[datensicherheit.de, 14.07.2019] Virtualisierte, von Cloud-Service-Providern (CSPs) unterstützte Cloud-Umgebungen stellen laut Vectra „Herausforderungen an die Erkennung des Verhaltens von Cyber-Angreifern dar“. In der Cloud würden bei einem starken Anstieg oder Rückgang der Nachfrage virtuelle Maschinen kurzerhand hinzugefügt oder entfernt. „Herkömmliche Erkennungsmethoden in physischen Umgebungen, die Protokolle, Netzwerk- und Endpunktdaten beinhalten, lassen sich nicht an diese dynamischen Umgebungen anpassen.“

Bild: Vectra

Gérard Bauer: Wichtigste Sicherheitsbedrohungen der Cloud kennen und Lebenszyklus von Angriffen in der Cloud verstehen!

Schutz der Daten: Konsequente Zugangsrestriktionen empfohlen

Unternehmen haben demnach keinen Zugriff auf jede Schicht im Cloud-Computing-Stack. Damit stehe auch keine zuverlässige Sichtbarkeit bei der Überwachung der Umgebung auf Angreiferverhalten zur Verfügung. Eine weitere Herausforderung in der Cloud sei, dass „Assets“ und Anwendungen zwischen Systemen mit unterschiedlichem Sicherheitsüberwachungsgrad wechselten.
„Das größte Problem bei der Cloud-Nutzung ist es jedoch, sicherzustellen, dass nur die richtigen Personen Zugriff auf die in Cloud-Workloads gespeicherten Daten haben. Innerhalb der Grenzen des lokalen Unternehmensnetzwerks sind fehlerhaft konfigurierte Systeme und Anwendungen nicht so anfällig für Kompromittierungen“, erläutert Gérard Bauer, „VP EMEA“ bei Vectra. Es gebe interne Kontrollen, welche den externen Zugriff einschränkten.
In der Cloud hingegen bedeute eine einfache Fehlkonfiguration oder Offenlegung des Systemzugriffs, „dass es keine Abwehrmaßnahmen gibt, die jemanden daran hindern, auf alles, was offenliegt, zuzugreifen“. Das Potenzial für eine Fehlkonfiguration des Zugriffs auf Cloud-Workloads sei überaus real, wie unter anderem die Datenschutzverletzung bei Uber zuletzt gezeigt habe.

Überaus reale Bedrohungsszenarien..

„Eine noch interessantere Analyse, wie Angriffe die Dynamik der Bedrohungserkennung verändern, liefern die laufenden Angriffe der ,APT10-Gruppe‘ auf Cloud-Infrastrukturen. Hierbei war bereits eine Reihe von Sicherheitsverletzungen zu verzeichnen, die als Operation ,Cloud Hopper‘ bezeichnet werden.“
Beim „Cloud-Hopper“-Angriff sei die Methode des anfänglichen Eindringens Cloud-spezifisch gewesen, aber innerhalb dieser Cloud-Umgebungen hätten die Angreifer das gleiche Verhalten wie in der privaten Cloud und in physischen Rechenzentren gezeigt.
Alle Angriffe hätten einen Lebenszyklus – von der Erstinfektion bis zur Datenexfiltration. Die Verhinderung einer Kompromittierung werde immer schwieriger, aber das Erkennen des auftretenden Verhaltens – von Command-and-Control-Aktivitäten über Auskundschaftung bis hin zur Datenexfiltration – sei es nicht. Bauer: „Gerade, wenn ein Angriff in Stunden statt in Tagen durchgeführt wird, ist die zum Erkennen erforderliche Zeit von entscheidender Bedeutung.“

Angreiferverhalten: Einblick gewinnen

„Wie aber können Unternehmen Einblick in das Verhalten von Angreifern in Cloud-Umgebungen gewinnen? Und wo beginnt und endet das Modell der gemeinsamen Verantwortung zwischen CSPs und Cloud-Nutzern?“
Führende CSPs entwickelten ihre Funktionen für Authentifizierung, Kontrolle und Transparenz weiter. Sie hätten auch damit begonnen, eine bessere Integration für Drittanbieter von Sicherheitslösungen zu implementieren, um die Cloud-Sicherheitsfunktionen zu verbessern.
So habe Microsoft beispielsweise den „Virtual Network Tap“ in „Azure“ eingeführt, um die Überwachung des gesamten Netzwerkverkehrs zwischen Cloud-Workloads zu ermöglichen. Vectra nutzt nach eigenen Angaben den „Azure Virtual Network Tap“, um Modelle des Maschinellen Lernens auf den Cloud-Verkehr anzuwenden und unerwünschte Änderungen im Systemverkehr zu identifizieren, die auf einen laufenden Angriff hinweisen würden.
„Lösungen wie diese helfen Unternehmen, durch sicherheitstechnisch unbekanntes Terrain zu navigieren. Entscheidend ist es hierbei, die wichtigsten Sicherheitsbedrohungen der Cloud zu kennen und den Lebenszyklus von Angriffen in der Cloud zu verstehen“, fasst Bauer zusammen. Zudem müssten effiziente und effektive Maßnahmen für die Erkennung und Reaktion auf Sicherheitsvorfälle in Cloud-Umgebungen vorhanden sein.

Weitere Informationen zum Thema:

datensicherheit.de, 11.07.2019
McAfee-Report zeigt Schwachstellen in Cloud-Infrastrukturen auf

datensicherheit.de, 28.06.2019
Trotz hoher Risiken: Unternehmen vertrauen auf die Sicherheit der Cloud-Provider

datensicherheit.de, 23.06.2019
Google Cloud-Ausfälle zeigen Schwachstellen bei wichtigen Anbietern auf

datensicherheit.de, 20.02.2019
Check Point Security Report 2019: Cloud und Mobile Deployments schwächste Verbindungen in Unternehmensnetzwerken

[datensicherheit.de, 18.03.2019] Die Pläne der US-Regierung zur Verbesserung der IoT-Sicherheit mittels des „Internet of Things Cybersecurity Improvement Act of 2019“ stoßen in Europa auf Interesse. „Nicht zuletzt durch Themen wie 5G und Industrie 4.0 bzw. IIoT steht die Sicherheit im Internet der Dinge auch hier hoch auf der Agenda“, kommentiert Gérard Bauer, „VP EMEA“ bei Vectra.

Sicherheitsrahmenwerk zur Bewertung potenzieller IoT-Anbieter

„Der Gesetzentwurf, der sich mit den Sicherheitsrisiken in Zusammenhang mit IoT-Risiken befasst, ist als positiver Schritt der US-Regierung zu werten“, so Bauer. Das angesehene National Institute of Standards and Technology (NIST) habe den Auftrag erhalten, ein Sicherheitsrahmenwerk zu definieren, anhand dessen potenzielle IoT-Anbieter für die US-Regierung bewertet werden könnten.
Es sei davon auszugehen, dass sich derartige staatlichen Rahmenwerke oder Standards, „wenn sie gut formuliert sind, mit der Zeit auf breiter Ebene durchsetzen werden“. Gleiches sei mit dem bestehenden NIST-Framework zur Verbesserung der Cyber-Sicherheit für Kritische Infrastrukturen (KRITIS) gelungen.

Kein Gerät oder Unternehmen tatsächlich unverletzlich

Der Fokus auf die Verbesserung der IoT-Sicherheit werde dazu beitragen, Risiken zu reduzieren. „Dennoch ist kein Gerät oder kein Unternehmen tatsächlich unverletzlich“, betont Bauer.
Verbesserte defensive Kontrollen müssten mit der Fähigkeit kombiniert werden, Angreifer zu erkennen und darauf zu reagieren. Diese Angreifer würden weiterhin versuchen, IoT-Geräte als Brückenköpfe innerhalb von Unternehmen zu nutzen, um Angriffe zu orchestrieren und Daten zu exfiltrieren.

Vermeidung design- und fertigungsbedingter IoT-Cyber-Sicherheitsrisiken

„Viele Erkennungs- und Reaktionstools erfordern Endpunkt-Software-Clients. Für die Überwachung und Erkennung versteckter Angreifer, die heimlich IoT-Geräte kapern, bietet sich jedoch das geräteunabhängige Netzwerk an“, berichtet Bauer. Die Verabschiedung eines solchen Gesetzes sei definitiv ein Schritt nach vorne, um design- und fertigungsbedingte IoT-Cyber-Sicherheitsrisiken zu vermeiden.
Bauer ergänzt abschließend: „Seitens der Eigentümer und Betreiber der IoT-Umgebungen ist jedoch zusätzliches Engagement erforderlich. Dies betrifft die Verwaltung, den Betrieb und die Überwachung von IoT-Geräten als umfassendes Maßnahmenpaket für effektive IoT-Sicherheit.“

Bild: Vectra

Gérard Bauer, „VP EMEA“ bei Vectra: Seitens der Eigentümer und Betreiber der IoT-Umgebungen zusätzliches Engagement erforderlich!

Weitere Informationen zum Thema:

SCRIBD
Internet of Things (IoT) Cybersecurity Improvement Act of 2019

datensicherheit.de, 25.02.2019
Vectra: Cyberkriminelle setzen vermehrt auf Formjacking

datensicherheit.de, 18.10.2018
(ISC)²: Globaler Mangel an 3 Millionen Experten für Cybersicherheit

[datensicherheit.de, 16.06.2018] Auch wenn offizielle Statistiken in Deutschland akut keinen flächendeckenden Fachkräftemangel bestätigen könnten, so offenbarten doch diverses Branchen nachweislich ein großes Defizit an Experten: Nach Erkenntnissen des Instituts der deutschen Wirtschaft (IW) fehlen aktuell fast 315.000 Arbeitskräfte in den sogenannten MINT-Berufen (Mathematik, Informatik, Naturwissenschaften und Technik): Im aktuellen „MINT-Frühjahrsreport“ berichten BDA, BDI und Gesamtmetall demnach, dass der Mangel 2017 um 13 Prozent zugenommen hat. Gesucht würden demnach vor allem IT-Kräfte. Da diese Lücke in absehbarer Zeit durch Hoch- und Berufsschulen nicht geschlossen werden könne, empfiehlt Vectra nach eigener Aussage „die verstärkte Nutzung von Systemen künstlicher Intelligenz, welche die vorhandenen Fachkräfte bei ihrer Arbeit unterstützen und entlasten“.

KI als Lösungsansatz für zentrale Probleme der digitalisierten Wirtschaft

„Der Mangel an IT-Experten ist heute schon offenkundig und wird mittelfristig noch dramatischer. Die in fünf Jahren erwartete Lücke von 350.000 Fachleuten für IT-Sicherheit in Europa ist ein weiterer Beleg“, betont Gérard Bauer, „Vice President EMEA“ bei Vectra. „Neue Wege und ein Umdenken“ seien deshalb das Gebot der Stunde.
Mit wachsenden Datenströmen wachse ebenso die Zahl der verdächtigen Vorgänge in den Netzwerken der Unternehmen, die kontrolliert werden müssten. Auch wenn in Öffentlichkeit die Skepsis gegenüber Künstlicher Intelligenz (KI) noch groß sei, so liege darin der Schlüssel für die „Lösung eines der zentralen Probleme unserer zunehmend digitalisierten Wirtschaft“.

Automatisiertes Bedrohungsmanagement erforderlich!

Automatisiertes Bedrohungsmanagement, das auf maschinellem Lernen, KI und „Data Science“ basiere, sei in der Lage, permanent die Vorgänge im Netzwerk zu überwachen. Es könne zudem Realzeitanalysen durchführen und darauf aufbauend die etwaigen Risiken laufender Cyber-Attacken bewerten sowie diese nach ihrer Gefährlichkeit priorisieren.
Bauer: „Da dieser automatisierte Prozess pausenlos läuft, erhalten die IT-Sicherheitsexperten im Ernstfall unverzüglich Meldung über eine Bedrohung, können ihre Kapazitäten bündeln und sich auf die konkrete Bekämpfung der entdeckten Gefahren konzentrieren anstatt ihre Zeit mit dem Monitoren des Netzwerkes zu verschwenden.“

IT-Sicherheit eng mit Personalfragen verknüpft

Auch die Datenschutz-Grundverordnung (EU-DSGVO) und die EU-weite NIS-Direktive (Directive on Security of Network and Information Systems) erhöhten den Druck auf die Unternehmen. Beide Regelungen verlangten eine massive Verbesserung der Qualität der IT-Sicherheit. Vielerorts sei diese noch sehr eng mit Personalfragen verbunden.
„Wir sind weit davon entfernt IT-Sicherheitsfachleute durch Künstliche Intelligenz zu ersetzen. Die finale Entscheidung, wie gegen einen Angriff vorgegangen wird, wird auch zukünftig beim Menschen liegen. Ohne Unterstützung durch Künstliche Intelligenz aber werden die Experten, von denen es schon heute zu wenige gibt, zunehmend überfordert sein“, erläutert Bauer. Man müsse deshalb Antworten auf die Fragen liefern, wie der Mensch durch die Maschine am besten entlastet wird und wie man den Fachkräftemangel im IT-Bereich reduzieren kann.

Weitere Informationen zum Thema:

iwd, 14.05.2018
MINT-Frühjahrsreport 2018: MINT-Lücke auf Rekordhoch

[datensicherheit.de, 01.03.2018] Auch wenn noch nicht klar sei, wer die Angreifer sind, so scheine sich schon jetzt herauszukristallisieren, dass die Hacker lange Zeit in den Netzwerken spioniert haben – und möglicherweise der Angriff noch gar nicht beendet ist. Der jüngste Vorfall zeige, dass selbst bei sehr gut gesicherten Netzen eine fortwährende interne Überwachung des Datenverkehrs unerlässlich sei, betont Gérard Bauer, „VP EMEA“ bei Vectra.

Im Durchschnitt 99 Tage, um versteckten Angreifer auszuspüren

Bauer: „Die Grenzen zwischen Cyber-Attacken durch Nationalstaaten und unabhängige Hacker verschwimmen zunehmend. Generell operieren die Angreifer viel zu lange versteckt, bevor sie entdeckt werden.“
Im Durchschnitt dauere es 99 Tage, um einen versteckten Angreifer im Netzwerk auszuspüren (laut „M-Trends 2017 Report“), aber nur 72 Stunden für den Angreifer, um Administratorzugriff auf die Domain-Controller zu erhalten – und damit die „Schlüssel zum Königreich“.

Keine perfekte Verteidigung

Kein Unternehmen, egal wie gut finanziell gerüstet, erfahren oder mit Ressourcen ausgestattet, könne eine perfekte Verteidigung haben. Man müsse daher zu einer „Wird sind bereits kompromittiert“-Mentalität übergehen.
Es gelte jetzt, alle verfügbaren Fähigkeiten – in Form von Menschen, Prozessen und Technologien – einzusetzen, um Cyber-Angriffe schnell zu erkennen, zu verstehen und zu neutralisieren. „Dies muss geschehen, bevor sich entsprechende Aktivitäten zu schwerwiegenden Vorfällen entwickeln, die sich auf die angegriffenen Unternehmen und ihre Stakeholder auswirken“, betont Bauer.

Künstliche Intelligenz und Fachkräfte für Cyber-Sicherheit gefragt

Menschen allein könnten nicht mit der erforderlichen Geschwindigkeit und im notwendigen Umfang agieren, um fortschrittliche Angreifer in allen Netzwerken in Echtzeit zu überwachen und zu erkennen.
Automatisierung sei daher die logische Antwort auf solch ein Szenario. Soll die Erkennung der sehr leisen und schwachen Signale von versteckten Angreifern automatisiert werden, sei das eine sehr komplexe Aufgabenstellung.
Der Einsatz von Künstlicher Intelligenz in der Cyber-Sicherheit, erweitere die Fähigkeiten spezialisierter Fachkräfte drastisch. Diese könnten nun Verhaltensweisen von Angreifern und Insidern besser und schneller erkennen. „Diese Aktivitäten können dann priorisiert und mit kontextbezogenen Informationen versehen werden, damit Sicherheitsexperten schnell auf die kritischsten Bedrohungen reagieren können“, so Bauer.

Weitere Informationen  zum Thema:

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 17.10.2017] Das illegale Abfangen von Daten im WLAN sei seit langer Zeit ein Thema, das nun durch die Sicherheitslücke „Krack“ neue Brisanz erhalte. Experten der Universität Leuven hätten entdeckt, dass das weit verbreitete WPA2-Sicherheitsprotokoll, welches bei WLAN-Geräten wie Routern, Tablets oder auch Videokameras zum Einsatz kommt, von Hackern zum Ausspionieren von Datenverkehr missbraucht werden könnte. Hierzu hat Gérard Bauer, „VP EMEA“ bei Vectra, eine Stellungnahme abgegeben:

Netzwerk-Parimeter: anfällig und durchlässig

„Die aktuellen Meldungen zur WiFi-Schwachstelle ,Krack‘ ist nur ein weiteres Beispiel dafür, wie anfällig und durchlässig der Netzwerk-Parimeter geworden ist. Es wird zunehmend schwer, die Grenzen des Netzwerks zu schützen und schädliche Malware frühzeitig zu blocken. Was wir bis dato für sichere Kommunikation gehalten haben, ist leider nicht so sicher wie gedacht. Außerdem sorgen Schwächen am Perimeter dafür, dass sich Malware im Netzwerk einnisten und von dort aus noch weitaus größere Schäden anrichten kann, wenn sie lange Zeit unentdeckt bleibt“, sagt Bauer.

Entdeckte Schwachstelle fester Bestandteil des WPA2-Standards

Die jetzt entdeckte Schwachstelle sei ein fester Bestandteil des WPA2-Standards. Es könnte daher eine ganze Weile dauern, bis dieser dauerhaft und verlässlich geschlossen wird, denn dazu müsse der Standard überarbeitet und dann von den Geräteherstellern auf ihren WiFi-fähigen Geräten implementiert werden. Bis dahin aber seien WPA2-WiFi-Verbindungen gefährdet, denn sie könnten vor Eindringlingen nicht so gut schützen wie ursprünglich gedacht.

Einsatz Künstlicher Intelligenz als zusätzliche Schutzfunktion!

Unternehmen müssten unbedingt die Sichtbarkeit innerhalb ihrer Netzwerke deutlich erhöhen und die Erkennung von Eindringlingen automatisieren, rät Bauer.
Auch die Analyse und die Reaktion auf verdächtige Vorgänge sollten überwiegend automatisiert erfolgen, damit menschliche Experten genügend Zeit und Informationen haben, „um dann angemessen auf die kritischsten Entdeckungen zu reagieren“.
Hierzu biete sich der Einsatz Künstlicher Intelligenz als zusätzliche Schutzfunktion an: Nur eine darauf basierende Technologie sei in der Lage, verdächtiges Verhalten im gesamten Netzwerk jederzeit und lückenlos zu erkennen und zu melden.
Bauer: „Die Genauigkeit der Bedrohungserkennung steigt durch maschinelle Lernen erheblich und die Reaktionszeiten sinken deutlich. Dadurch können Attacken noch gestoppt werden bevor sie großen Schaden anrichten, denn Eindringlinge bleiben im Netzwerk nicht lange unbeobachtet.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.10.2017
Mehrschichtige Sicherheit reduziert Auswirkung der WPA2-Schwachstelle

[datensicherheit.de, 26.07.2017] Die italienische Großbank UniCredit wurde laut Medienberichten Opfer eines Hacker-Angriffs. Cyber-Kriminelle erhielten demnach über einen Dienstleister Zugang zu Daten im Zusammenhang mit Krediten. Circa 400.000 Kunden könnten betroffen sein – möglicherweise wurden persönliche Angaben sowie Kontonummern gestohlen. Nach Meinung von Vectra Networks zeigt der erneut erfolgreiche Datendiebstahl, dass Organisationen wie eine Großbank ihre Daten überaus aufmerksam schützen müssen, wenn sie externen Dienstleistern Zugriffsrechte einräumen – ab 2018, wenn die EU-DSGVO in Kraft tritt, drohen Unternehmen äußerst hohe Geldbußen bei solchen Vorfällen.

Verantwortung für Datensicherheit bleibt stets beim Unternehmen

„Der Hacker-Angriff auf die UniCredit Bank verdeutlicht einmal mehr, dass Unternehmen sehr vorsichtig sein müssen, wenn sie Externen Zugriff auf sensible Kundendaten ermöglichen. Dies gilt vor allem, wenn Außenstehende mit wichtigen Aufgaben der Wertschöpfungskette betraut werden“, erläutert Gérard Bauer, „VP EMEA“ bei Vectra Networks.
Um Kosten zu reduzieren, setzen viele Unternehmen vermehrt auf Outsourcing und übertragen wichtige Funktionen an externe Dienstleister und Vertragspartner. Aber dennoch hätten diese Unternehmen auch dann weiterhin die Verantwortung, den Schutz persönlicher Daten zu gewährleisten – egal ob diese Daten intern oder extern verarbeitet bzw. bearbeitet werden. Datenmanagement und Sicherheitsrichtlinien seien unverzichtbar, um in der Lage zu sein, den Zugang Dritter zu sensiblen Daten zu kontrollieren, zu verwalten und auszuwerten.

Automatisierte Überwachung und Auswertung des Datenverkehrs im Netzwerk!

Da UniCredit nun schon zwei Mal in zehn Monaten erfolgreich angegriffen worden sei, sollte die Bank ihre internen Sicherheitsvorkehrungen als auch die ihrer Lieferkette sehr genau unter die Lupe nehmen. Das Unternehmen müsse Maßnahmen treffen, um die neuen Arten von Bedrohungen zu verstehen und diesen wirksam zu begegnen.
Es sei heute unverzichtbar, die Arbeit der Sicherheitsbeauftragten, verborgene Bedrohungen aufspüren und den Datenverkehr im Netzwerk überwachen müssen, mit einem hohen Maß an Automatisierung zu unterstützen. So könnten Informationen und Identitäten von Kunden geschützt werden – was schließlich auch für die wirtschaftlichen Interessen des Unternehmens unverzichtbar sei.
Eine solche automatisierte Überwachung und Auswertung des Datenverkehrs im Netzwerk könne durch Künstliche Intelligenz (KI) bestmöglich realisiert werden. So sei es dann auch möglich, schnell und präzise gefährliche Vorgänge zu enttarnen und zu reagieren.
Außerdem sollte den Unternehmen klar sein, dass nach Inkrafttreten der EU-DSGVO im Mai 2018 „drastische Geldstrafen bei derartigen Verfehlungen“ drohten, die sich keine Organisation leisten könne. Zu guter Letzt sei es auch im Interesse eines jeden Unternehmens, das Vertrauen seiner Kunden wiederherzustellen und zu stärken, bevor der Ruf dauerhaft beschädigt wird.

Weitere Informationen zum Thema:

datensicherheit.de, 17.07.2017
Automatisierte IT-Standardprozesse: Freisetzung von IT-Ressourcen statt IT-Mitarbeitern

[datensicherheit.de, 17.07.2017] Einer aktuellen Studie von Techconsult zufolge befürchten zahlreiche Mitarbeiter den Abbau von Stellen, wenn IT-Standardprozesse automatisiert werden. Dieser These möchte Vectra Networks entschieden entgegentreten. Automatisierung sei vielmehr „unverzichtbares Element eines wirtschaftlichen und zugleich sicheren IT-Betriebs“.

Fachkräftemangel bedeutender als möglicher Stellenabbau

Die Studie von Techconsult nimmt demnach die Automatisierung von Standardprozessen im „Client Management“ unter die Lupe und kommt zu dem Schluss, dass durch den Einsatz einer automatisierten Lösung für „Client Management“ der Zeitbedarf um zehn bis 40 Prozent sinken könnte.
Trotz des chronischen Personalmangels in vielen IT-Abteilungen gibt es laut dieser Untersuchung Befürchtungen, dass die Automatisierung dazu führt, dass Stellen abgebaut werden.
Gérard Bauer, „VP EMEA“ bei Vectra Networks, kann diese Befürchtung nicht teilen – „ganz im Gegenteil“: Aufgrund des zu erwartenden Fachkräftemangels, beispielsweise im Bereich der IT-Sicherheit, hält er eine zunehmende Automatisierung mit Hilfe Künstlicher Intelligenz für unverzichtbar, damit die IT-Abteilungen ihre Aufgaben noch gerecht werden können.
„Der Mangel an IT-Sicherheitsexperten wird noch dramatischer“, warnt Bauer. Bis zum Jahr 2022 werde das Defizit auf 350.000 ansteigen, so die aktuelle „Global-Information-Security-Workforce-Study“. Noch mehr steige jetzt schon die Zahl der verdächtigen und gefährlichen Vorgänge in den Netzwerken der Unternehmen.

IT-Security-Teams sollen ihre Kapazitäten bündeln!

Bauers Meinung nach ist automatisiertes Bedrohungsmanagement „die einzige plausible Antwort auf diese Herausforderungen“. Dieses ermögliche Echtzeitanalyse sowie die maschinell unterstützte Bewertung und Priorisierung von Cyber-Attacken. So erhielten die IT-Sicherheitsteams umgehend Meldung über eine Bedrohung, könnten ihre Kapazitäten bündeln und sich auf die konkrete Bekämpfung dieser konzentrieren.
Die IT-Security-Teams, die auch in Zukunft noch weiterhin sehr gefragt sein würden, könnten sich somit auf jene Aufgaben fokussieren, die ihre Kompetenzen erfordern. Die Standard- und Massenaufgaben würden an die Künstliche Intelligenz ausgelagert.
Bauer: „Wir sind also weit davon entfernt, IT-Sicherheitsfachleute durch Automatisierung zu ersetzen beziehungsweise Stellen abzubauen. Ohne Unterstützung durch Künstliche Intelligenz aber werden die verfügbaren Experten zunehmend überfordert sein.“ Die Automatisierung setze Ressourcen frei, aber nicht die Mitarbeiter, denn diese würden mehr denn je gebraucht – und den Skeptikern, die eine Übernahme der Kontrolle der IT-Sicherheit durch Maschinen befürchteten, sei gesagt: „Die finale Entscheidung, wie gegen einen Angriff vorgegangen wird, wird auch zukünftig beim Menschen liegen“, betont Bauer.

Weitere Informationen zum Thema:

FRROST & SULLIVAN / (ISC)²
2017 Global Information Security Workforce Study / Benchmarking Workforce Capacity and Response to Cyber Risk

datensicherheit.de, 21.05.2017
Insiderangriff auf Zomato: 17 Millionen Nutzerdaten gestohlen

datensicherheit.de, 13.07.2016
Sicherheitslücke in Windows ermöglicht Malware-Ausbreitung via Netzwerkdrucker

[datensicherheit.de, 28.06.2017] Am 27. Juni 2017 wurden binnen weniger Stunden erfolgreiche Cyber-Attacken mit der Erpressersoftware „Petya“ von zahlreichen Unternehmen in mehreren Ländern gemeldet. Obwohl „Petya“ offenbar auf einem Ansatz basiert, den unlängst Cyber-Kriminelle bei der Kampagne „WannaCry“ gesetzt haben, verpassten es offensichtlich sehr viele Organisationen, die notwendigen Vorkehrungen zu treffen. Gérard Bauer, „VP EMEA“ bei Vectra Networks, nimmt Stellung zur aktuellen Ransomware-Attacke und weist auf die Problematik konventioneller Sicherheitslösungen sowie ungepatchter Systeme hin.

Besonders heimtückischer Angriff

Bauer: „Jeder Sicherheitsanbieter, der behauptet er könne ein Unternehmen garantiert vor solch einer Art von Attacke vollständige schützen, ist nicht ehrlich. Der Punkt ist: Der Angreifer muss nur ein einziges Mal an einer Stelle erfolgreich ins Netzwerk eindringen, und schon ist es geschehen. Die angreifbare Oberfläche ist in vielen Organisationen zu groß um perfekt geschützt zu werden. Bei der aktuellen Ransomware, die sich wie ein Wurm verhält und verbreitet, nutzen die Angreifer einen Pyramiden—Ansatz. Sie verschlüsseln die Boot-Sektion der Rechner, und eben nicht nur die Dateien. Dies macht den Angriff besonders heimtückisch.“
Sobald die Betroffenen merken, dass ihr System infiziert ist, sei davon auszugehen, dass bereits mehrerer Dutzend Systeme im gleichen Netzwerk auch schon infiziert sind. So entstehe eine „Hase und Igel“-Spiel in Lichtgeschwindigkeit.

Herausforderung für die IT-Sicherheitsbranche

Der US-Geheimdienst NSA habe dieses Werkzeug extra dafür entwickelt, um die konventionelle Sicherheitssysteme zu umgehen, die in vielen Organisationen noch immer eingesetzt werden. Diese Attacke sei somit auch eine Herausforderung für die IT-Sicherheitsbranche, um gegen solche Angriffe in Zukunft gerüstet zu sein um auch ungepatchte Systeme zu schützen.
Ähnliche Malware – wie „WannaCry“ und „Conficker“ – bei vorhergehenden Angriffen habe sich wie ein Wurm verbreitet und sei von Sicherheits-Systemen auf Basis Künstlicher Intelligenz frühzeitig in den ersten Phasen der Attacken erkannt und gestoppt worden.
„Wir gingen davon aus, dass die große Aufmerksamkeit für ,WannaCry‘ dafür gesorgt hat, dass sich Unternehmen und andere Organisationen besser schützen, ihre ,Windows‘-Systeme patchen und die bekannte Sicherheitslücke somit schließen. Dies scheint aber nicht der Fall zu sein, wenn wir uns anschauen, wie schnell und weit sich die aktuelle Ransomware-Attacke verbreitet“, so Bauer. Unternehmen, die aus technischen Gründen Mühe haben, ihre alten ,Windows‘-Systeme zu patchen, sollten sich dringend nach alternativen Lösungen umsehen. Das Aufkommen von Künstlicher Intelligenz in der IT-Sicherheit könnte ein Weg sein.

Mehr Informationen zum Thema:

datensicherheit.de, 25.03.2016
Malwareattacke: Petya verschlüsselt ganze Festplatten

[datensicherheit.de, 21.05.2017] Über ein von einem eigenen Mitarbeiter verursachtes Datenleck sollen rund 17 Millionen E-Mail-Adressen und Passwörter des Online-Suchdienstes Zomato gestohlen worden sein. Monatlich nutzten rund 120 Millionen Menschen diese Suchmaschine für Restaurants, Cafés und Fast-Food-Ketten. Für Vectra Networks belegt dieser „massive Datendiebstahl“ nach eigenen Angaben einmal mehr, „dass viele Unternehmen gegen Cyber-Angriffe durch Insider relativ schlecht geschützt sind“.

Arglose „Foodies“ im Visier Cyber-Krimineller

Vectra Networks rät Unternehmen daher dringend, ihre Netzwerke nicht nur gegen Eindringlinge von außen zu schützen, sondern auch die Vorgänge innerhalb des Netzwerks effektiver zu überwachen. Hierfür eigneten sich vor allem Konzepte, „die Künstliche Intelligenz und Maschinelles Lernen integrieren“.
Nach Meinung von Gérard Bauer, „Vice President EMEA“ bei Vectra Networks, sollte diese jüngste erfolgreiche Cyber-Attacke Unternehmen aufrütteln, die sich zu sehr auf den Schutz am Perimeter, dem Übergang zwischen Firmennetzwerk und Internet, verlassen: Die Gruppe der „Foodies“ (Menschen, die sich in ihrer Freizeit intensiv mit Themen rund um Ernährung und Kochen beschäftigen) sei groß und wachse immer schneller. Dies mache sie zu einer attraktiven – und oft auch arglosen Zielgruppe für Cyber-Kriminelle.

Mangel an Sichtbarkeit der Vorgänge innerhalb des Netzwerks machten Attacke möglich

Hinter Bewertungswebsites und Diskussionsforen steckten meist eine große Menge an persönlichen Daten. Dies sei nicht ungewöhnlich, denn oft seien auch Bankdaten hinterlegt, um beispielsweise verbindlich Plätze in Restaurants zu buchen oder Tickets für Events zu bestellen.
Zomato bestehe zwar auf der Aussage, dass keine Bankdaten gestohlen worden seien, so seien aber die Folgen des Diebstahls von E-Mail-Adressen und Passwörtern nicht zu unterschätzen. Bauer: „Je nachdem, welche Art von Verschlüsselungsstandard Zomato im Einsatz hatte, wird es den Hackern mehr oder weniger leicht fallen die Passwörter durch Brute-Force-Techniken zu knacken.“
Es sei noch nicht bekannt, wann genau die Daten von den Angreifern entwendet wurden. Da es sich aber den Angaben nach um eine Insider-Attacke gehandelt habe, sei fast auszuschließen, dass konventionelle Schutzmechanismen am Perimeter in der Lage gewesen wären, diese Attacke zu entdecken oder zu stoppen.
Es sei offensichtlich, dass ein Mangel an Sichtbarkeit der Vorgänge innerhalb des Netzwerks die Attacke möglich gemacht hätten. Deshalb sei es auch schwer zu sagen, wann genau der Angriff stattfand. Somit werde es auch für die Nutzer schwierig einzuschätzen, ab wann ihre Passwörter, die sie möglicherweise auch für andere Online-Angebote genutzt hätten, nicht mehr sicher waren. Sie müssten nun also alle Accounts mit dem gleichen Passwort bei anderen Diensten prüfen.

Vorgänge im Netzwerk automatisch überwachen und verdächtige Aktivitäten entdecken!

„Dies war nicht das erste – und sicher nicht das letzte Mal, dass wir bei Unternehmen mangelnde Transparenz von Vorgängen im Netzwerk sehen“, so Bauer.
Außerdem werde einmal mehr deutlich, dass laufende Attacken nicht identifiziert würden und es somit Kriminellen möglich sei, lange Zeit unentdeckt zu bleiben. Aus diesen Gründen sollten Unternehmen mehr tun – sie müssten in der Lage sein, Vorgänge im Netzwerk automatisch zu überwachen, verdächtige Aktivitäten zu entdecken und somit auf Eindringlinge so schnell wie nur möglich zu reagieren. „Nur so kann man Sicherheitsvorfälle unterbinden, bevor Schaden entsteht“, betont Bauer.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2016
Sicherheitslücke in Windows ermöglicht Malware-Ausbreitung via Netzwerkdrucker