Thought Leadership
Prinzip Hoffnung
Trotz der nicht unbedingt hoffnungsfroh stimmenden Entwicklungen gibt es doch einiges, was Praktiker, Sicherheitsexperten und die Branche tun können. Grundsätzlich brauchen wir mehr Flexibilität im Bereich Cybersicherheit und sollten uns zudem darauf konzentrieren zeitaufwendige Aufgaben so weit als möglich zu automatisieren.
Bedrohungsakteure sind intelligente, anpassungsfähige Profis, das heißt, wir müssen einen Weg finden, unsere Intelligenz effektiv einzusetzen. Sehen wir uns dazu zunächst den Begriff der „Agilität“ an. Anpassungsfähigkeit sowohl in technologischer Hinsicht als auch in praktischen Fragen unter Beweis zu stellen, bedeutet, Sicherheitsexperten näher an das Geschehen heranzuführen und ihren Fokus auf die entsprechenden Bereiche zu lenken, Überflüssiges aus kritischen Prozessen zu entfernen und einen benutzerzentrierten Ansatz zu verfolgen. Tatsächlich ist es an der Zeit, dass sich die IT-/Cybersicherheit in ähnlicher Weise wandelt, wie DevOps schon die IT sowie Forschung und Entwicklung revolutioniert hat.
Dies setzt sich direkt in der Art und Weise fort wie wir Cyber-Diskussionen führen. Autonome Sicherheitsfunktion sollen den Menschen unterstützen und nicht ersetzen. Sicherheit lässt sich in zwei Gruppen gliedern: Zum Ersten, Funktionen wie Präventionstools, Identitäts- und Zugriffslösungen sowie Prozesse, die Sicherheitsrisiken senken sowie Patch-Management. Zweitens, Cyber-Funktionen im eigentlichen Sinne. Technologien, die sich hinter Akronymen wie EDR, SIEM, SOAR, NTA, UeBA, EPP und so weiter verbergen, und die versuchen, einem aktiven, adaptiven und sich weiter entwickelnden Angreifer Einhalt zu bieten. Diese Lösungen funktionieren wie ein aktives, neuronales System.
Darüber hinaus sollte die Branche eine Telemetrie auf Basis von Indicators of Behavior (IOB, Verhaltensindikatoren) entwickeln. Sie erlauben es, einen Angreifer besser aufdecken und verfolgen zu können, unabhängig von deren Ausweich- und Verschleierungstaktiken. Ohne Druck auf die Anbieter wird das allerdings nicht gehen. Denn die beschränken sich zumeist noch auf Feeds und IOCs statt komplexer IOBs.
Markenstärke ohne Substanz ist aber kein Ersatz für Anpassungsfähigkeit, Innovation und Robustheit in puncto Tools und Betrieb. Wir werden das Risiko nicht aus der Welt schaffen, aber wir können es erträglich und (über)lebbar machen. Und im Jahr 2020 Schritte unternehmen, die Asymmetrie im Cyberkonflikt umzukehren.
Sam Curry, Chief Security Officer, Cybereason
www.cybereason.com
