Bedrohungslage und Business-Dynamik in Einklang bringen

Fokus auf Prävention oder Detektion? Segmentierung oder lieber SOC? Und was ist mit der Response und den Notfallplänen? Bei der Aufteilung natürlich begrenzter Sicherheits- und Resilienz-Budgets neigen manche Unternehmen dazu, einzelne große Bereiche vorzuziehen und andere herabzustufen. Das wird der Bedrohungslage und der eigenen Business-Dynamik selten gerecht.

Häufig ist es sinnvoller, in allen Bereichen zumindest einen Grundstock aufzubauen und dann mit geschickter Priorisierung Akzente zu setzen.

Anzeige

Sicherheitsmanagement ist ein schwieriges, vielschichtiges Gebiet geworden. Kaum ein Entscheidungsträger in einer modernen Organisation kann noch alle Fachgebiete überblicken, in denen er sich für eine fundierte Strategieauswahl eigentlich auskennen müsste: IT, OT, (I)Iot, Cloud, Social Media und so weiter. Das macht Budget-Diskussionen in Sachen Security zunehmend zu einer heiklen und langwierigen Angelegenheit.

Der Weg des geringsten Widerstands  

Als Ergebnis stoßen vor allem Auditoren zuweilen auf Situationen, die auf den ersten Blick nicht nachvollziehbar sind. Dazu ein Beispiel aus der Praxis. Ein renommierter Mittelständler des produzierenden Gewerbes in der ländlichen Region, leistet sich ein teures, aber nicht maßgeschneidertes Security Operations Center in der Cloud. Demgegenüber wird die Netzwerksegmentierung auf die lange Bank geschoben. Eine unlogisch anmutende Entscheidung, weil das Unternehmen kaum Angriffsflächen oder Anreize für gezielte Attacken bietet. Die fehlende Segmentierung aber, gepaart mit niedrigen Investitionen in Prävention, die überall verteilten Admin-Rechte und eine Reihe von Produktionsanlagen, die mit Windows-Steuerungen ausgerüstet sind, machen das Unternehmen zum leichten Opfer für die viel wahrscheinlicheren Ransomware-Attacken.     

Im Zuge eines Audits wird die kuriose Aufstellung hinterfragt – und es stellt sich heraus: Weil das CISO-Team schon seit Jahren kaum eine Maßnahme von der Geschäftsleitung in vertretbarer Zeit genehmigt bekommt, hat es im Zuge der Verlagerung von Servern in die Cloud einfach ein vermeintlich günstiges Zusatzangebot des Providers mitgebucht. Das war durchsetzbar. Die viel zu großzügig verteilten Admin-Rechte wiederum blieben unangetastet.

Vielleicht ein Extrembeispiel – aber der Wunsch, Finanzierungsdiskussionen rund um Cybersecurity und Datenschutz zu vereinfachen, führt nicht selten zu einer einseitigen Konzentration auf einen der drei Security-Grundpfeiler „Prävention“, „Detektion“ und „Response“ und noch häufiger dazu, eine der drei Komponenten aus Kostengründen zumindest auf die lange Bank zu schieben. Häufig ist dies das Thema SOC. Genauso gut können aber auch Maßnahmen im Bereich Identitätsmanagement oder die erwähnte Segmentierung die Verlierer sein. Mal sind es die Investitionskosten, die entsprechende Entscheidungen provozieren, mal der Mangel an Fachkräften, die die Maßnahmen umsetzen könnten.

Sparen ohne Radikalverzicht

Die Vorstellung, auf diese Weise Kosten zu sparen und Komplexität zu reduzieren, muss aber nicht zwangsläufig richtig sein. Änderungen der Bedrohungslage können es jederzeit nötig machen, den Fokus zu überdenken. Genauso häufig ändert sich die Risikoexposition, weil sich ein Unternehmen neue Betätigungsfelder erschließt oder ein Business-Zweig neuen Bedingungen unterliegt. Etwa, wenn bisher „dumme“ und nicht vernetzte Produkte plötzlich doch intelligente Komponenten bekommen und sogar ferngewartet werden müssen. Dann einen bisher komplett ausgesparten Security-Bereich neben den Change-Prozessen zeitgleich aus dem Boden zu stampfen, wird meist besonders teuer – nicht zuletzt, weil man Werkzeuge und Dienstleister vorher ja unter anderen Prämissen gewählt hat.

Es gibt vor allem für Unternehmen mit begrenztem Budget und Ressourcen eine alternative Herangehensweise, die zuweilen unbeachtet bleibt, weil ihr entlastendes Moment auf den ersten Blick weniger deutlich ins Auge fällt als bei der Ausklammerung ganzer Bereiche. 

Der Ansatz besteht darin,

  • in allen drei Arbeitsfeldern Prävention, Detektion und Response Grundkapazitäten zu schaffen und Basis-Maßnahmen durchzuführen,
  • die Einzelmaßnahmen in allen Sektoren risikogerecht zu priorisieren,
  • dazu eine Angriffsflächen- und Risiko-Analyse vorzuschalten,
  • im kostenträchtigen Detektionsbereich auf kreative Ansätze setzen, die beispielsweise gezielt reale Identitätsrisiken erkennen, kontrollierbar machen und beseitigen
  • die Security-Teams von unnötiger Informationsflut zu entlasten

Die aufgelisteten Ansätze umfassen analytische und operative Komponenten, die sich gegenseitig ergänzen und dazu beitragen, in den einzelnen Sektoren Maßnahmen zielgerecht zu priorisieren. 

Bei den präventiven Maßnahmen lässt sich durch einfache und wenig ressourcenfordernde Hygiene häufig ein größerer Effekt erzielen, als Security-Teams annehmen. Das Entfernen nicht mehr genutzter Konten, ein kritischer Blick auf vorhandene Rechte-Ansammlungen und eine Überprüfung von Identitätsrisiken können Angreifern ihr Tun deutlich erschweren. Es kann sinnvoll sein, sowohl für Risiko-Assessments als auch für Maßnahmen-Prüfungen der beschriebenen Art externe Kräfte hinzuzuziehen, da der Prophet im eigenen Lande bekanntlich selten viel gilt. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Ohne Identität kein Zero Trust

Im Kern geht es bei Zero Trust um die Authentifizierung und Autorisierung von Zugriffsrichtlinien, die nach dem Prinzip der minimalen Rechtevergabe konzipiert sind, für den geringstmöglichen Zeitraum und für die geringstmögliche Zahl von Assets. Schließlich braucht ein Angreifer in der Regel nur ein paar Minuten um mithilfe eines privilegierten Kontos das gesamte Verzeichnis zu übernehmen. Privileged Access Management (PAM), Active Directory (AD) und Single Sign-On (SSO)-Lösungen liegen dabei seit jeher in der Verantwortung der IT-Abteilung. Und die hat naturgemäß einen anderen Blickwinkel als ihn Sicherheitsexperten haben. Die IT will sicherstellen, dass alles so schnell geht wie möglich von statten geht, versucht also Reibungsverluste zu vermeiden. 

Wenn es allerdings bei AD und PAM lediglich darum geht, Dinge möglichst schnell abzuwickeln, tritt Sicherheit in den Hintergrund. Nur ist Identität längst zu wichtig geworden, um diese Risiken quasi in der Luft hängen zu lassen. Den meisten Firmen fehlt allerdings ein einheitlicher Überblick über das interne Identitätsrisiko. Trotz unzähliger Identitäts-Tools, die on-premises, in SaaS/IaaS- und DevOps-Umgebungen eingesetzt werden, gestaltet es sich schwierig, ein vollständiges Bild des eigenen Identitätsrisikos zu bekommen und zu erkennen, wie Angreifer sich im Netzwerk bewegen. Und dabei machen sie sich beispielsweise auf Workstations und Servern gespeicherte Passwörter, ungenutzte Remote-Desktop-Verbindungen, nicht berechtigte lokale Administrator- und Domain-Konten mit erhöhten Berechtigungen zunutze. 

Identitäten im Zentrum 

Gerade im Detektionsbereich gibt es Einsparungs- und Vereinfachungspotenzial, wenn man sich auf die Risiken konzentriert, die mit allen Arten von Identitäten in einem Unternehmen verbunden sind. Zwar hat man inzwischen erkannt, dass Identitäten der Einfallsvektor Nummer 1 sind und würde sie vielerorts gern intensiver überwachen – allein, das stellt viele Firmen vor nicht ganz geringe Herausforderungen. Was bislang kaum passiert, ist etwa, Identitätsdaten zu sammeln, zu analysieren und zu entschärfen, die über Speicher, Dateien und Konfigurationen verstreut sind und von Angreifern konsequent ausgenutzt werden.

Dazu kommt, dass alle bisherigen Angebote wie IGA- und AD-Auditing oder Pen-Testing-Tools, aber auch Privileged Access Management-Lösungen Lücken aufweisen. Sei es die mangelnde „Bottom-up“-Transparenz (hinsichtlich von Anmeldeinformationen, die überall auf Endpunkten und Servern verteilt sind), oder die zu fast 100% fehlende Möglichkeit, solche Identitätsrisiken automatisch zu beseitigen.

In Zukunft wird es darauf ankommen, diese Transparenz, aber auch die Analyse des Vorgefundenen zu automatisieren, um verwertbare Einblicke in Identitätsrisiken und Richtlinienverstöße über alle Unternehmensidentitäten hinweg zu bekommen sowie die anfälligen Identitäten zu bereinigen. Dadurch lassen sich anschließend die mit Identitäten verbundenen Risiken besser kontrollieren und beseitigen. Lässt sich dieser Bereich automatisieren, spart man damit gerade im kostenträchtigen Detektionsbereich zusätzlich Ressourcen.

Jochen Rummel, Regional Director DACH bei Illusive

www.illusive.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.