Kommentar zum Jubiläum
25 Jahre und fünf Generationen der Cybersicherheit
Fortsetzung des Artikels von Teil 1
Angriffe überholen die Detection-only-Security
2010 erreichten die Angriffe ein neues Niveau an Raffinesse. Die Menschen hinter den Angriffen organisierten sich und erreichten einen neuen Grad an Professionalität. Diese Angriffe machten Schlagzeilen in den Mainstream-Medien – allein schon wegen ihrer großen Auswirkungen auf die Öffentlichkeit, die Vorstandsetagen und wegen der weltweiten Ermittlungen der Regierung. Beispiele für diese Art der Angriffe sind unter anderem der massive Verstoß bei dem US-Einzelhändler Target, der 40 Millionen Kundenkreditkarten und die privaten Informationen von bis zu 110 Millionen Menschen gefährdete.
Cyberangriffe fanden nun im Verborgenen statt und wurden für die Mitarbeiter eines Unternehmens immer schwerer zu erkennen. Malware war in allem versteckt, von gefälschten Geschäftsdokumenten bis hin zu Bilddateien. Es war ausreichend versehentlich einen E-Mail-Anhang zu öffnen, eine Datei aus dem Internet herunterzuladen oder einen USB-Stecker in seinen Laptop zu stecken, damit der Angriff im Hintergrund gestartet werden konnte. Diese Angriffe der vierten Generation bedeuteten, dass erkennungsbasierte Sicherheit nicht mehr ausreicht, um Unternehmen zu schützen. Reine Erkennungsprodukte können nur bekannte Angriffssignaturen identifizieren. Und diese werden logischerweise erst erstellt, nachdem ein Angriff entdeckt und analysiert wurde. So können Unternehmen tagelang, wochenlang oder sogar monatelang verwundbar sein, bis ein Update verfügbar war. Ein Angriff hat dann innerhalb weniger Minuten einen weitreichenden Schaden für ein Unternehmen verursachen können. Da neue und komplexere Malware (ohne Signaturen zur Erkennung) über die signaturbasierte Sicherheit hinausging, wurden neue Technologien wie Sandboxing entwickelt, um sich gegen diese Zero-Day-Angriffe zu schützen. Durch die Erweiterung der Unternehmensumgebung um zusätzliche Security-Lösungen wurde die Sicherheitsinfrastruktur der Unternehmen noch komplexer.
Mega-Angriffe verhindern
Die aktuelle und fünfte Generation von Angriffen trat Anfang 2017 verstärkt auf. Die Verfügbarkeit hochentwickelter, fortschrittlicher Hacking-Tools führte zu massiven Multi-Vector-Cyberkampagnen, die zum einen Einnahmen für Kriminelle generierten, zum anderen große finanzielle und Markenreputationsverluste verursachten. Die heutige Shape-Shifting-Malware kann praktisch in jeden Teil der IT-Infrastruktur eindringen und sich von dort aus verbreiten, einschließlich lokaler Netzwerke, Cloud-Instanzen, Remote-Büros, mobiler Geräte und mehr – so wie beim WannaCry-Angriff auf 300.000 Computer in 150 Ländern und NotPetya, der für betroffene Unternehmen Verluste von insgesamt 300 Millionen Dollar verursachte.
Diese Angriffe bewegen sich mit extrem hoher Geschwindigkeit, verursachen enorme Störungen und Schäden und überwältigen leicht frühere Generationen von nicht integrierten, reinen Erkennungstechnologien – genau deshalb können sie weltweit solche massiven Störungen verursachen. Der Check Point Security Report 2018 hat gezeigt, dass 97 Prozent der Unternehmen Antivirensoftware auf ihren Systemen verwenden und über Firewalls verfügen, die vor Angriffen der zweiten und dritten Generation schützt. Nur 21 Prozent der Befragten verwenden Sandboxing- und Anti-Bot-Tools, die vor fortgeschrittenen Bedrohungen der vierten Generation schützen. Ausschließlich drei Prozent der Unternehmen gaben an, dass sie bereits aktive Funktionen zur Bedrohungsabwehr mit Cloud- und mobilen Sicherheitsebenen nutzen. Diese Schutzmaßnahmen sind die einzige Möglichkeit, heutige Angriffe der fünften Generation zu verhindern.
Aufgrund der Geschwindigkeit, mit der sich heutige Angriffe ausbreiten können, wäre es ein fataler Fehler, darauf zu warten, dass die Sicherheitsabwehr durchbrochen wird, bevor auf die Bedrohung reagiert wird – wie es noch vor wenigen Jahren Gang und Gebe war. Stattdessen müssen die Angriffe in Echtzeit verhindert und blockiert werden. Unternehmen müssen daher von ihren nicht integrierten Sicherheitsbereitstellungen der alten Generationen zu einer konsolidierten Infrastruktur übergehen, die eine fortschrittliche Bedrohungsabwehr über die gesamte IT-Infrastruktur bietet und zentralisiertes Management für Verwaltung, Überwachung und Reaktion inkludiert.
Eine integrierte Architektur bietet Echtzeitschutz vor bekannten und unbekannten Bedrohungen und nutzt fortschrittliche Technologien zur Bedrohungsabwehr und Zero-Day-Technologie. Dadurch wird eine automatische gemeinsame Nutzung von Bedrohungsinformationen über alle Netzwerke, Endpunkte, Clouds und Mobilgeräte hinweg ermöglicht, um Lücken in der gesamten Netzwerkumgebung des Unternehmens zu schließen. Diese Fähigkeit, Lücken zu schließen, ist von entscheidender Bedeutung, da Cyber-Angriffe zunehmend automatisiert werden. Es werden Bots verwendet, die die Netzwerke von Unternehmen scannen und so die Schwachstellen, über die sie eindringen können, finden. Um dem vorzubeugen müssen KI- und maschinelle Lernmodelle angewendet werden, die schnell wechselnde Angriffsmuster erkennen und Reaktionen automatisieren können.
Fazit
Die Entwicklung sowohl der Cyberangriffe als auch der Cybersicherheit hat sich in den letzten 25 Jahren rasant verändert und ist dabei immer schneller geworden. Als ich mit Check Point begann, konnte ich nicht vorhersagen, wie stark die Welt heute vernetzt ist und welche Arten von Cyber-Risiken uns bedrohen werden. Die Entwicklung neuer Wege zum Schutz vor diesen Bedrohungen war eine ständige Herausforderung. Und eines ist sicher: Die nächste Generation von Angriffen wird noch intelligenter sein als die, die uns bisher bekannt sind. Deshalb muss sichergestellt werden, dass die nächste Generation von Verteidigungsanlagen noch intelligenter ist.
Gil Shwed ist Gründer und CEO von Check Point
- 25 Jahre und fünf Generationen der Cybersicherheit
- Angriffe überholen die Detection-only-Security
Lesen Sie mehr zum Thema
