Zum Inhalt

Trendthemen

Die Reaktionslücke schließen – wie Unternehmen die Auswirkungen eines Cyberangriffs reduzieren können

F-Secure Deutschland

01.07.19 8 Minuten Lesezeit

Die Qualität der Angriffserkennung ist in den letzten Jahren sprunghaft angestiegen und verbessert sich weiter. Aber zwischen der Erkennung eines Angriffs und der entsprechenden Reaktion, um den Angriff einzudämmen und die Schäden zu beheben, vergeht viel Zeit.

Nach einer Studie des Ponemon Instituts dauert es durchschnittlich 69 Tage von der Erkennung eines Angriffs bis zu einer Reaktion (den Angriff nach der ursprünglichen Kompromittierung zu erkennen, dauert durchschnittlich 100 Tage). Die durchschnittlichen Kosten, um eine Sicherheitsverletzung zu beheben, belaufen sich auf über 18.000 Euro pro Tag, und das ohne die damit verbundenen Kosten etwa für Systemausfälle, für die Wiederherstellung verlorener oder kompromittierter Daten und von geschäftskritischen Prozessen, für die Zahlung von Geldbußen sowie vermehrten Kundenanfragen.

Je schneller ein Datenverstoß eingedämmt werden kann, desto geringer sind die Kosten und Auswirkungen auf Ihr Unternehmen

Es gibt eine Reihe von Gründen, warum die Reaktion so lange dauert. Viele Gründe haben mit Struktur eines Unternehmens zu tun, insbesondere mit der Frage, wie viel in die Reaktion investiert wird und wie die damit verbundenen Aufgaben und Verantwortlichkeiten verteilt und mit Ressourcen ausgestattet werden. Wenn wir diese Gründe näher beleuchten, ergibt sich folgendes Bild:

Grund 1: Angriffe werden zwar erkannt, aber nicht angemessen gehandhabt

Einen Angriff zu erkennen, umfasst ein breites Spektrum, sei es bekannte Malware, die eine AV-Warnung auslöst, oder ein Threat Hunter, der untersucht, ob eine legitime Windows-Funktion böswillige Aktivitäten maskiert. Egal, wie verdächtige Aktivitäten erkannt werden, viele Unternehmen haben keine definierten Prozesse, wie verdächtige Aktivitäten gekennzeichnet und gehandhabt werden. Einer unserer Kunden wurde kürzlich Opfer eines verheerenden Angriffs, der dazu führte, dass der gesamte Server korrumpiert wurde; der Virenschutz hatte zwar Warnmeldungen herausgegeben, aber es wurden keine Ressourcen zugewiesen, um diesen nachzugehen.

Grund 2: Angriffe werden erkannt, aber das Unternehmen verfügt nicht über die passende Technologie, um darauf zu reagieren

Es gibt zahlreiche Szenarien bei der Erkennung eines Angriffs. Manchmal werden gerade laufende Angriffe detektiert, aber kommen erst dann ans Tageslicht, wenn das Unternehmen bereits unter den Auswirkungen leidet. Aus Sicht der Reaktion können alle Szenarien mit großen Schwierigkeiten verbunden sein, wenn die erforderliche Technologie nicht vorhanden ist. Zu diesen Technologien zählt ein Agent zur Endpoint Detection, der möglichst viele Assets abdeckt und umfangreiche forensische Daten und eine Vielzahl von Protokollen erfassen kann. Die Konfiguration des Agenten zur Aufbewahrung von Daten und Logfiles kann auch ein wichtiger Faktor bei zurückliegenden Angriffen sein – die Beweise verblassen mit der Zeit. Dazu kommt: IT-Umgebungen wandeln sich ständig, Unternehmen werden akquiriert; all dies erschwert eine vollständige Transparenz, wenn die Reaktion erst Monate oder gar Jahre nach dem Angriff erfolgt.

Grund 3: Angriffe werden erkannt, aber der Mangel an Cyber-Skills verhindert eine angemessene Reaktion

Es erfordert ein hohes Maß an ständig aktualisierten Fähigkeiten, um Angriffe zu erkennen und darauf zu antworten. Die Hälfte aller Unternehmen gibt jedoch an, dass sie unter einem Defizit bei den Kompetenzen im Bereich der Cybersicherheit leiden. Das reicht von den Teams, die für das Patchen und die Systemwartung verantwortlich sind, bis hin zu den Einsatzkräften für Sicherheitsvorfälle, einschließlich der “First Responder”, die die erste Anlaufstelle sind. Diese Ersthelfer sind entscheidend für die Vorbereitung der Antwort. Es sollte eine Reihe relevanter Personen aus dem gesamten Unternehmen geben, die leiten und vertreten können; dies sollte sich nicht nur auf das IT-Team beschränken.

Grund 4: Angriffe werden überhaupt nicht erkannt

Die meisten Unternehmen – von Enterprise bis hin zu KMU – stellen keine ausreichenden Ressourcen für dediziertes Sicherheitspersonal bereit. Das bedeutet letztlich, dass Angriffe mitunter erst dann erkannt werden, wenn die Polizei an die Tür klopft. Dies ist im Normalfall Monate und manchmal Jahre später, nachdem die Angreifer ihre Ziele bereits erreicht haben.

Warum ist eine verzögerte Antwort problematisch?

Es gibt eine Reihe von Gründen, warum die Reaktionslücke angesichts der aktuellen und sich entwickelnden Bedrohungslandschaft nicht tragbar ist.

Beweise – und die daraus gewonnenen Erkenntnisse – verblassen mit der Zeit

Je länger es dauert zu reagieren, desto weniger kann ein Unternehmen wichtige Informationen über den Angriff sammeln, einschließlich der Fragen, wie die Angreifer hereingekommen sind, was sie anvisiert haben und ob sie erfolgreich waren – allesamt entscheidend, um möglicherweise weitreichende Auswirkungen zu minimieren. Forensisches Material und Beweismittel aus Logdateien leiden besonders unter dem Zeitkorridor, was in vielen Fällen darauf zurückzuführen ist, dass die Protokollierungsrichtlinien nicht mit dem Bedrohungsprofil eines Unternehmens übereinstimmen. Der ständige Wandel vieler IT-Unternehmen bedeutet, dass Technologien aktualisiert werden, Mitarbeiter kommen und gehen, andere Unternehmen erworben werden – das trägt alles dazu bei, dass Beweise obsolet oder gelöscht werden.

Die Auswirkungen nehmen im Laufe der Zeit zu

Je länger sich ein Angreifer in Ihren Gefilden befindet, desto mehr Wissen gewinnt er über Ihr Unternehmen und seine Vorgehensweisen, und darüber, was den größten Wert hat. Viele Angreifer – insbesondere staatlich geförderte Gruppen – verweilen jahrelang und erhalten vollen Zugang zu Geschäftspraktiken und langfristigen strategischen Plänen.

Was können Unternehmen tun, um die Reaktionszeit zu verringern?

Für viele Unternehmen erfordert die Verringerung der Reaktionszeit einen vollständigen Reset der Cybersicherheitsstrategie. Der gesunde Menschenverstand führt jedoch zu einer Reihe von Ansätzen, die zu einer besseren Reaktionsbereitschaft aller Unternehmen führen können.

1) Priorisierung der Antwort von oben nach unten.

Eine Umfrage von MWR InfoSecurity ergab, dass nur 12% der Unternehmen die Aufwendungen im Rahmen des Prediction, Prevention, Detection und Response (PPDR) Systems priorisieren, anstatt wie empfohlen in jedem der vier Bereiche gleich viel.

Entscheidungen, um diese Art von Aufwendungen auszugleichen, müssen aus den obersten Etagen des Unternehmens kommen, wobei der Vorstand und das Management des Unternehmens das Sicherheitsprogramm priorisieren und an die weiteren Geschäftsfelder kommunizieren.

Die Erfahrung zeigt jedoch, dass der Vorstand und das Senior Management nicht unbedingt allein zu dieser Art von Verständnis kommen. Der Business Case für die Reaktion ist von großer Bedeutung, aber Sie können und sollten einen erfahrenen Dritten beauftragen, um die Führungsteams zu unterstützen, die Hilfe benötigen, um zu verstehen, wo und warum mehr Aufwendungen notwendig sind.

2) Werfen Sie einen Blick darauf, was Sie bereits haben

Eine gute Reaktion ist zum Teil auf die Fähigkeit zurückzuführen, notwendige Beweismittel im Ereignisfall abzufragen und die richtigen Werkzeuge einzusetzen, um das Team und seine Aktionen zu beschleunigen. Oftmals sind die Werkzeuge, die für einen Großteil der Reaktionsaktivitäten benötigt werden, bereits in Ihrem Unternehmen vorhanden – wenn Sie etwa bereits über einen Endpoint-Agenten verfügen, lässt sich die Reaktionsbereitschaft verbessern, wenn Sie verstehen und sicherstellen, dass die richtigen Elemente aktiviert sind.

3) Implementieren Sie eine Basisbereitschaft über Menschen, Prozesse und Technologien hinweg

Wenn wir drei grundlegende Reaktionsmaßnahmen für Personen, Prozesse und Technologien empfehlen sollten, wären es:

Personen – wer macht was?

Wie bereits erwähnt, sollten Ihre “Ersthelfer” mehr als nur das Technik-Team sein und im gesamten Unternehmen eingesetzt werden. Es ist von entscheidender Bedeutung, dass es – wenn ein Vorfall eintritt – einen (oder mehrere) Verantwortlichen und Stellvertreter gibt, wobei zu berücksichtigen ist, dass Angriffe oft zu den ungünstigsten Zeiten und im Urlaub stattfinden. Es sollte auch bedacht werden, dass die Ersthelfer sich mit Ihren Cybersicherheitsrichtlinien auskennen sollten – zum Beispiel, wenn der Verdacht besteht, dass eine Maschine oder ein Server kompromittiert ist, dann sollte es sich um eine unternehmensweite Richtlinie handeln, dass diese Maschine nicht ausgeschaltet wird, da sonst Beweise verloren gehen könnten.

Bonus: Überlegen Sie, wie Sie während eines aktiven Vorfalls kommunizieren werden. Nicht selten beeinträchtigen die heutigen Cyberangriffe die Kommunikationsinfrastruktur eines Unternehmens. Der Angreifer kann live dabei sein und die gesamte Kommunikation sehen, so dass eine vorher festgelegte Alternative für eine erfolgreiche Behebung entscheidend ist.

Prozesse – entwickeln Sie ein Handbuch

Ein Strategie-Handbuch bringt jeden – buchstäblich – auf die gleiche Seite. In unserem Whitepaper „Rethinking Response“ legen wir ein Musterhandbuch bei, das als Ausgangspunkt für Sie und Ihre Teams dienen kann. Der Hauptvorteil eines solchen Handbuchs besteht darin, so viele Szenarien wie möglich zu durchdenken, und zu überlegen was zu tun ist, wenn ein Angriff vermutet wird – wie und wann die höheren Hierarchie-Ebenen dazu gezogen werden, an welchem Punkt sich ein Vorfall bestätigt, wer dann beteiligt werden muss und wie Sie kommunizieren werden.

Bonus: Wenn Sie bereits ein Handbuch haben, holen Sie es wieder hervor, prüfen Sie es erneut und stellen Sie sicher, dass es noch zweckmäßig ist.

Technologie – Transparenz, Kontrolle und Flexibilität

In unserem Whitepaper „Rethinking Response“ bieten wir einen Rahmen, um interne Diskussionen rund um Ihr Bedrohungsprofil anzuleiten. Sobald Ihr Unternehmen bezüglich der Risiken, denen Sie ausgesetzt sind, übereingekommen ist, müssen diese Erkenntnisse zur Implementierung der geeigneten Technologie zur Reaktion auf die Bedrohungen führen. Die zentralen Aspekte einer effektiven Reaktion sind:

  • Eine hundertprozentige Absicherung ist schwierig, aber Unternehmen sollten sich diesem Prozentsatz so weit wie möglich annähern.
  • Sie müssen über die richtigen Daten verfügen und in der Lage sein, diese so schnell wie möglich zu analysieren und zu bearbeiten. Viele Werkzeuge werden das Abrufen von Artefakten über die Verarbeitung stellen, was zu einer zusätzlichen Vorlaufzeit führen kann, während Sie versuchen herauszufinden, was vor sich geht.
  • Die allermeisten Werkzeuge sollten Aktionen ermöglichen, die den Angreifer verlangsamen oder frustrieren, ohne ihn auf Ihre Anwesenheit aufmerksam zu machen.

Bonus: Identifizieren Sie basierend auf Ihrer Risikobereitschaft und Ihrem Bedrohungsprofil eine angemessene Anzahl von Protokollen in Ihren Anlagen, damit forensische Ermittler die richtigen Informationen finden können. DNS-Protokolle sind zum Beispiel unerlässlich, da viele Malware-Familien noch immer auf DNS angewiesen sind, um ihre anfängliche Kommunikation einzurichten. Wenn Sie nicht in der Lage sind, DNS-Abfragen von Gateway-Protokollen bis zum ersten Host zurückzuverfolgen, können sich die Reaktionsaktivitäten verzögern.

Wo sollten Sie anfangen?

Es gibt viele Beispiele für Unternehmen, die unter den langfristigen Auswirkungen eines Cyberangriffs leiden. Ohne Angst machen zu wollen bei der Diskussion mit den Vorständen über Cybersicherheit und Reaktionsbereitschaft, sollten sie verstehen, wie einige gezielte Investitionen nicht nur in Bezug auf Geld, sondern auch in Bezug auf Zeit, Aufwand und Mitarbeiter helfen können. Die Reaktionsgeschwindigkeit innerhalb eines engen Zeitfensters kann die Art und Weise, wie sich ein Unternehmen von Angriffen erholt, dramatisch verändern.

Wenn Sie nicht über die erforderlichen Informationen verfügen, greifen Sie auf Mitarbeiter zurück, die Sie angemessen vertreten können, und bringen Sie Ihre Vorgesetzen auf den neuesten Stand. Dann beauftragen Sie einen Dritten, der Ihnen helfen kann, die richtigen Kennzahlen zu ermitteln. Die Sensibilisierung und das Handeln Ihres Unternehmens könnte den Unterschied machen, ob Sie den Cyberangriff kontrollieren oder der Cyberangriff Sie.

F-Secure Deutschland

01.07.19 8 Minuten Lesezeit

Kategorien

 

 

Zugehörige Beiträge

Newsletter modal

Vielen Dank für Ihr Interesse am F-Secure Newsletter. Sie erhalten in Kürze eine E-Mail zur Bestätigung des Abonnements. Falls Sie keine Nachricht bekommen haben sollten, überprüfen Sie bitte auch Ihren Spam/Junk Ordner.

Gated Content modal

Klicken Sie jetzt bitte auf die Schaltfläche unten um auf das angeforderte Dokument zuzugreifen – Vielen Dank für Ihr Interesse.