Es ist wie im Film”Tag des Murmeltiers”. Jeden 31. März spielt die Musik und am Welt-Backup-Tag werden wir an das Versprechen erinnert:”Ich schwöre feierlich, meine wichtigen Dokumente und Anwendungen zu sichern”. Ein hehres Ziel, dem jedes Unternehmen und jeder Nutzer sofort zustimmt.
Aber in den Wochen rund um den World Backup Day hören wir aus den Medien, dass Unternehmen gehackt und ihre Daten durch Ransomware gekapert wurden. Das große Versprechen, die Daten aus dem Backup wiederherzustellen und damit gegen jeden Erpressungsversuch resistent zu sein, wird dann wieder gebrochen.
Die Zahlen sprechen für sich, der aktuelle Branchenreport der ENISA zum Transportsektor liefert die Fakten. Im vergangenen Jahr war Ransomware mit 38 Prozent aller erfassten Angriffe die dominierende Bedrohung, gefolgt von Datenlöschung mit 30 Prozent und Malware mit 17 Prozent auf den Plätzen zwei und drei. Der Bericht betont deutlich, dass aufgrund des Russland/Ukraine-Krieges staatlich unterstützte Akteure und Hacktivisten gezielte Angriffe auf den Transportsektor in Europa durchgeführt haben. Eindeutiger Beweis dafür, dass sich die Motivation in Richtung”Störung und Zerstörung des Betriebs”verlagert.
Unternehmen sollten auch nicht nur auf Ransomware schauen. Es muss nicht immer ein feindseliger Akt sein, der Backups und den damit verbundenen Disaster-Recovery-Prozess lohnenswert macht. Als Anfang Februar bei Bauarbeiten am Frankfurter Flughafen ein Bagger wichtige Glasfasern durchtrennte, wurde der Betrieb nahtlos auf redundante Systeme und Leitungen umgestellt. Beim Versuch, wieder in den Normalbetrieb zurückzukehren, wackelte das Primärsystem jedoch und musste für mehrere Stunden heruntergefahren werden. Mehrere tausend Flüge wurden gestrichen und der Ruf von Lufthansa gelitten.
Zusammenarbeit ist entscheidend
Warum tun sich Unternehmen mit dieser Aufgabe so schwer? Ein Grund dafür ist die Komplexität ihrer Umgebungen und die wachsende Abhängigkeit von Software und Daten, die zunehmend verteilt werden. Sie unternahmen Versuche, die Ausbreitung in den Griff zu bekommen, und landeten schließlich bei Dutzenden von isolierten Backup-und Disaster-Recovery-Lösungen. Die Folge: Manche Anwendungen werden übersehen, fallen durchs Raster und das Auffangnetz. Prozesse müssen im Ernstfall manuell von hochgestressten Personen durchlaufen werden. Fehler passieren und dies erhöht die Wiederherstellungszeit. Hier sollten Unternehmen mit der Modernisierung beginnen, indem sie unkontrolliertes Wachstum durch eine zentrale Datensicherheits-und Verwaltungsplattform ersetzen, begleitet von einem starken Digital Operational Resiliency Plan.
Über die technische Antwort hinaus ist es für Unternehmen von entscheidender Bedeutung, sicherzustellen, dass ihre Sicherheitsteams arbeiten enger mit den Infrastrukturteams zusammen, die letztendlich für die Datenwiederherstellung verantwortlich sind. Beide Teams müssen an einem Strang ziehen, um die Folgen eines erfolgreichen Angriffs einzudämmen und gleichzeitig den Kernbetrieb aufrechtzuerhalten. Und sie müssen sich eng abstimmen, um Systeme sauber und gehärtet wiederherzustellen, damit sie nicht erneut durch denselben Angriff kompromittiert werden.
Beide Teams sollten sich auf diese vier Dinge einigen:
ITOps und SecOps sollten gemeinsam Eigentümer der Ergebnisse der Cyber-Resilienz sein.
Die Ergebnisse der Cyber-Resilienz sollten auf objektive und messbare Weise definiert und idealerweise von einer kombinierten CISO/CIO-Rolle verwaltet werden.
Diese Cyber-Resilienz-Ergebnisse müssen aggressive RPO und RTO beinhalten, die spezifische Ziele für das Gesamtziel definieren: Die ITOps-und SecOPs-Teams müssen in der Lage sein, kritische Dienste und Daten auch während eines Cyber-Vorfalls wie z Ransomware-Angriff und liefern die Geschäftsergebnisse.
RPO und RTO werden beide Teams auch anleiten, welche Kontrollen und KPIs erforderlich sind, um die gewünschte Sicherheitslage zu erreichen. Diese werden Teil ihres Digital Operational Resiliency-Plans sein, der eine Stufe über die DR/BCP-Ansätze hinausgeht, die heute von vielen Unternehmen verfolgt werden.
2. Gemeinsame ITOps/SecOps-Planung in Übereinstimmung mit den Zielen für die Sicherheitslage
Sobald sich beide Teams, SecOps und ITOps, auf die gemeinsamen Ziele geeinigt haben, können sie eine faktenbasierte Diskussion darüber beginnen, wie sie vorgehen sollen ausgewogene Investitionen in Schutzkontrollen und Kontrollen, die die Auswirkungen bei Verstößen minimieren. Durch die Verfolgung dieses Ansatzes bleibt diese gemeinsame Budgetdiskussion mit der Sicherheitslage in Einklang und definiert die richtigen Prioritäten, um die Resilienz des digitalen Betriebs zu erreichen.
3. Umfassendes Verständnis zwischen den ITOps-/SecOps-Teams der Angriffsfläche
Beide Teams müssen das gleiche Verständnis der potenziellen Angriffsfläche teilen.
Um diese Erkenntnisse zu gewinnen , müssen beide Teams wissen, welche Daten das Unternehmen speichert und wo sich alles befindet (lokal, Private Cloud, Public/Multi Cloud)
Beide Teams sollten auch das gleiche Verständnis für die Ebene von haben Reife, die ihre Organisation mit ihrer Sichtbarkeit von Daten hat. Dadurch können sie das potenzielle Risiko von Cyberangriffen und Datenverlust besser verstehen.
4. Koordinierung zwischen ITOps/SecOps bei der Reaktion auf Vorfälle
Schließlich müssen sowohl ITops-als auch SecOps-Teams die Zusammenarbeit verstärken, um während einer Reaktion auf Vorfälle besser interagieren zu können. Um dies zu erreichen, müssen ITOPs-Teams in den Incident-Response-Prozess eingebunden werden. Um die Qualität ihrer Interaktion zu bewerten und potenzielle Probleme zu identifizieren, sollten beide Teams regelmäßige Übungen und Simulationen als Tischübungen durchführen, einschließlich einer getesteten Wiederherstellung durch Reinräume, um die RTO zu demonstrieren, die sich häufig von ihren traditionellen BCP-Timings unterscheidet. p>
Bildnachweis: Wayne Williams
Mark Molyneux ist EMEA CTO für Cohesity.