Anzeige

DevSecOps

„The quick and the dead“ ist ein englischer Satz aus der Übersetzung des Neuen Testaments von William Tyndale. Das englische Wort „quick“ kommt aus dem alten angelsächsischen Wort für lebendig, und nichts könnte zutreffender sein. Schnell zu sein, heißt am Leben sein, und nirgendwo trifft dies mehr zu als in der Sicherheit, wo wir uns buchstäblich in einem - wenn auch asymmetrischen - Wettlauf gegen einen intelligenten, anpassungsfähigen Gegner befinden.

Aus diesem Grund geht es bei Sicherheit letztlich immer um Geschwindigkeit. Der Gegner ist innovativ, motiviert, fundiert und genießt die Vorteile der Asymmetrie: Er muss nur einmal richtig liegen, um erfolgreich zu sein, während der Verteidiger ein durchweg perfektes Spiel abliefern muss. Angesichts dessen und der damit verbundenen Investitionen verbessert der Angreifer seine Fähigkeiten üblicherweise schneller als der Verteidiger.

Wer Zukunftssicherheit will, sollte als erstes prüfen wie die gegenwärtige Situation aussieht. Das Wesentliche dabei ist, schnell und anpassungsfähig zu sein sowie die schrittweisen Verbesserungen und das Tempo, mit dem man Fortschritte erzielt, zu maximieren. Mit einem Wort: Sicherheit muss agiler mit Menschen, Prozessen und Technologien umgehen.

DevOps-Revolution

Die Verwendung des Wortes „agil“ ist allerdings ein technologisch vorbelasteter Begriff. Er steht im Zentrum der DevOps-Revolution und bezeichnet üblicherweise, wer besseren, nachhaltigeren Code schreibt und sowohl in der Produktion als auch im BackOffice nutzt. Die agile F&E-Bewegung gilt denn auch vielen als revolutionär, mancherorts hat sie fast Kultstatus. Schließlich geht mit DevOps eine völlig veränderte Art und Weise einher wie Technik gemacht wird: Benutzerzentriert, im Besitz des   Produktionscodes und eine pragmatische Sichtweise auf das, was wir heute DevOps nennen. 

Das agile Manifest enthält aber einige grundsätzliche Lektionen, die hilfreich sind. Die darin ausgeführten Prinzipien könnten zu einer ähnlichen Revolution im Bereich SecOps führen. Jedenfalls, wenn man diese Prinzipien richtig anwendet: Nicht der Benutzer ist „schuld“, vielmehr sollten Richtlinien reales menschliches Verhalten berücksichtigen. Man konzentriert sich auf Prozesse und darauf, wem die Ergebnisse zuteilwerden, engagiert sich für inkrementelle Verbesserungen, Arbeitsrichtlinien, Zusammenarbeit im Unternehmen und reagiert auf Veränderungen. In dieser Welt ist Perfektion der natürliche Feind des Guten, frei nach Voltaire, und schrittweise Verbesserung das Herzstück von Sicherheitsoperationen, die schneller als bisher wirksam werden. 

So sind beispielsweise die „Indicators of Comprise“ (IOC), also die Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen, nicht mehr länger der leuchtende Stern beim Aufdecken und Verhindern von fortgeschrittenen Angriffen. Das haben wir immer wieder lernen dürfen, zuletzt anhand von Operation SoftCell. In SoftCell hat jeder Malware-Fall, von China Chopper bis zum inzwischen ehrwürdigen Poison Ivy, eine einzigartige Signatur. Jedes einzelne Mal, wenn die Malware benutzt und in den Umgebungen der Opfer platziert wurde, verfügte sie über eine einzigartige Signatur. Die Signatur an einem Ort zu finden, trägt also rein gar nichts dazu bei, die Malware auch an anderer Stelle zu erkennen. Die Überprüfung öffentlicher Quellen mit dem „File Hash“ wurde im Gegenteil zu einer Rückkopplungsschleife. Und die hat den bösen Jungs tatsächlich zu dem Wissen verholfen, welche Systeme relevant und welche ein verlorener Aktivposten sein könnten. Mit anderen Worten, IOCs werden dann zur Belastung, wenn Angreifer bereits Wege gefunden haben, sie zu umgehen. Der IOC-Alarm schlägt nur an, wenn der Angreifer einen Fehler macht oder er Ablenkungstaktiken wählt, um beispielsweise das Grundrauschen zu erhöhen.

IOCs werden ihre Berechtigung trotzdem nie ganz verlieren, gerade was die „Low Hanging Fruits“ der Bedrohungswelt anbelangt und um das erwähnte Grundrauschen zu minimieren. Aber Sicherheit ist ein chaotisches System mit einem intelligenten Gegner. Egal, was wir tun – wenn es statisch und vorhersehbar ist, kann zu einer Belastung werden. Das mag wie das Gegenteil der üblichen Prozessverwaltung erscheinen, ist es aber nicht. Es ist einfach eine neue Realität, aber eine, an die wir uns anpassen können. Jedenfalls dann, wenn wir uns auf Anpassungsfähigkeit als Kernprinzip konzentrieren. 

Fazit

Das Herzstück zukunftssicherer Sicherheitsoperationen ist eine schlanke, auf Aufdeckung ausgerichtete Denkweise, eine agile Methodik und der Versuch, Verbesserungen schrittweise umzusetzen. Das führt unweigerlich dazu, neue verhaltenstelemetrische Quellen wie EDR und seinen Nachfolger XDR zu nutzen. Damit verabschiedet man sich vom Prinzip des „Einfach alles erfassen“, welches wir aus den SIEM-dominierten Jahren kennen. Stattdessen konzentriert man sich darauf, automatisierte Angriffe zu erkennen, die als solche schwer zu prognostizieren sind. 

Wir leben in einer Welt, in der Angreifer nur ein einziges Mal richtig liegen müssen. In einer Welt, in der wir umgekehrt mit der Erwartung leben müssen, auch scheitern zu können.

Sam Curry, CSO Cybereason, www.cybereason.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cybercrime
Jun 23, 2020

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für…
Ransomware
Jun 23, 2020

Resilienz bei Cyberangriffen – Auf das Backup kommt es an

100-prozentige Cybersicherheit gibt es nicht. Im Falle von Bedrohungen wie Ransomware,…
Digitale Weltkugel
Jun 11, 2020

Digitaler Wettlauf in DACH und in China

Erfolgreiche Digitalisierung funktioniert nur mit einer nachhaltigen IT-Infrastruktur: In…

Weitere Artikel

Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.
Datendiebstahl

86 Prozent der Verbraucher Opfer von Identitätsdiebstahl & Co.

86 Prozent der Verbraucher sind in diesem Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden. Das ergab eine aktuelle Studie von OpSec Security. 2019 lag dieser Anteil noch bei 80 Prozent. Das jährliche…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!