Du wirst oft hören, dass Cybersicherheit in militärischer Hinsicht als Krieg, Schlacht oder Konflikt diskutiert wird. Sollten Unternehmen also einen defensiven Ansatz verfolgen, der sich auf militärisches Denken stützt?
Tom Gorup ist Vizepräsident für Sicherheitsoperationen bei Alert Logic, ein Spezialist für Managed Detection and Response. Er ist auch ein Veteran von sechs Jahren in der US-Armee mit Einsätzen im Irak und in Afghanistan. Wir haben mit ihm gesprochen, um herauszufinden, wie die auf dem Schlachtfeld gewonnenen Erkenntnisse auf die Cybersicherheit angewendet werden können.
BN: Stimmt es zu sagen, dass die Cybersicherheit zu einem Fokus für Angriffe und Spionage durch Nationalstaaten geworden ist?
TG: Absolut. Angriffe nationalstaatlicher Akteure sind sowohl für Unternehmen als auch für Einzelpersonen eine echte Bedrohung. Wir haben gesehen, wie sich diese Angriffe im Mittelpunkt abspielten. Beispiele hierfür sind Russen, die Amerikaner in psychologischer Kriegsführung über Social-Media-Plattformen wie Facebook und Twitter direkt angreifen. Diese Angriffe erfolgten in Form von Memes, Anzeigen, Blogbeiträgen und Kommentaren, um eine soziale Spaltung zu schüren.
SolarWinds ist ein weiteres Beispiel für Cyberspionage durch nationalstaatliche Akteure. In diesem Fall hatte Russland auch direkten Zugriff auf den Quellcode, was ihnen die Möglichkeit gab, eine Hintertür in eine der beliebtesten Netzwerküberwachungslösungen der Welt einzubauen. Ganz zu schweigen davon, dass es von der US-Regierung stark genutzt wird, was es zu einem großartigen Ziel macht.
Wie Sie wahrscheinlich sehen können, waren diese Angriffe ziemlich effektiv. Damit Unternehmen diese Angriffe effektiv bekämpfen können, müssen sie sich ihrer Sicherheitslage bewusst sein und sie verstehen. Es muss einfach sein, Risiken im gesamten Unternehmen zu verstehen, zu kommunizieren und zu priorisieren.
BN: Verlassen sich Unternehmen immer noch zu sehr auf traditionelle Endpoint-Sicherheitstools?
TG: Herkömmliche Sicherheitstools können problematisch sein. Viele Unternehmen verfügen über unzählige Sicherheitstools. Obwohl diese Tools wahrscheinlich die besten ihrer Art sind, behindern sie die Fähigkeit von Sicherheitsverantwortlichen, ihre Sicherheitslage auf messbare Weise effektiv zu verwalten. Diese Tools erschweren Metriken und Berichte aufgrund fehlender Integrationen und uneinheitlicher Nomenklatur.
Infolgedessen müssen Sicherheitsverantwortliche die Ergebnisse manuell konsolidieren und übersetzen, um eine zusammenhängende Geschichte zu erstellen, um die des Unternehmens zu erklären Sicherheitslage. Am Ende des Tages sind grundlegende Fragen schwer zu beantworten wie: Verstehen Sie, wie Ihre Sichtbarkeit aussieht? Verstehen Sie, wo Ihre Risiken liegen und wie Sie dann angegriffen werden?
Die meisten dieser Tools beantworten jeweils nur eine Teilmenge von Fragen, was es für Sie sehr schwierig macht, Ihre Sicherheitslage effektiv zu messen.
BN: Welchen Wert hat der Einsatz eines „roten Teams“, um Netzwerke zu untersuchen und Schwachstellen aufzudecken?
TG: Rote Teams werden eingesetzt, um Schwachstellen zu identifizieren, Schwachstellen, Gefährdungen oder sogar aktive Kompromisse innerhalb einer Umgebung. Das Ziel eines roten Teams ist es, wie ein Angreifer zu denken und das Szenario durchzuspielen. Es ist nicht nur wertvoll, Red-Team-Übungen durchzuführen, um Gefährdungen oder Schwachstellen in Ihrer Umgebung zu identifizieren, sondern auch äußerst wertvoll, um Lücken in Ihrer Sichtbarkeit zu identifizieren.
Dieser Ansatz ähnelt dem, was das Militär bei der Feldausbildung tut Übungen. Bevor wir uns in irgendein Kampfgebiet begeben, durchlaufen wir eine Menge Training. Dieses Training würde auch beinhalten, für vielleicht einen Monat am Stück aufs Feld zu gehen. Dort führten wir unsere Kampfübungen gegen einen Gegner durch, den wir „Op4“ (Opposing Force) nennen. Wir würden eine Kampfposition aufbauen und sichern, und dann würde Op4 versuchen anzugreifen. Ihr Ziel ist es, unsere Verteidigung zum Einsturz zu bringen und Schwächen in unserer Ausführung zu identifizieren. In diesem Fall ist Op4 unser rotes Team, und sie testen unsere Schlachtfeldprozesse, bevor wir in den Live-Kampf gehen.
BN: Wie wichtig ist es, Informationen zu bündeln?
TG: Es ist entscheidend, Informationen zu bündeln. Nichtsdestotrotz ist die Datennormalisierung eine der größten Herausforderungen der Sicherheitsbranche und wirklich jeder Branche.
Durch die Standardisierung unserer Taxonomie und die Nutzung konsistenter Schlüssel-Wert-Paare über unzählige Datensätze hinweg können wir effektiver kombinieren, oder Pool, unsere Intelligenz. Dies versetzt uns in eine bessere Position, um maschinelles Lernen effektiv zu nutzen, und ermöglicht es uns, unsere Bedrohungserkennung und-reaktion zu verbessern.
Es kann besonders herausfordernd sein, wenn wir einen Datensatz haben – vielleicht Firewall-Daten – das ist völlig anders als ein Active-Directory-Datensatz und völlig anders als die Daten eines Endpoint Detection/Response-Tools. Sie sind alle verschieden, und unser Ziel ist es, sie alle zusammenzubringen, um eine zusammenhängende Geschichte zu erzählen. Wenn wir sie effektiv normalisieren können, können wir diese Informationen zusammenführen, wodurch die Daten viel wertvoller werden.
BN: Wo liegt Ihrer Meinung nach das Gleichgewicht zwischen Technologie wie KI und menschlicher Analyse?
TG: Stellen Sie sich vor, Sie haben ein Grundstück mit einem riesigen Waldgebiet, und Sie können am Rand des Waldes entlanggehen, um Wanderwege zu identifizieren, an denen sich Rehe oder andere Tiere bewegen könnten aus diesem Wald. Sie können auch auf verschiedenen Pfaden in den Wald gehen und verschiedene Nahrungsquellen ausfindig machen. Dies ist ein zu 100 Prozent manueller Prozess und kann verschiedene Fähigkeiten und Fachkenntnisse erfordern, um effektiv und effizient zu sein. Das war vor 10 Jahren im Sicherheitsbereich, wo wir Protokolle und Ereignisse manuell durch Textdateien durchsuchten.
Nun, um mit unserer Waldanalogie fortzufahren, Sie könnten ein Satellitenbild verwenden, um Ausgangspunkte zu identifizieren, die in diesen Wald und sogar hinein führen Nahrungsgebiete mit hoher Wahrscheinlichkeit. Darüber hinaus könnten Sie Kameras strategisch im gesamten Wald einsetzen, um Warnungen und Einblicke in die Bewegung im Wald zu erhalten. So weit sind unsere Sicherheitstools in den letzten zehn Jahren gekommen.
Aber selbst mit diesen Tools müssen Sie immer noch die Bilder mit einem feinen Kamm durchgehen, um das Reh (oder den Kompromiss) zu finden. – aber stellen Sie sich vor, wir würden künstliche Intelligenz auf diese Daten anwenden. Die KI könnte Nuancen entlang des Waldrandes erkennen, Wärme-und Feuchtigkeitsmuster erfassen, um hochwahrscheinliche Nahrungsgebiete auszuwählen, und sogar Geländeänderungen mit Kameradaten kombinieren, um wahrscheinliche Tierspuren auszuwählen. Was Sie als Jäger tun können, ist, direkt in diese potenziellen Hotspots einzutauchen, weil die KI sie für Sie ausgerufen hat. Aber gibt es dort ein Reh? Da kommt ein Mensch ins Spiel. Wir können unsere Modelle verbessern, indem wir sie darüber informieren, wann sie richtig und wann sie falsch liegen, aber letztendlich die Wahrscheinlichkeit einer erfolgreichen Jagd erhöhen.
Wir müssen anfangen, auf diese Weise über unsere Beziehung zur KI nachzudenken/ML. Es ist kein Ersatz für den menschlichen Instinkt und die menschliche Entscheidungsfindung, aber es ist ein starker Wegbereiter, der unsere Jagd effizienter macht. Wir sollten fragen:”Wie kann ich diese KI, dieses Tool verwenden, um meine täglichen Aktivitäten zu erweitern und die Last des Lernens dieser neuen Datenpunkte zu verringern?”
Bildnachweis: Gorodenkoff/depositphotos.com