Warum sich die Cybersicherheit nie zu verbessern scheint und was Sie dagegen tun können

Warum hat es den Anschein, dass sich die Sicherheitsbranche ständig weiterentwickelt, während sie beim Schutz vor Bedrohungen bestenfalls auf der Stelle tritt oder zurückfällt? Angesichts der massiven und kontinuierlichen Flut an veröffentlichten Bedrohungen, Schwachstellen und Sicherheitsverletzungen scheint es, dass die Dinge schneller schlechter werden als sie besser werden. Es scheint, als wären wir in einer Sicherheitsversion von Groundhog Day oder noch schlimmer, einer verblüffenden Episode von Black Mirror gefangen.

Aber wenn das wahr ist - und ich glaube, das ist es - warum ist das so? Lassen wir die nicht unbedeutende Tatsache beiseite, dass sich die Angreifer ständig weiterentwickeln und immer gezielter und raffinierter vorgehen. Offen gesagt: Solange Sie keine Dienstmarke tragen, können Sie nicht viel tun, um das Angebot, die Risikokalkulation und den Fokus der globalen Cyberkriminellen direkt zu beeinflussen. Als typischer IT- und Sicherheitsexperte ist Ihre Rolle in erster Linie defensiv, nicht offensiv. Aber warum ist die Verteidigung so schwierig? Lassen Sie mich einige der Hauptgründe aufzählen.

Die Technologie, die Daten und die Anwendungen, die wir verteidigen, sind in ständigem Wachstum und Wandel begriffen

Die meisten, oder zumindest viele Unternehmen, sind mit einer ständig wachsenden Anzahl von lokalen und Cloud-basierten Anwendungen und Infrastrukturen übersät. Und viele der lokalen Systeme werden nicht konsequent verwaltet, gepatcht, aktualisiert oder sind nicht einmal bekannt! Und natürlich ist die Cloud sowohl da als auch auf dem Vormarsch, beschleunigt durch den Covid-Ansturm der letzten Monate. Und jetzt kommt noch ein weiterer Zugriffsvektor hinzu: Die Welle internetfähiger und vernetzter IoT-Geräte trifft viele Unternehmen. Viel Glück bei der Abwehr dieser Bedrohung!

Sollten Sie Ihren Benutzer- und Netzwerkverkehr durch Ihr VPN leiten, um die Sicherheit zu gewährleisten und zu überwachen, indem Sie den Datenverkehr durch Ihre Systeme vor Ort leiten? Hoppla, Sie haben Ihre VPN- und Netzwerkkapazität mit der Umstellung auf die Massenarbeit von zu Hause aus aufgebraucht! Und was ist mit Ihren netzfernen - cloudbasierten - Diensten? Stellen Sie Ihre Sicherheitskontrollen ebenfalls auf Cloud-basierte Systeme um! Tolle Idee, aber wie sieht es mit der Kontrolle und Sichtbarkeit dessen aus, was vor Ort oder in diesen Cloud-Sicherheitsdiensten passiert? Sind diese Sicherheitssysteme integriert oder können sie zumindest über eine offene API integriert werden? Wenn nicht, ist der Wechsel zu cloudbasierten Sicherheitskontrollen ein Schritt vorwärts und ein Schritt zurück!

Sicherheitssysteme und -prozesse sind zu manuell

Sicherheitsexperten sind sowohl teuer als auch sehr knapp; sie sind schließlich das, worum es bei der Qualifikationslücke im Sicherheitsbereich geht. In den meisten Branchen, in denen Humanressourcen teuer und knapp sind, ist eine stärkere Automatisierung oft die Reaktion. Jede Funktion, die sich wiederholt und keine besonderen Problemlösungen erfordert, führt logischerweise zur Automatisierung. Eine stärkere Automatisierung wird sicherlich auch in der Sicherheitsbranche Einzug halten - man denke nur an die Zunahme der SOAR-Tools. Aber ich würde die Sicherheitsautomatisierung nicht einmal als im ersten Inning des Fortschritts stehend bezeichnen - eher als kaum im Frühjahrstraining. Ohne wirksame Automatisierung stehen Sicherheitsteams vor der schlechten Wahl zwischen der Einschränkung von Warnungen und Untersuchungen und dem Verpassen von Indikatoren für eine Gefährdung. Kein idealer Kompromiss.

Mitarbeiter, die zum Social Engineering und zur Entdeckung von Geschäftsprozessen durch Cyberkriminelle beitragen

Im Zweiten Weltkrieg wurden Plakate mit der Aufschrift "loose lips sink ships" populär, um auf das Risiko hinzuweisen, das mit der Weitergabe sensibler Informationen über zukünftige Truppen- und Schiffsbewegungen verbunden ist. Gezielte und aufmerksame Gegner können scheinbar zufällige Informationen aneinanderreihen, um sich ein umfassendes Bild von den Systemen, Prozessen und Menschen zu machen, die ein Zielunternehmen ausmachen. Es genügt zu sagen, dass es auf LinkedIn, Twitter, Facebook, Reddit, Instagram und vielen anderen öffentlich zugänglichen Social-Media-Websites viele "lose Lippen" gibt, aus denen man wertvolle Erkenntnisse ziehen kann, und dass es auch viele Insider gibt, mit denen man in Kontakt treten kann. Die Weitergabe von Informationen ist zu breit gefächert und zu weit verbreitet, was es für Sicherheitsexperten exponentiell schwieriger macht, die Weitergabe von Informationen zu kontrollieren, die zum Untergang ihres "Schiffes" beitragen können.

Das offene Internet ist ein ideales Terrain für Domain-Spoofing

Das Internet und das Web wurden so konzipiert, dass sie dezentralisiert sind und von keiner Person oder Organisation kontrolliert werden können - ein offenes Netz mit sehr wenigen Spielregeln. Dafür sollten wir sehr dankbar sein, denn es war für sein dynamisches Wachstum von zentraler Bedeutung. Aber es ist auch klar, dass diese Offenheit direkt zu den Herausforderungen beiträgt, die mit der Sicherung des Handels und der Kommunikation über das Netz verbunden sind. Während niemand weiß, ob Sie ein Hund im Internet sind, ist es ähnlich schwer zu erkennen, ob Sie die Person oder Organisation sind, die Sie vorgeben zu sein. Haben Sie die Erlaubnis, von dieser Domäne aus E-Mails zu versenden? Haben Sie die Lizenz, eine Website einzurichten, die den Anschein erweckt, von einer bestimmten Marke oder Organisation bereitgestellt zu werden? Wer weiß das schon? Der Browser (oder E-Mail-Empfänger) muss sich wirklich in Acht nehmen! Die Sicherung des Internets ist so etwas wie ein Sheriff in einer Stadt mit Milliarden von Menschen und wenig oder gar keinen Gesetzen.

Begrenzter Austausch von Bedrohungsdaten

Ich will mich nicht zu sehr mit Kriegsanalogien aufhalten, aber es macht nur Sinn, dass die Guten - die Verbündeten - Informationen austauschen, um einen gemeinsamen Feind zu besiegen. Aber gibt es einen gemeinsamen Feind? Nicht zu 100 %, aber nahe genug. Tauschen die guten Sicherheitsleute Informationen über Bedrohungen aus? Ja, absolut. In ausreichendem Maße und in einer Weise, die für die meisten Unternehmen sowohl schnell als auch umsetzbar ist? Nicht so sehr.

Wir kommen als Branche langsam voran, aber wir haben noch einen langen Weg vor uns. Im Idealfall würden alle Sicherheitsanbieter, Systeme und Verteidiger von Unternehmen sofort informiert werden, sobald ein Whitehat eine neue Schwachstelle, einen Exploit oder bösartige Domänen, IPs oder Websites entdeckt! Davon sind wir noch weit entfernt, aber es scheint ein Licht am Ende des Tunnels zu sein.

Sicherlich gibt es noch andere Faktoren, die zu den mangelnden Fortschritten im Bereich der Sicherheit auf globaler Ebene beitragen, aber ich hoffe, Sie stimmen mir zu, dass die fünf oben genannten Herausforderungen wichtige Faktoren sind, die angegangen werden müssen. Als Sicherheitsexperten können wir nichts anderes tun, als es morgen besser zu machen.

Glücklicherweise werden all diese Sicherheitsthemen und mehr im Rahmen des Advanced Security Track auf dem kommenden virtuellen Cyber Resilience Summit von Mimecast am 23. Juni & 24 (24 & 25 in Australien & Neuseeland) eingehend diskutiert. Die Teilnahme an dieser Veranstaltung ist kostenlos und erfolgt zu 100 % virtuell. Bitte kommen Sie und nehmen Sie an der Diskussion über diese und andere wichtige Sicherheitsherausforderungen teil.