Zu Beginn des Jahres 2023 fordern Faktoren wie eine unsichere Wirtschaft, Inflation, die Angst vor einer Rezession, Einstellungsstopps und Entlassungen sowie Probleme in der Lieferkette weiterhin ihren Tribut von Unternehmen – und wirken sich nicht nur auf den täglichen Betrieb, sondern auch auf die Budgets aus das neue Jahr.
Wenn es um Ausgaben für Cybersicherheit geht, insbesondere Curtis Fechner, Engineering Fellow, Threat Management bei Optiv, sagen viele Führungskräfte, dass ihre Budgets im Jahr 2023 unverändert bleiben, was ein Best-Case-Szenario ist, da das Risiko von Kürzungen inmitten einer unsicheren Wirtschafts-und Geschäftslandschaft groß ist.
Wir haben uns mit Curtis zusammengesetzt, um zu bekommen seine Gedanken darüber, wie sich seiner Meinung nach stagnierende oder reduzierte Budgets für Cybersicherheit auf Unternehmen im Jahr 2023 auswirken werden.
BN: Wie werden Unternehmen Ihrer Meinung nach mit einer flachen oder reduzierten Cybersicherheit umgehen? Budgets?
CF: Erfolgreiche Cybersicherheitsprogramme erfordern gleiche Investitionen in drei Bereiche: Menschen, Prozesse und Technologie. Wenn jedoch nur so viel Geld zur Verfügung steht, vermute ich, dass viele Organisationen das Gleichgewicht stören werden, indem sie Geld in neue Technologien werfen. Wir haben diesen Beginn bereits in diesem Jahr gesehen, mit Organisationen, darunter Informationssicherheitsexperten, in großem Umfang Personal abzubauen, und dies wird sich bis ins neue Jahr fortsetzen.
Bei so viel Hype um die Automatisierung haben viele Führungskräfte haben sich selbst davon überzeugt, dass Technologie den Menschen ersetzen kann – aber die Realität ist, dass wir dieses gewünschte Ergebnis noch lange nicht erreicht haben. Gute Tools können sicherlich zur Risikominderung beitragen, aber ich glaube auch, dass diese Tools nur so effektiv sind wie die Menschen, die sie verwenden. Daher werden Unternehmen, die sich auf Technologieausgaben auf Kosten ihrer personellen Cyber-Ressourcen konzentrieren, im Jahr 2023 wahrscheinlich einem größeren Risiko eines größeren Cyber-Vorfalls oder einer Sicherheitsverletzung ausgesetzt sein.
BN: Können Sie das erklären? Wie kann der Personalabbau im Bereich Cybersicherheit das Sicherheitsrisiko erhöhen?
CF: Sicherheitsteams, die in Security Operations Centers (SOC) arbeiten, kämpfen seit langem mit Alarmmüdigkeit, und dieses Problem wird so schnell nicht verschwinden. Hunderte von Warnungen gehen von den unterschiedlichen Sicherheitstools ein, die in der IT-Umgebung eines Unternehmens implementiert sind, und Sicherheitsanalysten haben die Aufgabe, jedes einzelne manuell zu untersuchen, legitime Bedrohungen zu identifizieren und dann schnell zu reagieren, um Risiken zu mindern oder Schäden zu begrenzen. Dies ist ein Prozess, der viel Zeit und Mühe kostet. Durch die Reduzierung der Anzahl der Sicherheitsanalysten bleibt übriges Personal übrig, um die Lücke in einem bereits überlasteten SOC zu schließen. Sie werden sicherlich tun, was sie können, aber der Tag hat nur eine begrenzte Anzahl von Stunden. Wenn Sicherheitsexperten überarbeitet und überfordert sind, besteht ein höheres Risiko, dass legitime Bedrohungen durch die Ritzen schlüpfen oder nicht rechtzeitig identifiziert werden – was dann zu einem allgemeinen Anstieg schwerer Vorfälle führt.
BN: Sehen Sie auch andere Risiken voraus?
CF: Ich denke, dass es eine breite De-Betonung des Menschen geben wird, größtenteils zum Nachteil vieler Organisationen. Wir werden dies nicht nur durch reduzierte Mitarbeiterzahlen sehen, sondern auch in Bezug auf die Karriereentwicklung – zum Beispiel durch Investitionen in die Mitarbeiterschulung.
Die Mitarbeiter, die noch einen Job haben, werden mit Kürzungen des Schulungsbudgets konfrontiert, was sie beraubt der Aus-und Weiterbildung, die sie benötigen, um ihre Organisation effektiv zu schützen. Ohne Schulung fehlt es den Sicherheitsteams beispielsweise an Erfahrung und praktischem Wissen zur Reaktion auf Vorfälle in der realen Welt, was sie auf einen Verstoß oder eine andere Cyberbedrohung erbärmlich unvorbereitet macht. Unternehmen können jedes Jahr genug Geld für eine einzige jährliche IR-Tabletop-Übung aufbringen, aber diese Kadenz reicht bei weitem nicht aus, um es den IR-Teilnehmern zu ermöglichen, das richtige „Muskelgedächtnis“ aufzubauen, das sie benötigen, um ihre Rolle in dem Prozess zu erfüllen.
Unternehmen haben dann ein zweifaches Problem: Sie sind an der Sicherheitsfront personell unterbesetzt und die von ihnen beschäftigten Mitarbeiter erhalten nicht die erforderlichen Tools, um das Unternehmen angemessen abzusichern.
BN: Irgendwelche Ratschläge für Unternehmen auf dem Weg ins Jahr 2023?
CF: Übersehen Sie nicht die menschliche Komponente in der Cybersicherheit.
Hochmotivierte Angreifer können beträchtliche Wirkung erzielen gegen ihre Ziele in einem sehr kurzen Zeitfenster. Ihr Ziel ist es, schneller zu arbeiten, als das SOC reagieren kann, und wir helfen den SOC-Teams nicht, indem wir ihre Ressourcen verringern und ihnen Schulungen wegnehmen.
Einige Unternehmen glauben, dass ihnen die Technologie die Möglichkeit gibt, schneller zu arbeiten Angreifer durch die Automatisierung von Sicherheitskontrollen. Aber wenn die Automatisierung gegen historische Angriffstechniken oder Indikatoren trainiert wird – und wenn wir uns viele Produkte ansehen, die diese historischen Daten nutzen, um ihre maschinellen Lernmodelle zu trainieren – dann können wir uns möglicherweise nicht auf neue Bedrohungen vorbereiten, indem wir neue Taktiken und Techniken nutzen. Und wenn die Erkennung nicht perfekt ist, wird die automatisierte Technologie die Bedrohung entweder nicht eindämmen können oder zu Fehlalarmen führen, die das Geschäft stören. Die Ironie ist, dass die Sicherheitsexperten, die auf Kosten dieser Technologien entlassen werden, tatsächlich Anomalien finden können, die technischen Kontrollen entgehen. Ohne das menschliche Element in diesem Prozess steigen daher die Sicherheitsrisiken und Organisationen machen sich anfälliger.
Die Bedrohungslandschaft wird immer ausgefeilter und Angreifer werden immer geschickter darin, neue Schwachstellen auszunutzen und neue zu identifizieren Sicherheitskontrolllücken. Zu Beginn des Jahres 2023 sollten Unternehmen weiterhin in ihre Mitarbeiter investieren, ihnen die Ausbildung geben, die sie für ihren Erfolg benötigen, und sicherstellen, dass ihre Technologielösungen den Menschen ergänzen – und nicht ersetzen. Wenn Unternehmen in der Lage sind, das richtige Gleichgewicht zwischen Menschen, Prozessen und Technologie aufrechtzuerhalten, können sie eine starke Cybersicherheit und Cyberresilienz aufbauen, die ihnen helfen, jede Art von Angriff zu erkennen, darauf zu reagieren und ihm zu widerstehen.
Bildnachweis: BiancoBlue/depositphotos.com