Im Vergleich zu vielen Branchen agiert die Cybersicherheit in einem äußerst kontroversen Umfeld, in dem Organisationen viel Zeit, Geld und Ressourcen investieren, um eine Reihe entschlossener Bedrohungsakteure zu besiegen. Als ob das nicht genug wäre, stehen Sicherheitsteams hoch motivierten, gut organisierten kriminellen und nationalstaatlichen Gruppen gegenüber, die ständig ihre Taktik ändern, um die Oberhand zu gewinnen.
Das Ergebnis ist, dass Sicherheitsteams häufig überschwemmt werden mit Warnungen, falsch positiven und negativen Ergebnissen, die sie dennoch ansprechen müssen, anstatt sich auf die proaktive Sicherung ihrer Netzwerke konzentrieren zu können.
Diese Cybersicherheitsexperten arbeiten zunehmend in einer endlosen, ereignisgesteuerten Schleife reaktionäre Verhaltensweisen, wodurch viele unter erheblichem Stress oder sogar Burnout leiden. Zusammengenommen hindern diese Herausforderungen Sicherheitsteams daran, Maßnahmen zu ergreifen, die den heutigen Unternehmensumgebungen letztendlich einen besseren Schutz bieten würden.
Wie können also Organisationen und ihre Cybersicherheitsteams ihre Bemühungen auf proaktiven Schutz ausrichten, um sicherzustellen, dass Risiken, Schwachstellen und Angriffe direkt angegangen werden?
1. Typische Benutzerverhaltensmuster verstehen
Durch die Erstellung einer Basislinie typischer Benutzerverhaltensmuster wird es viel praktischer, Anomalien schnell zu erkennen und größere Schäden an der Infrastruktur und den Daten eines Unternehmens zu verhindern. Im Laufe der Zeit können Profile für bestimmte Benutzer erstellt werden, die ihre täglichen Gewohnheiten beinhalten – von welchen Computern, wann und von wo aus sie sich anmelden, auf die Netzwerkressourcen, auf die sie zugreifen, und ihre Nutzungsmuster anderer wichtiger Ressourcen wie Cloud-Anwendungen. Die täglichen Aktivitäten eines Benutzers können dann mit diesen historischen Mustern verglichen werden, und jede plötzliche Änderung des Musters oder der Lautstärke löst sofort eine Warnung aus.
Sicherheitsteams können dann Parameter für ein typisches tägliches Netzwerk festlegen Verkehr aussieht und wichtige Erkenntnisse liefert. Dies ist besonders nützlich, da alltägliche Mitarbeiter zweifellos zu den Hauptzielen von Cyberkriminellen gehören, die versuchen, Netzwerke zu durchbrechen.
2. Fokus auf die Automatisierung der Reaktion auf Vorfälle
Um eine proaktive Cybersicherheitsstrategie bereitzustellen, wenn Angriffe an Größe, Häufigkeit und Komplexität zunehmen, ist die Automatisierung der Reaktion jetzt zu einem „Must-Have“ geworden. Wenn eine Organisation beispielsweise weiterhin zeitaufwändige Untersuchungs-und Meldeverfahren einsetzt, bleibt die Überwachung des Basisverhaltens allein wirkungslos.
Stattdessen sollten Organisationen Automatisierungslösungen für die Reaktion auf Vorfälle implementieren, die sowohl eine schnelle Erkennung von Bedrohungen als auch deren Umsetzung ermöglichen Gegenmaßnahmen. Auf diese Weise können sich Analysten effektiver auf proaktive Untersuchungen, Eindämmungs-und Minderungsmaßnahmen konzentrieren und ihre Produktivität und Wirkung erheblich steigern – menschliches Gehirn für menschliche Probleme.
Zusätzlich Automatisierung der Entwicklung von Vorfall-Playbooks für regelmäßige Vorfälle Auftretende Sicherheitsprobleme wie Malware, Infektionen oder Phishing-Betrug erleichtern es Teams, wiederholbare Lösungen zu liefern und die SOC-Effizienz zu maximieren. Organisationen können auch ihre Sicherheitsprozesse und Gegenmaßnahmen anpassen, um mit der sich ändernden Bedrohungslandschaft Schritt zu halten, indem sie frühere Sicherheitsverletzungen untersuchen und neue Arten von Malware entdecken.
3. Mit neuen und sich entwickelnden Bedrohungen Schritt halten
Einer der wichtigsten Schwerpunkte beim Aufbau eines proaktiven Ansatzes für Cybersicherheit ist die Fähigkeit einer Organisation, sich an neue und sich entwickelnde Bedrohungen anzupassen. Dies stellt eine große Herausforderung dar: In seinem Digital Defense Report 2021 gab Microsoft bekannt, dass es täglich 31 Milliarden Identitätsangriffe und 32 Milliarden E-Mail-Bedrohungen sowie neun Milliarden Endpunktbedrohungen gestoppt hat.
Um Schritt zu halten, Sicherheitsteams sollten proaktive Threat-Hunting-Taktiken wie Indicators of Attack (IoA) anwenden und gleichzeitig globale Erkennungs-Playbooks verwenden, um Advanced Persistent Threat (APT)-Gruppen und Malware-Angriffe zu identifizieren. Sicherheitsanalysten sind dann viel besser in der Lage, neue Malware und/oder Techniken sowie komplexe, ausgeklügelte APT-Angriffe zu erkennen, zu isolieren und zu neutralisieren, die von automatisierten Sicherheitstools noch nicht erkannt werden können. Der Aufbau dieser Fähigkeiten bedeutet auch, dass sie Maßnahmen ergreifen können, um ähnliche Angriffe in Zukunft zu verhindern, indem sie industriebasierte Jagd mit Situationsbewusstsein und Daten kombinieren, die ihre Reaktion auf geopolitische Probleme informieren.
4. Implementieren Sie einen ganzheitlichen Ansatz
Letztendlich müssen Unternehmen über starke Cybersicherheits-Frameworks verfügen, die rund um die Uhr in Betrieb sind, um Anomalien zu identifizieren, zu analysieren und zu kennzeichnen, die auf einen bevorstehenden Angriff hinweisen könnten. Ein wirklich proaktiver Ansatz erfordert jedoch die Anwendung einer ganzheitlichen Methode, die effektive Überwachungs-und Automatisierungsprozesse mit der inhärenten Agilität verbindet, die erforderlich ist, um mit neuen Trends und Techniken Schritt zu halten, die von Gegnern auftauchen.
Dabei Unternehmen werden feststellen, dass sie viel besser in der Lage sind, die unvermeidlichen Cyberangriffe zu überwachen und darauf zu reagieren, die ihre Daten und Netzwerke zu gefährden drohen. Sich weiterhin auf eine reaktive Sicherheitshaltung zu verlassen, spielt im Gegensatz dazu raffinierten Gegnern in die Hände, die Sicherheitslücken und strategische Trägheit jetzt ganz selbstverständlich ausnutzen.
Matt Rider ist VP of Security Engineering EMEA bei Exabeam.
Bildnachweis: alles Mögliche/depositphotos. de