die Technologie riesige Datenmengen aus und stellt Zusammenhänge her. So liefert sie eine umfassende Risikobewertung und ein ganzheitliches Bild eines möglichen Angriffs über alle Vektoren hinweg. Beschäftigte sehen in einer Konsole auf einen Blick, was wichtig ist. Sie können Risiken schneller einschätzen und schneller reagieren.
XDR kann auch mit einem SIEM- (Security-Information- and Event-Management) und einem SOAR-System (Security Orchestration, Automation, and Responses) zusammenarbeiten, deren Analysefähigkeit verbessern und Security-Prozesse beschleunigen. Diese Form der automatisierten Gefahrenerkennung und Risikobewertung hebt Unternehmen auf ein vollkommen neues Sicherheits- und Effizienzniveau.
Eine XDR-Plattform bereitet Informationen in verschiedenen Dashboards auf und stimmt sie im Detailgrad auf die Bedürfnisse von CISOs, Geschäftsleitung oder technischen Beschäftigten ab. Ein individueller Risiko-Score gibt sofortigen Aufschluss über die Risikoexposition im Zeitverlauf. In die Berechnung fließen verschiedene Kriterien mit ein, darunter Malware-Erkennung, verdächtiges Verhalten, kompromittierte Accounts oder gefährliche Cloud-Nutzung.
Dank globaler Threat Intelligence weiß die Plattform zum Beispiel, ob die Account-Daten eines Nutzers auf einer Liste mit gestohlenen Passwörtern im Darknet auftauchen. Sie warnt dann nicht nur vor dem Risiko, sondern empfiehlt auch Gegenmaßnahmen, beispielsweise Passwörter zu ändern oder einen Account zu sperren. Anhand eines zuvor definierten Regelwerks lässt sich die Risikobehandlung zudem automatisieren.
Die Geschäftsleitung konfrontiert CISOs regelmäßig mit der Frage: Wie ist denn unser aktueller Risikostatus? Mit Hilfe der XDR-Plattform können sie jederzeit Auskunft geben und auf fundierter Datenbasis über nötige Security-Maßnahmen diskutieren. Trend Micro plant, diese Funktionalität ausbauen, sodass man zum Beispiel seinen Risiko-Score mit Unternehmen der gleichen Größe, Branche oder Region vergleichen kann.
Risikobewertung als kontinuierlicher Prozess
Angriffsfläche und Bedrohungslage ändern sich schnell. Daher müssen CISOs interne wie auch externe Security-Informationen stets im Blick behalten und tagesaktuell korrelieren. Denn jedes neue vernetzte Gerät, jeder neue Cloud-Service und jede Konfigurationsänderung kann eine potenzielle Sicherheitslücke sein. Laufend werden neue Schwachstellen veröffentlicht, und Cyberkriminelle entwickeln immer raffiniertere Angriffsmethoden. Risikobewertung darf daher keine einmalige Angelegenheit sein, sondern erfordert einen kontinuierlichen Prozess.
Richard Werner ist Business Consultant bei Trend Micro.
Lesen Sie mehr zum Thema
