Verhinderung von Datenverlust durch gemischte Bedrohungen

Gemischte Bedrohungen sind für jeden Cybersicherheitsexperten keine Neuigkeit. Was Sie jedoch überraschen mag, ist der jüngste dramatische Anstieg in der Tiefe und Breite der "Mischungen" - eine starke Zunahme der Raffinesse von gemischten Angriffen. Der gleichzeitige Anstieg der Zahl der gemischten Bedrohungen und ihrer Raffinesse im letzten Jahr stellt eine besonders große Herausforderung für die Bemühungen von Unternehmen dar, den Verlust sensibler Daten zu verhindern.

Der Diebstahl von sensiblen Daten wie Passwörtern, persönlichen Identifikationsdaten, Gesundheitsinformationen, Kreditkartennummern von Kunden und geistigem Eigentum/Geschäftsgeheimnissen ist nur ein mögliches Cyber-Risiko durch gemischte Bedrohungen. Gemischte Bedrohungen können auch zu Ransomware-Angriffen, Denial-of-Service-Angriffen, Kontoübernahmen und verdeckter Überwachung Ihres Unternehmensnetzwerks führen.

Datenverlust ist jedoch aus zwei Gründen eine besonders heikle gemischte Bedrohung, die es zu verhindern gilt. Erstens erfordert die Verhinderung von Datenverlusten durch gemischte Bedrohungen aufgrund ihrer Komplexität eine nahtlose Integration von traditionell unterschiedlichen Sicherheitskontrollen. Zweitens gibt es eine Art gleitende Skala zwischen Sicherheit und Geschäftseffizienz: Ein Zuviel des Ersteren kann das Letztere beeinträchtigen - und das gilt besonders, wenn es um den Schutz vor Datenverlusten geht.

Was sind gemischte Bedrohungen?

Gemischte Bedrohungen sind einfach mehrgleisige Angriffe, die zwei oder mehr verschiedene digitale Kommunikationskanäle nutzen, um das Ziel des Angreifers zu erreichen. Gemischte Bedrohungen sind auf dem Vormarsch, weil sie viel schwieriger zu erkennen sind als konventionelle Angriffe und weil das gestiegene Bewusstsein für Cyber-Bedrohungen im Allgemeinen Cyber-Kriminelle dazu zwingt, ihr Spiel zu verbessern. Gleichzeitig hat die zunehmende "digitale Transformation" aller Aspekte moderner Unternehmen dazu geführt, dass bösartige Akteure mit mehr "Zinken" - also Angriffsvektoren - arbeiten können, und der Aufstieg der sozialen Medien hat ihnen Zugang zu mehr Informationen verschafft, mit denen sie einen realistischen Vorwand für einen Angriff formulieren können.

Gemischte Angriffe können eine Mischung aus Viren, Würmern, Trojanern und anderen Arten von bösartigem Code verwenden. Die gefährlichsten gemischten Bedrohungen beginnen jedoch in der Regel mit der Ausnutzung sozialer Medien, um eine realistische Phishing-E-Mail zu erstellen, die, sobald sie angeklickt wird, Malware installiert oder den Benutzer auf eine Website bringt, in der Hoffnung, Anmeldedaten oder andere wertvolle Informationen zu erhalten.

Im Oktober 2020 entdeckte das Mimecast Threat Intelligence Center einen starken Anstieg der gemischten Angriffe von bis zu 10 Millionen pro Tag, einschließlich eines Anstiegs von 35,6 % bei per E-Mail zugestellter Malware, eines Anstiegs von 55,8 % bei in E-Mails eingebetteten bösartigen URLs und eines Anstiegs von 30,3 % bei Versuchen, sich per E-Mail auszugeben. Angesichts des Trends im Jahr 2020 werden diese Zahlen wahrscheinlich weiter steigen.

Wie man Datenverluste durch gemischte Bedrohungen vermeidet

Fachleute für Cybersicherheit können Datenverluste durch gemischte Bedrohungen verhindern, aber es erfordert detailorientierte harte Arbeit und ständige Wachsamkeit.

"Idealerweise sollte man die eingehenden E-Mails stoppen, die der Ausgangspunkt für praktisch alle gemischten Angriffe sind", erklärt der Sicherheitsexperte Matthew Gardiner. Wenn man solche bösartigen E-Mails identifiziert und blockiert, kann man gemischte Bedrohungen kaltstellen. Die Experten sind sich jedoch einig, dass ein gewisser Prozentsatz bösartiger E-Mails immer wieder durchkommt, egal wie gut die Sicherheitsvorkehrungen für eingehende E-Mails sind, da sich die Bedrohungsakteure ständig weiterentwickeln, neue Angriffsstrategien und -taktiken ausprobieren und ihre Angriffe immer raffinierter werden.

Daher müssen Unternehmen, die den Schutz vor Datenverlusten ernst nehmen, auch die ausgehenden Kommunikationskanäle überwachen. Im Großen und Ganzen gibt es zwei Kanäle, über die Cyberkriminelle Daten aus einem Unternehmen abgreifen können: E-Mail und das Internet - aber "das Internet" besteht aus einer Vielzahl möglicher Kanäle. Dazu gehören Phishing-Seiten, die sich als seriöse Unternehmen ausgeben, Uploads auf externe File-Sharing-Seiten (böswillige Akteure versuchen, dieselbe Seite zu verwenden, die ein Unternehmen rechtmäßig nutzt), Uploads und Posts in sozialen Medien, FTP-Seiten und vieles mehr. Die Überwachung all dieser ausgehenden Kanäle ist eine große Herausforderung, aber machbar.

E-Mail-Sicherheitssysteme können beispielsweise ausgehende Inhalte auf sensible Daten untersuchen und verdächtig erscheinende E-Mails blockieren. Ausgehender Webverkehr kann auf ähnliche Weise untersucht werden, und zwar auf eine oder beide Arten: den Inhalt der ausgehenden Daten selbst oder die Art des Ziels. Es ist einfacher zu analysieren, ob das externe Ziel für ausgehende Kommunikation verdächtig/schädlich ist, aber es ist weniger sicher, dass Sie alle Exfiltrationsversuche abfangen. Die Analyse des tatsächlichen Inhalts des Netzwerkverkehrs ist sehr viel ressourcenintensiver, fängt aber mehr Bedrohungen ab.

Um den Goldstandard bei der Vermeidung von Datenverlusten zu erreichen, müssen Unternehmen alle oben genannten Maßnahmen ergreifen: Installieren Sie leistungsfähige E-Mail-Sicherheits-Gateways, prüfen Sie den Inhalt ausgehender E-Mails, analysieren Sie die Zielorte für den gesamten ausgehenden Web-Datenverkehr, und prüfen Sie den Inhalt des ausgehenden Datenverkehrs in allen Kanälen. Experten bezeichnen diesen Ansatz als "mehrschichtige Verteidigung" oder "Defense-in-Depth".

Integrierte Bedrohungsabwehr erfordert integrierte Sicherheitskontrollen

Eine weitere Herausforderung für Cybersecurity-Fachleute ist die Geschichte der Sicherheitstechnologie. "Um all diese gemischten Bedrohungsvektoren abzuwehren, war traditionell eine spezielle Technologie für jeden einzelnen erforderlich", erklärt Gardiner. "Und dann muss man sie alle so integrieren, dass man in den meisten Fällen korrekt benachrichtigt wird, wenn etwas Komisches passiert.

Doch die Integration mehrerer erstklassiger Sicherheitskontrollen gehört nach wie vor zu den größten Herausforderungen für Cybersicherheitsteams. Erst in den letzten Jahren sind offene APIs für die Integration unterschiedlicher SIEMs, SOARs und individueller Sicherheitskontrollen entstanden. Und nur die größten Unternehmen nutzen diese offenen APIs in der Regel selbst; der Rest benötigt vom Hersteller bereitgestellte Standardintegrationen, die erst jetzt auf breiter Basis verfügbar werden. Mimecast zum Beispiel hat vor kurzem die Integration von mit dem Endpoint-Security-Unternehmen CrowdStrike angekündigt. Die Herstellung einer ausreichenden Anzahl von Standardintegrationen, um die Cybersicherheitslandschaft abzudecken, ist eine große und nie endende Aufgabe, da die Anbieter von Sicherheitskontrollen bestrebt sind, sich genauso schnell weiterzuentwickeln wie ihre Feinde, die Bedrohungen auslösen.

"Ohne eine wirklich gute Integration zwischen all Ihren Sicherheitsdiensten können Sie diese hybriden oder gemischten Angriffe übersehen. Wenn gemischte Bedrohungsakteure Ihre Daten über viele Kanäle verfolgen, können Sie sie vielleicht in einem oder mehreren Kanälen aufhalten, aber wenn Ihre Sicherheitskontrollen nicht gut integriert sind, können Sie sie in einem anderen Kanal übersehen", sagt Gardiner. "Alles, was sie tun müssen, ist, durch einen zu kommen."

Cloud-Sicherheit kann die Abwehr von gemischten Bedrohungen verbessern

Der Trend zur Cloud-basierten Sicherheit bringt gute Nachrichten für die Verhinderung von Datenverlusten durch gemischte Bedrohungen, insbesondere im Hinblick auf die Sicherheitsintegration. Die Entwicklung von Sicherheitskontrollen in der Cloud, die zunehmende Anzahl von Kontrollen innerhalb eines einzelnen Cloud-Dienstes, die Integration dieser Sicherheitskontrollen innerhalb eines bestimmten Cloud-Dienstes und die Integration unterschiedlicher Cloud-Dienste untereinander machen ausgefeilte Erkennungs- und Präventionssysteme für immer mehr Unternehmen verfügbar.

"Da immer mehr Sicherheitskontrollen als Service angeboten werden, entstehen immer mehr Mini-Cloud-Sicherheitsplattformen. Wenn Sie noch nicht in der Lage sind, sollten Sie bald in der Lage sein, eine Art Tiefenverteidigung von einem einzigen Cloud-Sicherheitsdienst zu kaufen", sagt Gardiner.

Dieser Trend zur Cloud-Sicherheit wird durch zwei große Vorteile von Cloud-Anbietern gegenüber Unternehmen, die es selbst machen, angetrieben: Größenvorteile und Verbundvorteile. Der erste ist der bekannte Cloud-Spruch, dass jeder Cloud-Service kostengünstiger sein sollte als der Eigenbau, weil der Cloud-Anbieter seine Lösung einmal entwirft und erstellt und dann seine Investition über viele Kunden amortisieren kann. Die Verbundvorteile kommen daher, dass die Sicherheit das Kerngeschäft der Cloud-Sicherheitsanbieter ist. Das bedeutet, dass sie Investitionen in die Grundlagenforschung und -entwicklung, die zu besseren Sicherheitslösungen führen, rechtfertigen können, während ein Unternehmen mit einem anderen Kerngeschäft, das seine eigene Sicherheit betreibt, dies nicht kann.

Das Gleichgewicht zwischen Sicherheit und Geschäftstüchtigkeit

Um die Datenexfiltration durch gemischte Angriffe tatsächlich zu verhindern, müssen Cybersicherheitsteams natürlich eingreifen, wenn Sicherheitskontrollen eine verdächtige Datenübertragung erkennen. Das bedeutet, sich einzumischen und die Übertragung zu stoppen. Dabei stößt man auf einen ständigen Dorn im Auge der Cybersecurity-Teams: Falschmeldungen.

Wenn Sie zu strenge Sicherheitsanforderungen stellen, werden Sie wahrscheinlich die Geschäftstätigkeit Ihres Unternehmens behindern. Werden sie zu locker gehandhabt, kann es zu gefährlichen Datenverlusten kommen. Um das richtige Gleichgewicht zu finden, müssen Sie die Bedrohungslage und die Risikotoleranz Ihres Unternehmens genau kennen, die je nach Branche und Regulierung sehr unterschiedlich sind. Unternehmen des Gesundheitswesens und Banken müssen einen anderen Standard erfüllen als Restaurantketten und Spirituosengeschäfte.

Die Quintessenz

Gemischte Bedrohungen sind auf dem Vormarsch, und sie sind immer ausgefeilter. Diese Angriffe sind besonders schwierig abzuwehren, da sie viele verschiedene Bedrohungsvektoren nutzen können, um in Ihr Unternehmensnetzwerk einzudringen. Und wenn es um die Verhinderung von Datenverlusten geht, können sie viele verschiedene Kanäle nutzen, um Daten nach draußen zu bringen - manchmal sogar gleichzeitig. Ein wirksamer Schutz vor gemischten Bedrohungen erfordert viele verschiedene Sicherheitskontrollen, die alle gut integriert sein müssen. Das Aufkommen von Cloud-Sicherheitsanbietern hilft mehr Unternehmen, sich gegen gemischte Bedrohungen zu verteidigen, indem sie den Zugang zu den erforderlichen komplexeren - und besser integrierten - Schutzmaßnahmen demokratisieren.