Protection ist tot, lang lebe Detection

Kaum eine Woche vergeht, ohne dass man in den Medien von erfolgreichen Hacker-Angriffen bei irgendwelchen Unternehmen lesen kann. Diese Woche konnte man von einem Zwischenfall beim Rheinmetall Konzern lesen. Mehrere Werke sind von Malware befallen und können nicht mehr produzieren. Der Schaden geht in die Millionen. Die Dunkelziffer solcher Fälle dürfte noch viel höher liegen. Vor allem im Bereich der Industriespionage werden erfolgreiche Angriffe lieber unter den Tisch gekehrt oder noch schlimmer, sie werden gar nicht erst bemerkt. All diese Unternehmen, oder zumindest der grösste Teil davon, hatten vermutlich sehr viel Geld in ihre IT-Sicherheit investiert. Trotzdem sind sie erfolgreich kompromittiert worden.


Protection ist tot

Die Überschrift ist natürlich Schwachsinn. Protection ist und bleibt ein integraler und wichtiger Bestandteil jeder IT-Sicherheits Strategie. Nur leider haben viele Unternehmen einen zu starken Fokus auf Protection und kümmern sich nicht um die Detektierung von Angriffen. Heutzutage muss leider davon ausgegangen werden, dass jedes Netzwerk früher oder später kompromittiert wird. Je mehr Geld in Prevention investiert wird, umso schwieriger wird es für die Angreifer. Nur schon deswegen sollte ein vernünftiges Mass an Prevention betrieben werden, damit zumindest die grosse Masse der bösen Buben draussen bleibt.

Nichtsdestotrotz wird es die Meisten irgendwann erwischen. Mit etwas Glück fängt man sich nur eine Ransomware ein, welche einige Systeme verschlüsselt. Dank der funktionierenden Backup-Strategie, ist man nach einigen Stunden oder Tagen wieder funktionsfähig. Weniger Glück hat man, wenn ein erfahrener Angreifer sich zuerst einige Wochen oder Monate Zeit nimmt, die Backups kontaminiert oder zerstört und anschliessend so viele Systeme wie möglich verschlüsselt. Noch mühsamer wird es, wenn man von Industriespionage betroffen ist. Die Angreifer sitzen oftmals mehrere Monate oder Jahre in ihrem Netzwerk und kopieren unbemerkt die wichtigsten Firmengeheimnisse.

Leider können auch die besten Protection-Lösungen nicht alle Angriffe stoppen. Zudem wird Protection leider allzu oft nur am Perimeter eingesetzt. Nach der initialen Kompromittierung eines Systems im Netzwerk, hat der Angreifer leichtes Spiel. Durchgängig Protection und vor allem eine saubere Netzwerk-Segementierung können Schlimmeres verhindern.


Lang lebe Detection

Wie verschiedene Studien aufzeigen, dauert es auch heute noch durchschnittlich zwischen 100 – 200 Tage bis ein Angreifer im Netz überhaupt entdeckt wird. Dazu kommen dann nochmals 50 – 100 Tage um die Angreifer nachhaltig wieder aus dem Netz zu werfen. Die Werte sinken zwar von Jahr zu Jahr, die Zahlen sind aber trotzdem noch erschreckend hoch. Stellen Sie sich vor, was ein Angreifer in 100 Tagen in Ihrem Netzwerk alles tun kann. Über ein Team von mehreren Angreifern denken wir lieber gar nicht nach, dies ist heute aber genau die Realität.

Aus meiner Sicht ist es aktuell das Wichtigste, dass man die Fähigkeiten der Detection massiv ausbaut. Anstatt zusätzliche Prevention sollten viele Unternehmen lieber in Detection investieren. Wenn man es schafft, die Zeit bis zur Erkennung massiv zu verkürzen, minimiert man gleichzeitig auch den Schaden, welcher entsteht. Auch die Bereinigung des Angriffs wird einfacher und damit günstiger.

Die Möglichkeiten zur Detection sind dabei vielfältig. Einerseits gibt es sogenannte Detection-&-Response-Lösungen. Netzwerkseitig zum Beispiel die Vectra-Cognito-Plattform welche Angriffsmuster im Netzwerk aufdeckt und dabei fast keine False-Positives generiert. Nicht zu vernachlässigen in dem Bereich ist der Endpoint selber. Endpoint-Detection-and-Response-(EDR)-Lösungen wie z.B. Crowdstrike Falcon überwachen die Endpoints permanent und erkennen Angriffe oder unübliches Verhalten. Die Daten, welche dabei gesammelt werden, sind zudem extrem wertvoll in der Analyse oder manuellen Erkennung von Angriffen. Auf der anderen Seite sollte in das Know-How der Mitarbeitenden investiert werden. Nur wer weiss wie Angreifer handeln und denken, kann diese auch zuverlässig erkennen. Optimalerweise sollten Threat-Hunting-Prozesse oder -Teams implementiert werden, welche kontinuierlich nach Angreifern im Netzwerk suchen.


Der Beitrag Protection ist tot, lang lebe Detection erschien zuerst auf Tec-Bite.