Cyber Security im Wandel
„Sicherheit ist der Weg, nicht das Ziel“
Zwischen neuen Technologien, Bedrohungen und seismischen Verschiebungen in der kulturellen Landschaft bleibt nichts lange statisch. Scott Behm von Keysight spricht darüber, wie er die Sicherheitsteams in Unternehmen leitet, wie das Jahr 2020 die Dinge verändert hat und was die Zukunft bringt.
- Was kann die IT- und Cyber-Security-Community aus den letzten zwei Jahren lernen?
- Wie reagiert Keysight bei einem Ransomware-Angriff?
- Wie können Unternehmen ihre Investitionen in Cyber-Security-Tools zur Verteidigung und Transparenz besser nutzen?
- Welche Rolle spielen Künstliche Intelligenz (K) und Machine Learning (ML) bei der Cyberabwehr?
- Wie gestaltet sich der Markt für Cyber-Security-Anbieter?
Wenn wir die Uhr um zwei Jahre zurückdrehen könnten: Was hätte die IT-Welt tun können, um besser auf die Vielfalt der Risiken im Jahr 2020 vorbereitet zu sein?
Scott Behm: Das Jahr 2020 hat der IT- und Cyber-Security-Community in der Tat eine Vielzahl von Prüfungen und damit verbundenen Risiken beschert. Die Verteidigung gegen immer raffiniertere Angreifer bei gleichzeitiger Bewältigung der personellen, verfahrenstechnischen und technologischen Herausforderungen, die mit der Ermöglichung effektiver und sicherer Heimarbeit fast über Nacht verbunden sind, war definitiv interessant.
Positiv zu vermerken ist, dass wir alle gelernt haben, neue Wege zu gehen, um innovativ zu sein und Ergebnisse zu erzielen. In einigen Fällen haben wir sogar bessere Ergebnisse erzielt als zuvor.
Wie man so schön sagt: Im Nachhinein ist man immer schlauer. Im Jahr 2020 hat die IT-Welt ihre Widerstandsfähigkeit unter Beweis gestellt – und sich insgesamt gut bewährt, indem sie Unternehmen in die Lage versetzt hat, ihre Aufgaben auch unter extremen Bedingungen zu bewältigen. Auf dem Weg dorthin wurden viele Lektionen gelernt, und es war sicherlich nicht für alle die gleiche Reise. Mit Blick auf die Zukunft wird uns eine stärkere Konzentration auf die Szenarienplanung für unvorstellbare Krisen helfen, unsere Institutionen und Interessen besser abzusichern.
Wenn Sie morgen erfahren würden, dass Sie Opfer eines Ransomware-Angriffs geworden sind, was würden Sie als Erstes tun?
Behm: Ransomware-Angriffe können – wenn sie erfolgreich sind – große Auswirkungen auf ihre Ziele haben. Daher ist es unerlässlich, dass sich Unternehmen mit Hilfe von praktischen Übungen, koordinierten Blindsimulationen (die den Teilnehmern den Anschein erwecken, es handele sich um eine reale Situation) oder Purple-Teamübungen vorbereiten, um nicht nur ihre Reaktion, sondern auch ihre Erkennungsfähigkeiten zu testen.
Wenn wir bei Keysight Anzeichen für einen Ransomware-Angriff entdecken oder anderweitig davon erfahren würden, würde das SOC (Security Operations Center) sofort das Ransomware-Handbuch anwenden. Der designierte Leiter würde damit beginnen, die Kommunikation sowohl mit den Einsatzkräften als auch mit den Geschäftsinteressenten zu koordinieren. Gleichzeitig würde das SOC daran arbeiten, das Ausmaß des Angriffs zu verstehen, damit so schnell wie möglich geeignete Eindämmungs- und Schadensbegrenzungsverfahren eingeleitet werden können.
Welche Rolle spielen Ihrer Meinung nach Künstliche Intelligenz (KI) und Machine Learning (ML) in der Cyber Security? Welche Rolle können sie in den nächsten fünf Jahren spielen? Glauben Sie, dass der offensive Einsatz von ML potenzielle Sicherheitsgewinne aufwiegen wird?
Behm: Künstliche Intelligenz und Machine Learning beginnen tatsächlich, eine Rolle bei der Cyberabwehr zu spielen. Heute hilft KI/ML in zwei Bereichen:
- Beseitigung der ständig zunehmenden falsch-positiven Meldungen, die das SOC durchsieben muss, um die wirklich relevanten Meldungen zu finden.
- Verbesserung der Fähigkeit, anomales Verhalten oder Netzaktivitäten zu erkennen und zu melden.
In Zukunft werden KI/ML den Cyber-Abwehrsystemen in diesen beiden Bereichen wahrscheinlich noch mehr helfen, wenn sich die Technologie verbessert. Die Kombination von Quantencomputeralgorithmen mit KI und ML könnte eine vorausschauende Cyberabwehr zur Realität werden lassen. Dies beruht auf der Annahme, dass Quantencomputer in der Lage sind, mehrere Zustände gleichzeitig darzustellen, was eine schnellere Verarbeitung zusammenhängender Datensätze ermöglicht und zu schnellen, zuverlässigen Bedrohungsvorhersagen führt. Ob dies in fünf Jahren der Fall sein wird, kann nur vermutet werden.
Wie wägen Sie den Kompromiss zwischen „Tool-Wildwuchs“ und der Verwaltung Dutzender verschiedener Security-Dashboards gegenüber Lösungen eines einzigen Anbieters ab, die möglicherweise nicht in allen Sicherheitskategorien gleich gut sind? Wie berücksichtigen Sie die Auswirkungen der Verwaltungskomplexität?
Behm: In vielen Fällen nutzen Unternehmen ihre Investitionen in Cyber-Security-Tools zur Verteidigung und Transparenz nicht vollständig aus. Der volle Funktionsumfang der vorhandenen Cyberabwehr wird möglicherweise nicht eingesetzt, und die vorhandenen Konfigurationen sind möglicherweise nicht angemessen abgestimmt. Daher sollten Sie das zuerst tun.
- Cyber-Security-Verteidigung: Wenn die digitale Infrastruktur vollständig cloudbasiert ist und von einem einzigen Anbieter stammt, kann es sinnvoll sein, die Cyber-Security-Verteidigungsfunktionen des Cloud-Anbieters so weit wie möglich zu nutzen. Handelt es sich bei der Architektur des Unternehmens jedoch um eine hybride Cloud – oder eine Mischung aus allem, einschließlich IT und OT vor Ort, mehreren Cloud-Instanzen und Edge Computing – ist es wahrscheinlich unmöglich, eine Lösung eines einzigen Anbieters zu finden.
- Transparenz in Sachen Cyber Security: Die Entwicklung einer flexiblen Sicherheitsarchitektur, die es ermöglicht, alle sicherheitsrelevanten Daten zentral zu erfassen, um sie zu vergleichen, zu kontextualisieren und zu alarmieren, wird das SOC in die Lage versetzen, Bedrohungen unabhängig vom Bedrohungsvektor am effektivsten zu erkennen.
Wie beurteilen Sie neue Anbieter in Ihrem Netz? Ist die Messlatte bei neuen Anbietern höher als bei etablierten Anbietern? Was sind Ihre Akzeptanzkriterien?
Es zahlt sich aus, den Horizont nach neuen und aufkommenden Cyber-Security-Technologien abzusuchen. Ähnlich wie bei der Antwort auf die vorhergehende Frage ist es jedoch von größter Bedeutung, sicherzustellen, dass die vorhandenen Investitionen voll ausgeschöpft werden, bevor man einem glänzenden neuen Spielzeug hinterherjagt.
Wenn tatsächlich festgestellt wird, dass die vorhandenen Tools den neuen Bedrohungen wahrscheinlich nicht gewachsen sind, sollte ein Evaluierungsprozess eingeleitet werden, bei dem letztlich eine oder zwei Lösungen in die engere Wahl kommen. Diese Lösungen könnten dann zunächst in einer Testumgebung und dann in der Praxis eingehend bewertet werden. Die Strukturierung der Evaluierung in Form von gleichzeitigen „Proof of Value“-Einsätzen oder voll bezahlten, kurzfristigen Abonnements, die parallel eingeführt werden, ermöglicht eine datengesteuerte Entscheidung. Die Lösung, die in Bezug auf Stabilität, Skalierbarkeit, Leistung und Support den besten Wert bietet, gewinnt. Und der Prozess wiederholt sich.
Lesen Sie mehr zum Thema
