EDR: Kommissar Threat Hunter

EDR: Kommissar Threat Hunter
Anzeige

Beitrag teilen

Menschen sind noch immer der wichtigste Faktor zur Prävention und Abwehr von Cyber-Attacken. Keine Cyber-Security kann jeden Angriff abwehren und jede Lücke schließen. Dabei setzen viele Organisationen auf immer ausgefeiltere Abwehrtechnologien.

Doch wie so häufig sind die Angreifer der IT-Sicherheit einen Schritt voraus – denn sie kennen die Abwehrtools selbst in- und auswendig und kennen somit jedes auch noch so kleine Schlupfloch. Technologie allein genügt also nicht. Umso wichtiger ist es, dass sich Unternehmen mit Hilfe von Experten proaktiv aufstellen, Risiken im Vorfeld erkennen und im Notfall Schäden so schnell wie möglich minimieren. Angesichts immer komplexerer Hackermethoden genügt Technologie dabei nicht. Solange es menschliche Hacker gibt, müssen ihnen menschliche Verteidiger gegenüberstehen. Die folgenden vier Thesen zeigen, worauf es bei intelligenter IT-Security ankommt und welche Rolle der Faktor Mensch spielt.

Anzeige

1. Zuerst analysieren, dann einkaufen

Die meisten IT-Sicherheitsteams beschäftigen sich mit Abwehrtechnologien und Werkzeugen, bevor sie wissen, was diese überhaupt leisten sollen. Das ist ein falscher Ansatz, denn es gibt kein Patentrezept für Cyber-Sicherheit. Jedes Unternehmen hat seine eigenen Risiken, Lücken und Angreifer- abhängig von der Branche, den Geschäftsprozessen, den eingesetzten Technologien und der Art der zu schützenden Daten. Wer IT-Sicherheit erwirbt, ohne seine spezifischen Risiken zu kennen, muss meistens später Software dazukaufen. Dadurch gestaltet sich die Abwehr immer komplexer.

Der umgekehrte Weg ist der bessere. Zunächst kommt es darauf an, den eigenen Status intelligent zu analysieren und dann das eigene Risikoprofil zu erstellen. Ein Unternehmen, welches zum Beispiel weiß, dass es Ziel für Spear-Phishing der APT-40-Gruppe ist, sollte fortschrittliche Authentifikations-Tools einsetzen und Anomalien erkennen können. Diese Werkzeuge können dann nicht nur den Identitätsdiebstahl verhindern. Unternehmen erfahren auch, wenn Angreifer kompromittierte Zugangsdaten verwenden.

Anzeige
WatchGuard_Banner_0922

Aufgrund einer intelligenten Bestandsaufnahme sind IT-Sicherheitsteams in der Lage, die Funktionalitäten der Abwehr aufeinander abzustimmen, um Risiken zu verringern. Die Reihenfolge dafür ist folgende:

  • Intelligente Analyse;
  • Identifikation der Risiken;
  • Herunterbrechen von notwendigen Abwehrfunktionen in technische Anforderungen; sowie
  • Testen einer Technologie-Plattform unter diesen Vorgaben.

2. Proaktive und praktische Intelligenz

Daniel Clayton, VP of Global Support and Services bei Bitdefender

Daniel Clayton, VP of Global Support and Services bei Bitdefender

Chief Information Security Office (CISOs) können nicht mehr nur reagieren, sondern müssen im Vorfeld aktiv sein. Die meisten Entscheider kennen die hierbei entscheidende Rolle einer intelligenten Bedrohungsanalyse. Diese sollte aber operativ umsetzbare Erkenntnisse liefern, um Unternehmen im Wettkampf mit den Angreifern zu helfen.

Eine solche anwendbare Intelligenz liefert Unternehmen folgende Informationen.

  1. Rechtzeitige Informationen: Dann können die Verantwortlichen reagieren, bevor eine externe Aktion die Abläufe im Unternehmen behindert.
  2. Relevante Informationen: Sie betreffen solche Ereignisse, die Abläufe in Unternehmen behindern können. Ein Beispiel sind Hinweise zu branchenspezifischen Attacken, welche eine bestimmte technologische Plattform angreifen, die beim Kunden implementiert ist. In diesem Fall sind Gegenmaßnahmen notwendig und sollen praktisch umsetzbar sein.

Diese Intelligenz wirkt sowohl kurzfristig als auch auf lange Sicht

  1. Sie unterstützt die Cyber-Security von Unternehmen taktisch und operativ mit rechtzeitigen und umsetzbaren Informationen. Indexwerte drücken aus, wie stark Systeme kompromittiert sind und wo Angriffe unmittelbar bevorstehen.
  2. Sie unterstützt operativ mit Prognosen sowie mit Informationen zu Hackern und zu den möglichen Risiken der Zukunft.

Eine proaktive Abwehr bereitet Unternehmen auf aktuelle und zukünftige Ereignisse vor. Diese verteidigen zu können, verlangt Experten, geeignete Prozesse und Technologien. Das lässt sich nicht auf die Schnelle aufbauen. Eine gute Defensive wächst kontinuierlich und agiert langfristig. Sie versteht daher, wie sich die Gefahrenlage verändert und baut die notwendigen Fähigkeiten auf, um Effekte zu minimieren.

3. Denken wie ein Angreifer – Threat Hunting

Es gibt mehr als genug Belege, dass Sicherheitsplattformen viele Attacken abwehren, aber niemals alles verhindern können. Die Angreifer kennen die Abwehr-Tools genauso gut wie die IT-Security selbst. Hacker machen aus Social Engineering und Phishing fast schon eine Kunstform, um Zugangsdaten zu stehlen und Zugriff zu Systemen zu erlangen.

Umso wichtiger ist es daher, das menschliche Analysten Ausschau halten. Der Mensch ist und bleibt daher unersetzbar. Die aktuellen Aufgaben definieren aber ein besonderes Anforderungsprofil für die Defensivakteure und für ihr Threat-Hunting:

  • Analysten müssen wie die Angreifer denken.
  • Sie wissen dank ihrer Erfahrung und Intuition, wo sie nach ihren Aktionen suchen und wonach sie Ausschau halten.
  • Sie können in Echtzeit durchspielen, was der Angreifer als nächstes tun wird, und wie man das verhindern kann.
  • Trainierte und erfahrene Analysten nutzen dabei die Informationen der Telemetrie und sind immer auf dem neuesten Stand.
  • Sie denken und handeln eher wie ein Geheimagent, der sich in den Gegner hineinversetzt. Und nicht wie ein Sicherheitstechniker.

4. Menschen statt Automatismen

Viele Organisationen verfügen entweder nicht über die Technologie oder über Fachkräfte, um in ihrer IT ein solches Threat Hunting durchzuführen, proaktiv Eindringlinge abzuwehren und Vorkommnisse zu verhindern. Sie wenden sich daher an die Cyber-Security-Anbieter. Das ist ein richtiger Schritt. Einen Mehrwert schaffen aber nur Dienste, hinter denen Menschen stehen. Ein Threat Hunting kann nicht automatisiert stattfinden.

Denn bei einer tiefgehenden Analyse kommt es gerade auf den erfahrenen Menschen und seine Intuition an, und nicht nur auf die Technologie. Dabei geht es nicht um automatische Abläufe. Es kommt darauf an, bewusst proaktiv nach Gefahren zu suchen, gezielt hinzusehen, die nächsten Schritte überlegt zu entscheiden. Professionelle Teams in einem Security Operations Center können das bieten. Managed Detection and Response (MDR) bringt den Faktor Mensch ins Spiel, um gegen kunden- und industriespezifische komplexe Angriffe zu schützen.

 

Mehr dazu bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen