Von „Prevent and Protect“ zu „Detect and Respond“ - der IT-Security-Experte erklärt

Die Lage ist ernst, aber noch lange nicht aussichtslos

Regelmechanismus, detect and respond, IT Security

Nach jeder neuen Malware-Attacke ist die Reaktion ungefähr dieselbe: „Eigentlich sind wir auf dem neuesten Stand mit unserer IT-Security, aber gegen diesen Angriff waren wir einfach machtlos.“ Diese Machtlosigkeit ist einerseits nachvollziehbar – schließlich standen nach dem Petya/NotPetya-Angriff selbst bei einem internationalen Branchen-Riesen wie Beiersdorf die Bänder mehrere Tage still. Andererseits gibt es auch eine gute Nachricht: Diese Machtlosigkeit ist nur gefühlt. Es gibt genug und vor allem sichere IT-Security-Tools, die nur darauf warten, eingesetzt zu werden. Dazu bedarf es aber etwas Fingerspitzengefühl und einen langen Atem.

Wenn das Wörtchen wenn nicht wär’...

Denn die heutigen IT-Sicherheitsmechanismen sind schlicht und einfach nicht mehr ausreichend. Hier trifft sprichwörtlich Tradition auf Moderne, Firewalls, Antivirus und Antispam auf clevere Malware-Attacken, die oft erst entdeckt werden, wenn es zu spät ist: nämlich dann, wenn die erste Sicherheitslinie durchbrochen wurde. Dass Aufgeben allerdings keine Option ist, zeigt ein Gespräch zwischen der Geschäftsführung und einem IT-Security-Spezialisten:

Geschäftsführer: Laut meiner IT-Abteilung sind wir bestens gerüstet gegen Cyber-Security-Attacken. Und dennoch hat sich die Malware innerhalb kürzester Zeit im gesamten Netzwerk ausgebreitet und alle existierenden Endpunkte befallen. Wir sind nun etwas ratlos ...

IT-Security-Spezialist: Konzentrieren Sie sich verstärkt auf die Angriffsmethoden, denn diese sind meist die gleichen, auch wenn der Schadcode jedes Mal modifiziert wird und somit unbekannt ist. Aber genau darauf sind moderne Security-Tools ausgelegt: Ein bestimmtes Verhalten zu identifizieren, das einen Angriff vorbereitet und sofort dagegen anzugehen. Z. B. deuten Prozessausführungen mit „cmd.exe/c start“ oder ein aus einem Temp-Verzeichnis gestarteter Code meist auf einen Angriff hin – und den müssen die Systeme heute automatisch erkennen und verhindern. Durch eine ständige Analyse von Metadaten lernen die Security-Systeme außerdem selbständig und können überprüfen, ob ähnliche Angriffe bereits in der Vergangenheit auf dieses oder andere Systeme verübt worden sind.

Geschäftsführer: Das Problem kann also gelöst werden, bevor es überhaupt entsteht? Warum schaffen wir das dann nicht? Ich befürchte, an der Frequenz der Angriffe wird sich nichts ändern und wir stehen relativ ungeschützt da.

IT-Security-Spezialist: Ich würde Ihnen empfehlen, Ihre sämtlichen Systeme gründlich zu überprüfen: Sind wirklich alle auf der Höhe der Zeit? Wie sieht es mit Ihrer Reaktionsgeschwindigkeit bezüglich Implementationszyklen aus? Haben Sie ausreichend und vor allem geschultes Personal? Mit genug Budget? Oder nutzen Sie bspw. noch rückständige, weil signaturbasierte Systeme?
 
Geschäftsführer: Bedeutet das, wir sollen alles, was wir bisher nutzen, in die Tonne treten und nur noch auf Advanced-Security-Lösungen und Cloud-Anwendungen setzen?

IT-Security-Spezialist: Nein, das soll nicht heißen, dass all Ihre bisherigen Systeme nichts mehr wert sind und Sie eine Unmenge Geld für Neues in die Hand nehmen müssen. Aber man muss prüfen, inwiefern sich existierende Infrastrukturen mit neuen Lösungen ergänzen lassen und wie diese Infrastrukturen am Ende des Tages ganzheitlich integriert und konsolidiert werden können. Denn mit Hoffen und Bangen, dass man auch bei der nächsten Attacke ungeschoren davon kommt, ist es heute nicht mehr getan.

Der Security-Fokus verschiebt sich: von „Prevent and Protect“ zu „Detect and Respond“:

Quelle: IDC Studie „Next Gen Endpoint Security in deutschen Unternehmen“, 2017; N=150, IT-Verantwortliche

Schlussakkord für die bisherigen Security-Silos:
Vier Tipps, damit Unternehmen in Zukunft vor Erpressung, Wirtschaftsspionage und Rufschädigung sicher sind, lesen Sie hier:

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen

Haben Sie Fragen oder Anregungen?

Schreiben Sie uns an
info@weknowsecurity.de

Ähnliche Artikel