Wenn mehr Sicherheit zu viel ist
Die Ansicht, dass mehr Sicherheitstools einen besseren Schutz bedeuten, hält sich immer noch hartnäckig, doch der Sicherheitsforscher Etay Maor argumentiert, dass der Erfolg im Cyber-Bereich in der Einfachheit liegt…
„Wachstum schafft Komplexität, die Einfachheit erfordert“ – Mike Krzyzewski.
Es herrscht ein weit verbreitetes Missverständnis, dass die Sicherheitslage eines Unternehmens umso besser sei, je mehr Sicherheitstools es einsetzt. Deshalb ist es nicht verwunderlich, dass Unternehmen im Durchschnitt mehr als 70 Sicherheitsprodukte nutzen, und es überrascht kaum, dass mit jedem hinzugefügten Angebot die Komplexität zunimmt und die Effizienz sinkt. Während dies für Fortune-100-Unternehmen mit ihren nahezu unbegrenzten Sicherheitsbudgets kein großes Problem sein mag, stellt es für alle anderen eine Herausforderung dar.
Eines der grundlegenden Probleme, das zu dieser Komplexität führt, ist der mehrschichtige Sicherheitsansatz, den Unternehmen über die Jahre hinweg eingeführt haben, um sich gegen die ständig wandelnde Bedrohungslandschaft und die wachsende Komplexität von Angriffen zu schützen.
Allerdings bestand jede Schicht aus mehreren unverbundenen Angeboten, was dazu führte, dass Sicherheitsforscher zu Integrationsingenieuren wurden. Sie mussten versuchen, alle Elemente miteinander zu verknüpfen. Wie genau erfassen und korrelieren Sie Signale und Indikatoren verschiedener Sensoren, filtern diese, normalisieren die Daten, scannen nach Fehlalarmen, bewerten die Relevanz der Daten für Ihre Anforderungen und vieles mehr? Wie werden mehrere Bedrohungs-Feeds erfasst, priorisiert und auf Fehlalarme geprüft? Wie können Sie sicherstellen, dass alles nahtlos zusammenarbeitet, um eine möglichst optimale Sicherheitslage zu gewährleisten?
Das kannst du nicht!
Der Beweis liegt in der sogenannten Verweildauer – die meisten Bedrohungsakteure verweilen wochen- (wenn nicht sogar monatelang) in den Netzwerken von Organisationen, bevor sie ihren Angriff starten.
In dieser kritischen Phase des Angriffs hat die IT viele Möglichkeiten, einen Angriff zu erkennen, einzudämmen und sogar zu verhindern. Während sie sich im Netzwerk der Organisation aufhalten, sammeln die Angreifer Passwörter und sichern ihr Fortbestehen im Netzwerk mithilfe von Tools, die bereits im System vorhanden sind, wie WMI oder PowerShell (oder LOL, was für „Living Off the Land“ steht) bis hin zu benutzerdefinierten Tools Durchführen von Privilegienausweitungen, Seitwärtsbewegungen zur Identifizierung von Kronjuwelen, Vorbereiten von Exfiltrationstunneln und vielem mehr – und das alles unter Umgehung von Sicherheitskontrollen.
Dies widerlegt einen weiteren alten Mythos der Cybersicherheit, der besagt: „the attackers have to be right just once, and the defenders have to be right all the time”. Dieser Mythos ist eine zu starke Vereinfachung dessen, was bei einem Verstoß wirklich passiert. Tatsächlich ist genau das Gegenteil der Fall. Die Angreifer müssen bei jedem einzelnen Schritt richtig liegen, um ihr Ziel zu erreichen, während die IT über mehrere potenzielle Engpässe verfügt, an denen sie den Angriff hätten erkennen, abschwächen oder verhindern können. Warum übersehen Sec-Ops diese Signale immer wieder?
In vielen dieser Fälle waren alle Signale vorhanden, wurden aber irgendwie übersehen. Dies wirft die Frage auf: Fügen wir mit jedem neuen Tool, das zum Sicherheits-Stack einer Organisation hinzugefügt wird, unseren Sicherheitsabläufen Fett oder Muskeln hinzu? Helfen und befähigen wir den Sicherheitsanalysten, seine Arbeit reibungslos und effizient zu erledigen, oder fügen wir einen weiteren Bildschirm hinzu, den er überwachen muss, in der Hoffnung, ein Signal oder eine Warnung zu empfangen? Fügen wir ein weiteres Integrationsprojekt hinzu, das nicht nur ewig dauern wird und sogar noch länger dauern wird, wenn einige Mitarbeiter gehen, sondern auch den Fokus des Teams von Sicherheitsoperationen auf Integration und Tests verlagern wird?
Angreifer haben gegenüber den Verteidigern mehrere Vorteile: Sie haben die Initiative, sind weitaus agiler, passen sich schneller an und verändern sich schneller. Eine genaue Betrachtung vieler Verstöße ergab jedoch, dass sie immer noch dieselben Tools und Techniken nutzen – Phishing, Passwort-Cracking und Schwachstellen-Scanning. Es ist nicht das „Was“, dass sie geändert haben, sondern das „Wie“.
Das Gleiche muss auf unsere Abwehrmaßnahmen angewendet werden – anstatt ständig zu versuchen, neue Features und Funktionen zu unserer Cyber-Abwehr hinzuzufügen, müssen wir in der Lage sein, die bereits vorhandenen auf eine einfachere (aber nicht vereinfachte), umfassendere und umfassendere Weise zu nutzen überschaubare Art und Weise.
Wir unterstützen Sie nicht mit einer Vielzahl unterschiedlicher Sicherheitssysteme unterschiedlichster Anbieter – Wir unterstützen Sie Sicherheitssysteme zu etablieren die Ihnen genau diese Vereinfachung bringt die Ihnen Transparenz und Entlastung bringt