Anzeige

DevSecOps

„The quick and the dead“ ist ein englischer Satz aus der Übersetzung des Neuen Testaments von William Tyndale. Das englische Wort „quick“ kommt aus dem alten angelsächsischen Wort für lebendig, und nichts könnte zutreffender sein. Schnell zu sein, heißt am Leben sein, und nirgendwo trifft dies mehr zu als in der Sicherheit, wo wir uns buchstäblich in einem - wenn auch asymmetrischen - Wettlauf gegen einen intelligenten, anpassungsfähigen Gegner befinden.

Aus diesem Grund geht es bei Sicherheit letztlich immer um Geschwindigkeit. Der Gegner ist innovativ, motiviert, fundiert und genießt die Vorteile der Asymmetrie: Er muss nur einmal richtig liegen, um erfolgreich zu sein, während der Verteidiger ein durchweg perfektes Spiel abliefern muss. Angesichts dessen und der damit verbundenen Investitionen verbessert der Angreifer seine Fähigkeiten üblicherweise schneller als der Verteidiger.

Wer Zukunftssicherheit will, sollte als erstes prüfen wie die gegenwärtige Situation aussieht. Das Wesentliche dabei ist, schnell und anpassungsfähig zu sein sowie die schrittweisen Verbesserungen und das Tempo, mit dem man Fortschritte erzielt, zu maximieren. Mit einem Wort: Sicherheit muss agiler mit Menschen, Prozessen und Technologien umgehen.

DevOps-Revolution

Die Verwendung des Wortes „agil“ ist allerdings ein technologisch vorbelasteter Begriff. Er steht im Zentrum der DevOps-Revolution und bezeichnet üblicherweise, wer besseren, nachhaltigeren Code schreibt und sowohl in der Produktion als auch im BackOffice nutzt. Die agile F&E-Bewegung gilt denn auch vielen als revolutionär, mancherorts hat sie fast Kultstatus. Schließlich geht mit DevOps eine völlig veränderte Art und Weise einher wie Technik gemacht wird: Benutzerzentriert, im Besitz des   Produktionscodes und eine pragmatische Sichtweise auf das, was wir heute DevOps nennen. 

Das agile Manifest enthält aber einige grundsätzliche Lektionen, die hilfreich sind. Die darin ausgeführten Prinzipien könnten zu einer ähnlichen Revolution im Bereich SecOps führen. Jedenfalls, wenn man diese Prinzipien richtig anwendet: Nicht der Benutzer ist „schuld“, vielmehr sollten Richtlinien reales menschliches Verhalten berücksichtigen. Man konzentriert sich auf Prozesse und darauf, wem die Ergebnisse zuteilwerden, engagiert sich für inkrementelle Verbesserungen, Arbeitsrichtlinien, Zusammenarbeit im Unternehmen und reagiert auf Veränderungen. In dieser Welt ist Perfektion der natürliche Feind des Guten, frei nach Voltaire, und schrittweise Verbesserung das Herzstück von Sicherheitsoperationen, die schneller als bisher wirksam werden. 

So sind beispielsweise die „Indicators of Comprise“ (IOC), also die Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen, nicht mehr länger der leuchtende Stern beim Aufdecken und Verhindern von fortgeschrittenen Angriffen. Das haben wir immer wieder lernen dürfen, zuletzt anhand von Operation SoftCell. In SoftCell hat jeder Malware-Fall, von China Chopper bis zum inzwischen ehrwürdigen Poison Ivy, eine einzigartige Signatur. Jedes einzelne Mal, wenn die Malware benutzt und in den Umgebungen der Opfer platziert wurde, verfügte sie über eine einzigartige Signatur. Die Signatur an einem Ort zu finden, trägt also rein gar nichts dazu bei, die Malware auch an anderer Stelle zu erkennen. Die Überprüfung öffentlicher Quellen mit dem „File Hash“ wurde im Gegenteil zu einer Rückkopplungsschleife. Und die hat den bösen Jungs tatsächlich zu dem Wissen verholfen, welche Systeme relevant und welche ein verlorener Aktivposten sein könnten. Mit anderen Worten, IOCs werden dann zur Belastung, wenn Angreifer bereits Wege gefunden haben, sie zu umgehen. Der IOC-Alarm schlägt nur an, wenn der Angreifer einen Fehler macht oder er Ablenkungstaktiken wählt, um beispielsweise das Grundrauschen zu erhöhen.

IOCs werden ihre Berechtigung trotzdem nie ganz verlieren, gerade was die „Low Hanging Fruits“ der Bedrohungswelt anbelangt und um das erwähnte Grundrauschen zu minimieren. Aber Sicherheit ist ein chaotisches System mit einem intelligenten Gegner. Egal, was wir tun – wenn es statisch und vorhersehbar ist, kann zu einer Belastung werden. Das mag wie das Gegenteil der üblichen Prozessverwaltung erscheinen, ist es aber nicht. Es ist einfach eine neue Realität, aber eine, an die wir uns anpassen können. Jedenfalls dann, wenn wir uns auf Anpassungsfähigkeit als Kernprinzip konzentrieren. 

Fazit

Das Herzstück zukunftssicherer Sicherheitsoperationen ist eine schlanke, auf Aufdeckung ausgerichtete Denkweise, eine agile Methodik und der Versuch, Verbesserungen schrittweise umzusetzen. Das führt unweigerlich dazu, neue verhaltenstelemetrische Quellen wie EDR und seinen Nachfolger XDR zu nutzen. Damit verabschiedet man sich vom Prinzip des „Einfach alles erfassen“, welches wir aus den SIEM-dominierten Jahren kennen. Stattdessen konzentriert man sich darauf, automatisierte Angriffe zu erkennen, die als solche schwer zu prognostizieren sind. 

Wir leben in einer Welt, in der Angreifer nur ein einziges Mal richtig liegen müssen. In einer Welt, in der wir umgekehrt mit der Erwartung leben müssen, auch scheitern zu können.

Sam Curry, CSO Cybereason, www.cybereason.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cybercrime
Jun 23, 2020

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für…
Ransomware
Jun 23, 2020

Resilienz bei Cyberangriffen – Auf das Backup kommt es an

100-prozentige Cybersicherheit gibt es nicht. Im Falle von Bedrohungen wie Ransomware,…
Digitale Weltkugel
Jun 11, 2020

Digitaler Wettlauf in DACH und in China

Erfolgreiche Digitalisierung funktioniert nur mit einer nachhaltigen IT-Infrastruktur: In…

Weitere Artikel

Hacker

Darknet: Der Aufstieg der Initial Access Broker durch das Home-Office

Home-Office in der Corona-Pandemie und neuer Malware-Technologien haben 2020 zu einem sprunghaften Anstieg beim Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) geführt. Angebote rund um RDP-, VPN- und Citrix-Gateways haben einen neuen…
RDP

Home-Offices unter Beschuss: RDP-Angriffe steigen um 4.516 Prozent

Cyberkriminelle haben es in Deutschland, Österreich und der Schweiz massiv auf Unternehmen und deren Arbeitnehmer im Home-Office abgesehen. Allein im Dezember 2020 registrierte der europäische IT-Sicherheitshersteller ESET in diesen drei Ländern täglich…
Cybercrime

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken Anstieg von Cyberbedrohungen für Unternehmen seit Beginn der COVID-19-Pandemie zeigt. Zudem lässt sich belegen, dass sich Cyberkriminelle nicht nur an neue Gewohnheiten…
Cybercrime

Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt

Die Pandemie bleibt ein Fest für Kriminelle - sie nutzen die Verunsicherung der Menschen für Angriffe aus. Laut der aktuellen Bedrohungsanalyse von G DATA CyberDefense stieg die Zahl der abgewehrten Angriffsversuche im zweiten Halbjahr 2020 um 85 Prozent.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!