Cyber Security Investitionen: 4 Bereiche, die Sie jetzt ausbauen sollten

Der vermehrte Einsatz digitaler Technologien, die exponentielle Zunahme der Datenmengen und sich ändernde Arbeitsweisen erweitern die Angriffsflächen und machen Cyber Security zu einer strategischen Priorität.

Wenn es aber um die passenden Lösungen geht, gibt es tausende Produkte, Services und Ansätze, in die Sie investieren können. Hier den Überblick zu behalten und Lösungen so zu kombinieren, dass sie den besten Schutz für die eigene Organisation bieten, ist fast unmöglich. Wir unterstützen Sie und verraten die 4 wichtigsten Bereiche, auf die sich Ihre Investitionen jetzt konzentrieren sollten.

Bereich 1: Mehr Sichtbarkeit über Assets gewinnen

Vielen Unternehmen, die ihre IT noch traditionell einsetzen, mangelt es an Transparenz: Weder wissen sie, wie ihre Umgebung im Detail aussieht, noch nutzen sie eine Configuration Management Database (CMDB) als zentrale Datenbank, die ihnen alle relevanten Informationen über die Hard- und Software-Komponenten sowie Legacy-Systeme verrät. Dabei hat die Verlagerung von On-Prem-Infrastruktur in die Cloud das Problem der mangelnden Sichtbarkeit nur noch verschärft.

Da es den IT-Abteilungen auch immer mehr an Zeit und Ressourcen mangelt, kommen Sie mit dem Patchen von Sicherheitslücken kaum noch hinterher. So sind es vor allem die mangelnde Sichtbarkeit und das Fehlen von Patches in Kombination mit einer wachsenden Anzahl an Schwachstellen, die die Absicherung der IT zur Herausforderung machen.

Die erste Schlüsselfrage lautet: Wie können Sie in die passende Cyber Security investieren, wenn Sie gar nicht wissen, wo sich die wichtigsten Assets befinden und wie groß die Angriffsfläche ist, die sie bieten?

Die Antwort: Sich mit dem Risk Based Vulnerability Management auf eine Strategie fokussieren, die das Asset Management, Vulnerability Management und Patch Management ganzheitlich unter der Risiko-Prämisse angeht:

• Mit vollständiger Inventarisierung und Sichtbarmachung der Angriffsflächen aller Asset-Typen.
• Mit einer durch Threat Intelligence unterstützten und durchgeführten Priorisierung, um festzustellen, welche kritischen Schwachstellen Angreifer in naher Zukunft am ehesten ausnutzen würden.
• Mit Vulnerability und Threat Remediation durch das Patch Management sowie dem zusätzlichen Adressieren von Schwachstellen, die durch menschliches Versagen oder Organisationsschwächen entstehen.
• Durch kontinuierliches Monitoring und Bewertung aller Schwachstellen.

Bereich 2: Zugänge kontrollieren, Auswirkungen minimieren

Da viele Anwendungen in die Cloud verlagert wurden und Menschen immer hybrider von verschiedenen Standorten aus arbeiten, ist das Konzept der statischen„Perimetersicherheit“ mit Firewalls und VPN-Diensten inzwischen überholt. Im Zeitalter der dynamischen Cloud-Nutzung, vernetzter Microservices und von Geräten, die an verschiedenen Orten gehostet sind, müssen wir die Zugänge vielmehr so einrichten, dass die Auswirkungen eines Angriffs so minimal wie möglich sind.

Ein moderner Ansatz ist eine Zero-Trust-Architektur (ZTA), bei der immer und grundsätzlich davon ausgegangen wird, dass nichts und niemand vertrauenswürdig ist – es sei denn, das Gegenteil wird bewiesen. Stellen Sie sich einfach einen Nachtclub und ein Hotel vor, um den traditionellen Sicherheitsansatz mit dem Zero-Trust-Modell zu vergleichen:

• Wenn ein minderjähriger Teenager es schafft, den Nachtclub mit einem gefälschten Ausweis zu betreten, steht dem Vergnügen nichts mehr im Weg. Es finden keine weiteren Kontrollen und damit Einschränkungen statt. So ist der alte, perimeterbasierte Sicherheitsbereich aufgebaut.
• Kommen Sie stattdessen in einem Hotel an, müssen Sie sich ausweisen und ein verifiziertes Zahlungsmittel vorlegen. Erst dann erhalten Sie Ihren Schlüssel. Verlieren Sie ihn, kann ein Fremder auch nur dieses Zimmer betreten. Und manchmal brauchen Sie den Schlüssel sogar, um überhaupt Zugang zum Aufzug oder Stockwerk zu erhalten.

Es ist nicht schwer zu bemerken, welches Szenario mehr Sicherheit bietet: Das Beispiel mit dem Hotel- und Zimmerzugang steht bildhaft dafür, wie sich die Auswirkungszone durch Beschränkung und Kontrolle des Zugangs begrenzen lässt.

Bereich 3: Bedrohungen proaktiv erkennen und darauf reagieren

Wenn die Frage heute nicht mehr lautet, ob man angegriffen wird, sondern wann, kann es nur eine sinnvolle Antwort geben: Investieren Sie erstens in die Fähigkeit, bestehende Risiken proaktiv zu erkennen und zweitens in Maßnahmen, um entsprechend darauf zu reagieren. Denn allein auf defensive und rein reaktive Maßnahmen zu setzen, reicht längst nicht mehr aus.

Vielmehr sollten Sie Programme wie die Bedrohungssuche, Penetrationstests sowie eine verwaltete Netzwerk- sowie Endpunktüberwachung einsetzen, um  Ihre Organisation proaktiv zu schützen. So begegnen Sie fortschrittlichen Angriffen schon, bevor diese ihre Systeme kompromittieren können. Dazu sind Sie nicht ständig auf der „Jagd“ und können Ihre ganze Aufmerksamkeit auf die rechtzeitige Erkennung und Beseitigung potenzieller Risiken lenken.

Dabei gibt es mit Log, Netzwerk und Endpunkt drei Haupttypen von Erkennungs- und Reaktionstechnologien, die heute im Einsatz sind. Jede davon hat ihre Stärken und Schwächen:

• Bei der logbasierten Erkennung sind Sie von der Qualität und Verfügbarkeit der Daten abhängig.
• Bei der netzwerkbasierten Erkennung sind Sie auf die Details beschränkt, die sich aus dem verschlüsselten Datenverkehr extrahieren lassen.
• Bei der endpunktbasierten Erkennung sind Sie auf die Agenten beschränkt, die auf den verwalteten Geräten installiert sind.

Um die jeweiligen Schwächen und Stärken auszugleichen, hat Gartner die SOC Visibility Triad vorgeschlagen. Konkret kommen dabei Endpoint Detection and Response (EDR), Network Detectection and Response (NDR) und das Security Information and Event Management (SIEM) zum Einsatz. Der Vorteil ist, dass damit alle potenziellen Lücken geschlossen werden, die Bedrohungsakteure nutzen könnten und die IT und Daten ganzheitlich abgesichert werden  – ganz gleich, ob es sich noch um eine On-Prem, Private-, Public-, Hybrid- oder Multi-Cloud-Umgebung handelt.

Bereich 4: Automatisieren und bei Bedarf auslagern

Nutzt man nun proaktive Erkennungstechnologien, können häufige Fehlalarme und eine damit einhergehende Alarmmüdigkeit zu einem ernsten Problem werden. Abhilfe kann eine leistungsfähige Automatisierung schaffen, die Künstliche Intelligenz (KI) und maschinelles Lernen als Basis für selbstständige Entscheidungen nutzt.

Aber ganz gleich, ob mit KI oder sonstwie ­– am zielführendsten ist es, die Art der Automatisierung anhand der Fähigkeiten des eigenen Security-Teams und der Komplexität der eigenen IT-Umgebung zu gestalten. Was aber können Sie tun, wenn Sie nicht über die fachlichen Ressourcen verfügen, um die nötigen Lösungen bereitzustellen oder die Integration in ein Security Operation Center (SOC) zu managen?

Mangelt es Ihnen an Antworten, können Sie immer auf die Unterstützung eines erfahrenen Managed Security Services Providers (MSSP) wie Axians bauen. Dabei nutzen Sie die Expertise eines vertrauenswürdigen externen Partners, um sich nicht nur vor rufschädigenden Cyber-Vorfällen, sondern auch vor kostspieligen, und unnötigen Investitionen zu schützen.

Besser nicht an der Cyber Security sparen!

Wir beraten Sie nicht nur, welche Lösungen in welcher Kombination in welchem individuellen Fall am besten geeignet sind, sondern übernehmen im Bedarfsfall auch den fortlaufenden Betrieb.

Etwa, indem wir Sie mit einem ausgelagerten Security Operations Center (SOC) und Security Information Management (SIEM) bei der Prävention, proaktiven Erkennung und Reaktionen auf fortschrittliche Bedrohungen unterstützen. Denn wenn das SOC die zentrale Leitstelle ist, das sich mit Tools, People und Prozessen rund um die Uhr um alle sicherheitsrelevanten Themen kümmert, liefert das SIEM die nötige Datengrundlage dafür.

Sie möchten mehr darüber erfahren, wie Sie Ihre Cyber Security bestmöglich ausbauen können? Gerne beantworte ich Ihre Fragen.