ADMIN
2023
02
2023-01-31T12:00:00
Endpoint Security
AKTUELL
012
Interview
Sicherheit
Securityservices
Interview
»Nichts verkompliziert die Verteidigung mehr als mangelnde Sichtbarkeit während eines Angriffs«
Redaktion IT-Administrator
Veröffentlicht in Ausgabe 02/2023 - AKTUELL
Viele Organisationen sind angesichts immer raffinierterer Angriffe damit überfordert, ihre eigene IT-Umgebung abzusichern. Vor allen Dingen für kleine und mittlere Unternehmen bieten sich deshalb ausgelagerte Securityservices an. Michael Veit, Technology Evangelist bei Sophos, erläutert, worauf es dabei ankommt und welche Trends 2023 zu erwarten sind.
IT-Administrator:Herr Veit, wie schwer ist für Unternehmen das Anbinden eines Managed SOC an die eigene Infrastruktur – wo liegen die Stolpersteine und wie lassen sich diese meiden?
Michael Veit:Unternehmen stehen beim Einsatz von Managed SOC hauptsächlich vor der Herausforderung, ihre bestehenden Securitysysteme anzubinden. Diese Integration gelingt am besten mit einem Cybersecurity-Ökosystem. Um Hacker frühzeitig erkennen und stoppen zu können, sollten alle Sicherheitstechnologien inklusive Managed Detection and Response am Endpoint und im Netzwerk intelligent und vernetzt zusammenarbeiten. Ereignisse sollten unternehmensweit mit einer Kombination aus menschlicher und künstlicher Intelligenz analysiert und korreliert werden.
Geht der internen IT-Abteilung dadurch nicht auch ein Stück weit die eigene Securityexpertise sowie der Einblick in Geschehnisse verloren, sofern diese zuvor ein eigenes SOC betrieben haben?
IT-Administrator:Herr Veit, wie schwer ist für Unternehmen das Anbinden eines Managed SOC an die eigene Infrastruktur – wo liegen die Stolpersteine und wie lassen sich diese meiden?
Michael Veit:Unternehmen stehen beim Einsatz von Managed SOC hauptsächlich vor der Herausforderung, ihre bestehenden Securitysysteme anzubinden. Diese Integration gelingt am besten mit einem Cybersecurity-Ökosystem. Um Hacker frühzeitig erkennen und stoppen zu können, sollten alle Sicherheitstechnologien inklusive Managed Detection and Response am Endpoint und im Netzwerk intelligent und vernetzt zusammenarbeiten. Ereignisse sollten unternehmensweit mit einer Kombination aus menschlicher und künstlicher Intelligenz analysiert und korreliert werden.
Geht der internen IT-Abteilung dadurch nicht auch ein Stück weit die eigene Securityexpertise sowie der Einblick in Geschehnisse verloren, sofern diese zuvor ein eigenes SOC betrieben haben?
Die Komplexität moderner Umgebungen und die Schnelligkeit von Cyberbedrohungen machen es für die meisten Securityteams in Unternehmen immer schwieriger, Erkennung und Reaktion allein zu bewältigen. Ein externes Expertenteam ist in der Lage, Bedrohungen in einer Vielzahl von Umgebungen zu erkennen und zu beseitigen – einschließlich komplexer Szenarien mit Lösungen mehrerer Anbieter. Es geht keine Expertise und auch kein Einblick verloren, ganz im Gegenteil. Die Experten können sich voll und ganz auf die Ereignisse konzentrieren, die mit hoher Priorität bearbeitet werden müssen. Zudem lassen moderne Managed-Detection-und-Response Systeme sehr individuelle Einstellungen zu, welche und wie viele Informationen weiterhin dem IT-Team vor Ort zur Verfügung stehen. So lässt sich beispielsweise festlegen, ob externe Teams den Auftraggeber im Fall der Fälle nur informieren oder selbst aktiv werden sollen.
Ein aktuelles Schlagwort in Sachen Clientsecurity ist ja XDR, also der erweiterte Endgeräteschutz. Was genau bringt diese Technologie und worauf sollten Unternehmen bei der Wahl passender Lösungen achten?
Die Entwicklung geht ganz klar weg von SIEM-Systemen hin zu Extended-Detection- and-Response-Services (XDR). Die hochangereicherten XDR-Daten ermöglichen eine viel bessere Angriffserkennung als klassische SIEM-Systeme. Bildlich gesprochen bedeutet SIEM, die Nadel im Heuhaufen zu suchen, während XDR die spitzesten, also gefährlichsten Nadeln heraussucht und auf dem Nadelkissen präsentiert. Dies ermöglicht ein sehr viel effektiveres Threat Hunting. Sophos beispielsweise erweitert seine XDR-Produkte aktuell zudem in der Form, dass Ereignisse nicht nur von hauseigenen Systemen, sondern auch von vielen der größten Anbieter im Bereich Endpoint, Firewall, Cloudsecurity, E-Mail-Security, Identitiy und NDR mit in die Analyse einfließen können. Nichts macht die Verteidigung eines Unternehmens komplizierter, als während des Angriffs aufgrund mangelnder Sichtbarkeit von Ereignissen jenseits des Endpoints praktisch "auf einem Auge blind" zu sein. Es ist wichtig, Zugriff auf hochwertige relevante Daten zu haben, um potenzielle Angriffsindikatoren korrekt identifizieren und der Ursache auf den Grund gehen zu können. Effektive Teams sammeln relevante Daten, um Signale zu identifizieren. Sie sind in der Lage, die Signale von irrelevanten Informationen zu trennen, und wissen, wie sie durch bessere Sichtbarkeit und Korrelation priorisieren müssen und so besser reagieren können.
OT, mobile Endgeräte, Clients, Server, Cloudumgebungen, Container – wie kann ein Administrator die immer stärker verteilten Daten überhaupt schützen und gleichzeitig den Überblick behalten?
Extended-Detection-and-Response-Systeme sind ideal geeignet, die IT-Umgebung durch Identifizierung und Schließen wichtiger Sicherheitslücken, wie etwa nicht-gepatchte Geräte, ungeschützte Rechner und offene RDP-Ports, zu härten. Um nicht den Überblick zu verlieren, sollten Administratoren am besten, wie bereits erwähnt, ein Cybersecurity-Ökosystem mit einheitlichem Management einsetzen; so werden alle wichtigen Funktionen und Alerts in einem zentralen Bedrohungsanalyse- Center visualisiert.
In einer Studie aus dem Jahr 2021 hat Sophos festgestellt, dass Ransomware-Angriffe sich branchenspezifisch unterscheiden. Gilt diese Aussage noch und, wenn ja, welche Branchen stehen heute besonders im Visier?
Unser State of Ransomware-Report zeigt, dass bestimmte Branchen im Fokus der Angreifer liegen. Dazu gehören insbesondere der kommunale Sektor und der Gesundheitsbereich. Rund 58 Prozent der Kommunalverwaltungen waren 2021 von Ransomware betroffen, 2020 lag die Rate noch bei 34 Prozent – ein Anstieg von 70 Prozent innerhalb eines Jahres. Zu den weiteren Branchen, die besonders häufig angegriffen wurden, zählten auch der Einzelhandel. Dort wurden 77 Prozent Opfer eines Ransomware-Angriffs. In den letzten Jahren ist es für Cyberkriminelle immer einfacher geworden, Ransomware einzusetzen, da fast alles als Service verfügbar ist.
Wie ist es eigentlich um die Zahlungsbereitschaft der Opfer und die tatsächlichen Entschlüsselungen wirklich bestellt? Würden Sie einem Unternehmen grundsätzlich zu einer Ransomware- Zahlung raten?
In unserer aktuellen "State of Ransomware 2022"-Studie fanden wir heraus, dass immer mehr Opfer Lösegeld zahlen: Im Jahr 2021 zahlten 42 Prozent der deutschen Unternehmen, deren Daten durch einen Ransomware-Angriff verschlüsselt wurden, das Lösegeld. Auch die Höhe der Lösegeldzahlungen nimmt zu. Im Jahr 2021 gaben neun Prozent der deutschen Unternehmen an, dass sie Lösegeld in Höhe von 925.789 Euro oder mehr gezahlt haben. Der Anteil der deutschen Unternehmen, die weniger als 9257 Euro gezahlt haben, ist von 35 Prozent im Jahr 2020 auf 13 Prozent gesunken. Lösegeld für die Datenentschlüsselung zu zahlen scheint für viele Unternehmen eine schnelle Alternative zur zeitaufwändigen Wiederherstellung verschlüsselter Daten aus Back ups zu sein. Dieses Vorgehen ist aber mit hohen Risiken verbunden. Unternehmen wissen nicht, was die Angreifer außer der Ransomware-Attacke zusätzlich im Netzwerk getan haben, beispielsweise Hintertüren für künftige Angriffe installiert oder Kennwörter kopiert. Wenn Unternehmen die wiederhergestellten Daten nicht gründlich bereinigen, haben sie am Ende womöglich immer noch schädliche Programme in ihrem Netzwerk und sind einem erneuten Angriff ausgesetzt. Daher raten wir davon ab, Lösegeld zu zahlen. Zudem erhalten die allerwenigsten Unternehmen tatsächlich alle Daten zurück. Der diesjährige Sophos State of Ransomware 2022 bestätigt, dass weltweit nur vier Prozent der Zahler sämtliche Daten zurückerhalten. Im Durchschnitt bekommen sie nur knapp zwei Drittel zurück.
Die Angreifer passen ihre Taktiken und Techniken natürlich laufend an, etwa im Bereich raffinierter Social-Engineering- oder weitreichender Supply- Chain-Angriffe. Welche Securitytrends seitens der Hacker und auch der Verteidiger erwarten Sie für das Jahr 2023?
Neben dem weiterhin sehr präsenten Phishing sehen wir zunehmend auch Supply-Chain-Attacken sowie Angriffe auf Dienste, die aus dem Internet erreichbar sind – beispielsweise log4j oder Exchange. Die Angreifer verfolgen das Ziel, möglichst lange unerkannt in einem Netzwerk ihr Unwesen zu treiben und potenzielle Ransomware-Aktivierungen mit vorab erfolgtem Datendiebstahl zu kombinieren. Wir sehen zudem einen neuen Grad der Kommerzialisierung innerhalb der Cyberkriminalität, durch den zunehmend niedrigschwellige Einstiegsangebote für potenzielle Angreifer verfügbar sind. Fast alle Cybercrime- Szenarien sind käuflich. Ein boomender Cybercrime-as-a-Service-Markt steht einer kriminellen Käuferschaft offen, die von technisch hoch versiert bis völlig unwissend reicht. Daher geht künftig kein Weg an Securityservices vorbei. Unternehmen, die eine maximale IT-Sicherheit verfolgen, haben kaum noch eine Chance, ihre Infrastruktur mit klassischer Inhouse-Sicherheit effizient zu sichern. Zwar haben laut der aktuellen Umfrage rund 25 Prozent der befragen Firmenlenker vor, das Personal für ITSecurity künftig auszubauen, doch das dürfte aufgrund des massiven Fachkräftemangels sehr ambitioniert sein. Wir sehen einen starken Trend hin zu Security- Services insbesondere im Bereich der Managed Detection and Response, die technische Security mit menschlicher Expertise verknüpft.
Vielen danken für das Gespräch!