CYBERSICHERHEIT, CYBERRISIKEN UND BEDROHUNGEN
Im Jahr 2021 wollten 95% der Unternehmensleitungen das Thema der Cybersicherheit auf die Agenda setzen – für 2017 hatten das erst 25 % vor! (McKinsey)
VIELFÄLTIGE HERAUSFORDERUNGEN
FÜR UNTERNEHMEN
Je nach Ihrer Rolle im Unternehmen werden Sie das Thema Cybersicherheit auf unterschiedliche Weise wahrnehmen und angehen.
Wie können Sie die Risiken, die auf Unternehmensebene ermittelt werden, in Cyberrisiken und dann in operative Lösungen übersetzen und vor allem auch umsetzen? Gatewatcher hilft Ihnen, hier Klarheit zu gewinnen.
Cyberrisiko ermitteln
Geschäftliche Herausforderungen und Cyberrisiken gegeneinander abwägen
Geeignete Cyber-Sicherheitslösungen praktisch umsetzen
CYBERRISIKO ERMITTELN
Cyberrisiken, die in Vorstandssitzungen Thema sind:
Datendiebstahl zum Zweck der Spionage oder Erpressung ist ein Angriff auf die unternehmerische Freiheit. Dabei kann es um persönliche Daten von Kunden oder Mitarbeitern gehen, um Patente, Betriebsgeheimnisse, sensible Daten, geistiges Eigentum etc.
Wenn die gestohlenen Daten dann im Dark Web veröffentlicht oder verkauft werden, sind die Folgen gravierend, sowohl für den Ruf als auch die Finanzen des betroffenen Unternehmens.
Für jedes Unternehmen ist es ein enormes Problem, wenn eine Produktionsanlage, eine Prozesskette mit Geschäftspartnern oder die E-Commerce-Website brachliegt oder blockiert wird.
Jede Unterbrechung oder Behinderung der Betriebsabläufe kann dazu führen, dass Kundenaufträge nicht planmäßig ausgeführt werden können. Dennoch sind schon viele E-Commerce-Websites vom Netz gegangen, weil Cyberangriffe nicht rechtzeitig abgewehrt wurden. Das Risiko ist also real!
Das Prinzip der Security Governance steht auf dem Spiel. Die Unternehmensrichtlinien müssen verwaltet und geeignete Prozesse und Tools bereitgestellt werden. Und ebenso wichtig ist die Umsetzung. Wie lässt sich beispielsweise die Schatten-IT in den Griff bekommen?
Es ist heute keine Seltenheit, dass Unternehmensabteilungen zwar zahlreiche Cloud-/SaaS-Tools zur Verfügung haben, aber trotzdem die Sicherheitsrichtlinien nicht erfüllen, die die IT zum Schutz des Unternehmens aufgestellt hat.
Leider können Cyberrisiken auch im Inneren lauern. Trotz aller Bemühungen von Unternehmen, interne Sicherheitsrichtlinien, Profile, Zugriffsrechte und Freigaben zu definieren, bleibt dieses Risiko allgegenwärtig.
Neben der Frage, wer wann und von wo aus worauf zugreifen kann, geht es auch darum festzustellen, ob ungewöhnliches Verhalten tatsächlich eine Bedrohung darstellt oder nicht.
In den meisten Ländern verpflichten Gesetze und Vorschriften Unternehmen, zumindest in bestimmten Branchen und in bestimmten Bereichen die als sensibel gelten, zertifizierte Lösungen einzusetzen.
Ein gutes Beispiel dafür ist das Militärplanungsgesetz in Frankreich.
GESCHÄFTLICHE HERAUSFORDERUNGEN UND CYBERRISIKEN GEGENEINANDER ABWÄGEN
Wie können CIOs und CISOs diese Herausforderungen der Unternehmenssicherheit mit den Weiterentwicklungen der Infrastruktur in Einklang bringen, die für die Einführung neuer Dienste erforderlich sind? Nachfolgend einige Denkanstöße.
Laut einer Umfrage von IDC glauben 8 von 10 Unternehmen, zunehmenden Risiken durch gezielte Angriffe ausgesetzt zu sein. Die Erkennung von APT-Angriffen bleibt jedoch ein schwieriges Thema. Viele Tools zur Erkennung komplexer Angriffe sind machtlos gegen verschlüsselte Binärdateien, obwohl heute meist gerade diese eingesetzt werden, um eine Entdeckung zu verhindern.
Die Indikatoren für Bedrohungen und Angriffe werden immer zahlreicher und ausgefeilter. Die Ursprünge von Bedrohungen sind vielfältig und wurden von anderen Unternehmen vielleicht sogar schon erkannt … und trotzdem merken Sie nicht, wenn Sie mit diesen Bedrohungen konfrontiert werden! Vor diesem Hintergrund sind Threat-Intelligence-Tools heute eine unverzichtbare Ergänzung, um Angriffe erfolgreich und vor allem rechtzeitig zu erkennen.
Laut IDC wird die Automatisierung in 7 von 10 Unternehmen zum Erfolg des IT-Sicherheitsmanagements beitragen. KI-gestützte Automatisierung bietet eine vielversprechende Möglichkeit, um Alarme zu optimieren und eine erste Schicht von Informationen zu den komplexesten Bedrohungen zu vermitteln. Das Ziel dabei: Konzentration auf das Wesentliche und bessere Entscheidungsfindung.
Wie Sie diese Frage beantworten, hängt natürlich auch vom verfügbaren Budget ab, das Grenzen setzen kann. Wenn Sie spezialisierte Tools kombinieren, werden die Risiken breiter abgedeckt. Allerdings müssen Sie dann die richtigen Bedingungen schaffen: zum Beispiel, indem die Lösungen in die umfassendere Umgebung eines SIEM-Systems integriert werden, damit Alarme zentral verwaltet werden können, oder indem sie bei der Problembehebung über ein SOAR-Produkt zusammenarbeiten.
Cyberbedrohungen, ob sie nun von innen oder außen kommen, machen sich immer eine Schwachstelle in einer bestehenden technischen Architektur oder der installierten Software selbst zunutze. In den meisten Fällen nutzen diese Bedrohungen Ihr IT-Netzwerk, um sich zu verbreiten. Deshalb ist es wichtig, dass die Sicherheitselemente möglichst weit vorgelagert sind, um die Folgen einer Ausbreitung zu vermeiden. Erkennungslösungen müssen daher auch auf der Netzwerkebene platziert werden und nicht nur auf der Ebene der einzelnen Benutzer-Workstations, da es hier oft schon zu spät ist.
SICHERHEITSLÖSUNGEN PRAKTISCH UMSETZEN
Seien Sie den Cyberbedrohungen einen Schritt voraus: Gatewatcher unterstützt die Sicherheitsteams und SOCs bei der operativen Umsetzung von Lösungen für Sicherheitsprobleme. Nachfolgend finden Sie fünf konkrete Beispiele für Lösungen und deren Vorteile.
Wie arbeitet Ransomware?
Bei einem Ransomware-Angriff wird das Opfer dazu gebracht, eine Software auszuführen, die Daten verschlüsselt und dann ein Lösegeld fordert. Ransomware ist leicht zu erkennen, wenn sie bereits in Aktion ist. Weitaus schwieriger ist es jedoch, sie im Vorfeld zu entdecken, da ihre verschiedenen Komponenten häufig getarnt sind, um den vorhandenen Abwehrmaßnahmen zu entgehen.
Aktivitäten erkennen, durch die sich Ransomware verrät
Ein wirksames Abwehrsystem muss zahlreiche Eintrittspunkte (Mailserver usw.) gleichzeitig überwachen und die Aktivitäten erkennen, mit denen die Angreifer die Schadsoftware herunterladen, die dann die Daten des Opfers verschlüsselt. Neben der Software selbst sind diese Aktivitäten sowie die Versuche der Software, nach außen zu kommunizieren, allesamt Elemente, die die Anwesenheit von Ransomware verraten, bevor die kritische Phase beginnt.
Unsere Antwort: Die Anzeichen erkennen, um rechtzeitig handeln zu können
Unsere Lösungen erkennen die typischen Merkmale von Ransomware-Angriffen: Abrufen des Schlüssels von einem C&C-Server, verdächtige SMB-Aktivitäten oder bösartige E-Mail-Anhänge. So können Sie schnellstmöglich reagieren, sowohl im Hinblick auf die drohende Ausnutzung als auch die Malware-Kompromittierung.
Die wichtigsten Merkmale:
Erkennen verdeckter Bewegungen in den IT-Systemen und verschleierter Ausnutzungstechniken
Erkennen von Ransomware, bevor sie ausgeführt wird
Verhindert den Verlust der Kontrolle über Ihr System sowie finanzielle oder Reputationsschäden
Mehr erfahren:
Produkte: Aioniq
Ist ein deterministischer Erkennungsansatz der bessere?
Ein effektiver Ansatz zur Erkennung von Cyberbedrohungen im Netzwerk besteht darin, den Sicherheitsteams maximalen Einblick in laufende verdächtige Aktivitäten und Anomalien zu vermitteln und zugleich die zeitraubende Bereinigung von Fehlalarmen zu minimieren, die notwendig wird, wenn Tools die Bedrohungen nicht qualifizieren oder zu holistisch arbeiten.
Mangelnde Sichtbarkeit verhindert oft, dass IT-Sicherheitsrichtlinien eingehalten werden (können)
Wenn Unternehmen Sicherheitsrichtlinien aufstellen und deren Einhaltung überwachen sollen, stehen sie immer wieder vor dem gleichen Problem: Es fehlt an Übersicht über die IT-Assets und das Netzwerk im Allgemeinen.
Diese mangelnde Sichtbarkeit macht eine genaue Risikoeinschätzung unmöglich und führt häufig dazu, dass das verwendete Erkennungssystems nicht gut an die IT-Umgebung angepasst ist, die überwacht werden soll. Die unweigerliche Folge ist eine Flut unpräziser Alarme, und auf längere Sicht wird das System dann auch kaum mehr genutzt.
Unsere Antwort: Verstöße gegen die Sicherheitsrichtlinien zuverlässig aufdecken
Die Lösungen von Gatewatcher inventarisieren Ihren gesamten Netzwerkverkehr. Anhand der gewonnenen Informationen kann Ihr IT-Sicherheitsteam bestimmen, welche Ereignisse gefährlich sind, und entsprechende Sicherheitsrichtlinien definieren. Dann können die aus dem Netzwerk-Mapping abgeleiteten Regeln unverzüglich umgesetzt werden.
Points clés :
Umfassende und zuverlässige Überwachung Ihres Netzwerkverkehrs
Jeder Versuch, Ihre Sicherheitsrichtlinien zu verletzen, wird sofort durch einen Alarm eskaliert
Mehr erfahren:
Produkte: Aioniq
Was fordert das Militärplanungsgesetz von den Betreibern kritischer Infrastrukturen?
Das französische Militärplanungsgesetz (Loi de Programmation Militaire, LPM) verpflichtet öffentliche und private Einrichtungen, deren Tätigkeit für die Nation von wesentlicher Bedeutung ist, die Sicherheit bestimmter Informationssysteme zu verstärken, die auch als kritische Informationssysteme (système d’information d’importance vitale, SIIV) bezeichnet werden.
Dazu gehört insbesondere auch die Implementierung von Erkennungsmechanismen. Hintergrund dieser Verpflichtung ist das Bestreben, in Frankreich einen starken Cyberabwehrsektor zu schaffen und die Widerstandsfähigkeit der Informationssysteme von KRITIS-Betreibern zu erhöhen.
Von der ANSSI qualifizierten Sensor für Netzwerkerkennung
Die Network Detection und Response Lösung von Gatewatcher, ist ein qualifizierter Sensor für Netzwerkerkennung, welcher in der Lage ist, die Netzwerkaktivitäten in Echtzeit zu analysieren, um Eindringversuche zu erkennen.
Die ANSSI hat eine Reihe von Labortests an Geräten durchgeführt, die von Security-Softwareherstellern eingereicht wurden. Diejenigen Geräte, die die Anforderungen an die Resilienz der Software und Hardware erfüllten, erhielten die Qualifikation.
Unsere Antwort: Langfristige Compliance ohne Leistungseinbußen
Die NDR Plattform Trackwatch® hat die Basisqualifikation der ANSSI erhalten, da die Anforderungen an die Software- und Hardware-Härtung bereits in ihrem Design umgesetzt sind. Somit ermöglicht es die Plattform, die Bestimmungen des Militärplanungsgesetzes einzuhalten.
Trackwatch® bietet marktweit einzigartige Integrationsmöglichkeiten mit nativer RxTx-Aggregation, hoher Skalierbarkeit und einfacher Implementierung in eine PDIS (Security Incident Detection Service Provider)-artige Architektur.
Die wichtigsten Merkmale:
Einfache und zuverlässige Einhaltung der LPM-Anforderungen zur Bedrohungserkennung
Langfristig qualifizierte Produkte
Was ist Shellcode?
Shellcode ist ein kleiner, ausführbarer Binärcode, der für Angriffe eingesetzt werden kann. Dazu wird eine Sicherheitslücke ausgenutzt – meist eine Buffer-Overflow-Schwachstelle –, über die der Code in den Speicher des betroffenen Rechners eingeschleust wird.
Dann werden der Code und die vom Angreifer gewünschten Befehle ausgeführt. Das Ergebnis hängt vom Ziel des Angreifers ab und kann beispielsweise in der Übernahme einer Kommandozeile bestehen.
Welche Gefahren gehen von Shellcodes und ihren neuesten Weiterentwicklungen aus?
Shellcodes sind oft der gemeinsame Nenner bei sogenannten Zero-Day-Angriffen, also Cyberangriffen, die eine noch unbekannte Sicherheitslücke ausnutzen. Solche Angriffe sind erst einmal nicht zu entdecken, weil sie nicht vorhersehbar sind.
Die wirksamste Bekämpfung besteht deshalb darin, die ursprüngliche Nutzlast zu beobachten, die zur Ausnutzung der Schwachstelle verwendet wurde.
Unsere Antwort: Schutz vor codierten und polymorphen Shellcodes
Unsere marktweit einzigartigen Lösungen sind in der Lage, Shellcodes aufzuspüren, die codiert wurden, die Codierung zu emulieren und so zu übersetzen, dass sie für einen Analytiker verständlich wird. Unsere Anti-Shellcode-Engine unterstützt alle wichtigen Codierungen, die auf Plattformen wie Metasploit verfügbar sind, sowie polymorphe Generatoren.
Die wichtigsten Merkmale:
Erkennung aller Arten von Shellcodes, insbesondere derjenigen, die am schwersten zu entdecken sind: codierte, polymorphe, speziell angepasste ...
Sehr niedrige False-Positive-Rate beim Codebreaker-Modul
Hilft bei der Bekämpfung von Zero-Day-Angriffen
Mehr erfahren:
Produkte: Aioniq
Warum Threat Intelligence eine wertvolle Ergänzung Ihrer Sicherheitslösungen ist
Wenn es um völlig neue oder gerade aufkommende Bedrohungen geht, sind Cybersecurity-Lösungen niemals unfehlbar. Eine externe Threat-Intelligence-Quelle liefert neue Daten, die nicht vom Lösungsanbieter selbst stammen und die Lösung im Hinblick auf Datenart, Quelle und Kontext ergänzen.
Externe Threat Intelligence kann auch Informationen zu den neuesten Bedrohungen für eine bestimmte Branche liefern.
Optimieren Sie Ihre vorhandenen Sicherheitslösungen mit einem Machine Readible Threat Intelligence Feed (MRTI)
Ein Threat Intelligence Feed, auch als MRTI bezeichnet, liefert Informationen über Bedrohungen, die Ihre Erkennungslösungen (Sicherheitssensoren, SIEM etc.) direkt verarbeiten können. Diese sogenannte „technische“ Threat Intelligence verbessert die Kenntnis der Bedrohungslandschaft, verringert das Datenrauschen und hilft Ihnen dadurch, auf einfache Weise die Effizienz Ihrer Lösungen zu steigern.
Zudem können Sie das Threat Hunting automatisieren, um die Zeit für die Erkennung von Vorfällen zu verkürzen.
Threat Intelligence verbessert die Kontextualisierung von Informationen und reduziert Fehlalarme, ohne dass Ihre bestehenden Prozesse verändert werden.
Unsere Antwort: Eine Lösung, die Sie nicht einschränkt
Mit unserem LastInfoSec Threat Intelligence Feed können Sie die Effizienz Ihrer Erkennungslösungen steigern, ohne Einschränkungen hinnehmen oder Prozesse ändern zu müssen. Der Feed wird in einem hoch standardisierten Format (StixV2) angeboten und direkt in Ihre Geräte eingespeist.
Der Nutzen ist unmittelbar, und dank ihrer Reaktionsfähigkeit nimmt unsere Threat Intelligence Lösung eine Spitzenstellung auf dem Markt ein. Setzen Sie Alarme mit neuen, externen Informationen in Kontext, verbessern Sie die Erkennungsleistung durch brandneue IOCs …
Die wichtigsten Merkmale:
Einfache Integration ohne Änderung Ihrer Prozesse
Vollständig qualifizierter und validierter Datenstrom reduziert Fehlalarme
Angereicherte Alarme erhöhen die Reaktionsfähigkeit Ihrer Teams
Exportierbares Format, das Cybersecurity-Lösungen nutzen können, ohne dass manuelle Eingriffe notwendig sind
Die Kontextualisierung der Informationen erleichtert den SOC-Teams die Arbeit
Mehr erfahren:
Produkte: Lastinfosec