Schutz vor Cyberbedrohungen
Hände aus dem Schoß
Immer neue IT-Ressourcen, ob in der Cloud oder On-Premises, lassen die Sicherheitslücken von Unternehmen in bislang ungekannten Größenordnungen wachsen. Diese Lücken entstehen häufig, ohne dass IT-Security-Teams dies merken. Und Lücken, die man nicht kennt, lassen sich nur schwer schützen.
Zunächst müssen die Verantwortlichen verstehen, welche Lücken sich in ihren Angriffsflächen in Folge der digitalen Transformation ergeben und wie sie diese Schwachstellen schließen können. Das ist alles andere als trivial, wie der „The 2022 Attack Resistance Report“1 zeigt, für den Hacker One kürzlich über 800 Security-Verantwortliche aus Europa und den USA befragt hat. Dabei wurde deutlich, dass nur 63 Prozent der befragten Unternehmen davon ausgehen, ihre Angriffsfläche schützen zu können. Und fast die Hälfte der Befragten bezweifelt, die durch diese Lücken entstehenden Risiken bewältigen zu können.
Gründe für mangelnde Widerstandsfähigkeit
Die Mängel an Widerstandfähigkeit treten vor allem in vier zentralen Bereichen auf: Fehlende Verwaltung der Angriffsfläche, unregelmäßige Tests, unzureichende Sicherheitstools für Security-Tests und Personalmangel bei den Cybersicherheits-Teams. Werden diese Faktoren zusammengenommen, ergibt sich daraus die sogenannte Attack Resistance Gap. In der Befragung zeigte sich, dass besonders die beiden letztgenannten Bereiche – unzureichende Tools und unterbesetzte beziehungsweise unterqualifizierte Security-Teams – die größten Herausforderungen darstellen. Allerdings dürfen auch die anderen Aspekte nicht vernachlässigt werden, um der Attack Resistance Gap bestmöglich zu begegnen:
- Mangelnde Kenntnis der Angriffsfläche: Die genannten Lücken bei der Kenntnis der Angriffsfläche machen eine genaue Risikobewertung unmöglich. Ein umfassendes Verständnis für die eigene Angriffsfläche ist jedoch die Voraussetzung für alle weiteren Security-Maßnahmen. Zwar scannt ein Großteil der Unternehmen seine Angriffsfläche regelmäßig, doch über 90 Prozent geben an, dass die Landkarte ihrer Angriffsfläche weiße Flecken aufweist. Hier gilt es zu prüfen: Welche Aktiva werden nicht erfasst? Wie verändert sich die Form und Größe der Angriffsfläche des Unternehmens? Wie lange ist eine unbekannte Ressource im Netzwerk des Unternehmens bereits vorhanden? Es gilt diese Fragen schnellstmöglich zu beantworten, um etwaige Sicherheitslücken schnellstmöglich zu schließen. Daher muss die Angriffsfläche aktiv überwacht werden.
- Häufigkeit der Tests hält nicht mit Updates Schritt: Continuous Delivery und Deployment von Software sind oftmals die gängige Praxis. Nicht selten bringen Entwicklungsteams wöchentlich Software-Updates heraus. Allerdings werden in vielen Unternehmen entsprechende Tests vernachlässigt, sodass nur ein Drittel der Anwendungen mehr als einmal pro Jahr getestet wird.
- Unzureichende Testing-Tools: Automatisierte Tools zur Identifizierung technischer Schwachstellen suchen und finden zuverlässig gängige und bekannte Sicherheitslücken. Jedoch finden sie keine Schwachstellen, auf die sie nicht programmiert wurden. Sind die Muster einer Schwachstelle also noch unbekannt, können automatisierte Scanning-Tools sie auch nicht finden. Daher benötigen Unternehmen die menschliche Kreativität ethischer Hacker, um Schwachstellen zu identifizieren, die keine Tools finden können. Dies sind zumeist die kritischsten und kompliziertesten Sicherheitslücken, die es schnellstmöglich zu beseitigen gilt.
- Unzulänglichkeiten des Cybersecurity-Personals: Angesichts des branchenweiten Fachkräftemangels ist es schwierig, Sicherheitsexperten zu finden, die sich mit neuen Technologien auskennen. Ganz zu schweigen von denjenigen, die Erfahrungen im Bereich maßgeschneiderter APIs und Legacy-Anwendungen haben. Selbst wenn eine Organisation über ein vergleichsweise personalstarkes Security-Team verfügt, bleibt für gewöhnlich keine Zeit, um die Angriffsflächen aktiv zu verwalten. Um das Personal zu entlasten und wieder aktiv nach Schwachstellen suchen zu können, sollten die Security-Verantwortlichen daher auf externe Experten wie ethische Hacker setzen.
Um Lücken in der Cyberverteidigung zu begegnen, ist ein proaktiver Ansatz bei der Verwaltung der Cybersicherheit von fundamentaler Bedeutung. Hier kann Attack Resistance Management (ARM) seine Stärken ausspielen. ARM nutzt eine Kombination aus automatisierten Lösungen und Sicherheitsforschern, um Angriffsflächen zu testen und Risiken zu identifizieren, die beim ausschließlichen Einsatz automatisierter Lösungen übersehen werden könnten. Es handelt sich um einen funktionsübergreifenden und kontinuierlichen Ansatz zur Verbesserung der Effektivität von Security-Maßnahmen.
Minimiertes Cyber-Risiko durch stete Fortbildung
Eine der wichtigsten und erfolgreichsten Maßnahmen, um die Widerstandsfähigkeit gegenüber Cyberattacken zu steigern, ist die stete Verbesserung der Teams – sei es der Entwicklerteams oder der Security-Teams. In vielen Organisationen ist das Bewusstsein für die Auswirkungen einer sich vergrößernden Angriffsfläche noch nicht im nötigen Maß vorhanden. Den Unternehmen fehlt darüber hinaus häufig die nötige Zeit, das Geld oder die Tools, um ihre Teams zu schulen und ein entsprechendes Bewusstsein zu schaffen. Darum erhöhen sie weder die Testhäufigkeit noch erlernen die Teams neue Techniken oder aktualisieren die Bedrohungsmodelle mit der erforderlichen Frequenz.
Ohne entsprechende Schulungen zur Sensibilisierung für die Gefahren der Attack Resistance Gap werden insbesondere die Entwicklungsteams immer wieder die gleichen Fehler machen und ggf. Schwachstellen reproduzieren. Und das Incident-Response-Team weiß unter Umständen nicht, wie es nach Anzeichen von Schwachstellen oder dem Indiz für einen Angriff suchen soll. Letztlich führt dieser Mangel an Bewusstsein dazu, dass ein Unternehmen verwundbar bleibt.
Klassische Entwicklerschulungen sind in der Regel wenig ansprechend, und die Anwendung neu erlernter Kenntnisse auf eigene Prozesse gestaltet sich mitunter schwierig. Daher bietet es sich auch hier an, auf externe Hilfe zurückzugreifen. Mittels spezialisierter Partner können Unternehmen dafür sorgen, dass die eigenen Teams regelmäßig trainiert und mit den neuesten Methoden vertraut gemacht werden, um die Angriffsfläche bestmöglich zu schützen.
Schwachstellen-Management direkt im Entwicklungsprozess
Neben der Sensibilisierung der Entwicklungs- und Security-Teams gilt es darauf zu achten, dass Schwachstellen unmittelbar im Entwicklungsprozess adressiert werden. Die Entwicklerteams sollten auf die Sicherheitslücken – inklusive der entsprechenden Dokumentation – unmittelbaren Zugriff haben. Nur so lässt sich sicherstellen, dass die Entwickler ihren Code stets aktuell halten und auf diese Weise die Angriffsflächen der Organisation schützen.
Um eine Attack Resistance Gap gar nicht erst entstehen zu lassen, müssen Unternehmen ihre Prozesse kontinuierlich verbessern und ihre Teams fortlaufend schulen. Darüber hinaus sind externe ethische Hacker ein unverzichtbarer Teil einer proaktiven Sicherheitsstrategie, weil nur sie Sicherheitslücken aufdecken, die zuvor in dieser Form noch nicht beobachtet wurden. Sie sind in der Lage problematische Aktiva aufzuspüren und diese auf Schwachstellen hin zu untersuchen. Auf diese Weise sind Unternehmen nicht länger gezwungen zu reagieren, sondern können ihren Schutz aktiv gestalten.
Laurie Mercer, Security Architect bei Hacker One
1 https://www.hackerone.com/attack-resistance-report-2022
Das könnte Sie auch interessieren
Trend Micro gründet Tochter CTOne
Netzwerkschutz für 5G-Umgebungen
DCSO
Mehr Cybersicherheit im Mittelstand
Keeper Security
Erweiterung für den Zero-Trust-Netzwerkzugriff
Back-up und Recovery
Cyberresilienz gegen Ransomware
