Die Ungleichmäßigkeit zwischen Angreifer und Verteidiger umkehren

In der Welt der Cyber-Sicherheit besteht zwischen den Rollen des Angreifers und des Verteidigers eine große Ungleichmäßigkeit. Der Verteidiger muss alle möglichen Angriffspunkte verteidigen, während der Angreifer nur die Verwundbarkeit auszunutzen braucht. Diese Ungleichmäßigkeit spielt dem Angreifer in die Hände.

Viele heutige Cyber-Security-Einrichtungen basieren auf einem Perimeter-zentrierten Ansatz. Dieser zielt darauf ab, Malware und andere Bedrohungen davon abzuhalten, den Perimeter zu überwinden und Benutzer und Güter innerhalb des Perimeters zu schützen. Dieser Ansatz spielt der bestehenden Ungleichmäßigkeit in die Hände und verschafft dem Angreifer Vorteile. Die Anzahl und die Schwere aktueller Data-Breaches zeigt deutlich, dass diese Methode ihr Ziel verfehlt hat.

Bemerkenswert ist, dass viele dieser Vorfälle in den letzten Jahren stattgefunden haben. Im Gegensatz zu den “Viruses” und “Worms”, die in den Jahren zuvor ihr Unwesen getrieben und bei einem Befall eine Schneise der Verwüstung hinterlassen haben, zielen viele der heutigen Attacken darauf ab, große Mengen an vertraulichen Informationen über längere Zeitperioden abzugreifen. Viele dieser Angriffe sind in mehrere Phasen aufgeteilt und agieren möglichst verdeckt. Ist zum Beispiel eine Malware in ein Zielsystem eingedrungen, kann sie sich langsam und unauffällig innerhalb der IT der Organisation bewegen. Die Malware versucht ihre Enttarnung zu vermeiden und so weit wie möglich in die Infrastruktur des Unternehmens vorzudringen. Bei diesem Prozess kann sie Backdoors, also Hintertüren für die Kommunikation mit Command & Control-Servern, einrichten. Dieser Vorgang kann Wochen oder Monate dauern. In der nächsten Phase werden große Datenmengen gesammelt und schließlich ausgeschleust. In vielen Fällen bemerken betroffene Organisationen den Data-Breach erst nach dem Diebstahl. Das White Paper“Interne Bedrohungen bekämpfen: Neue Ansätze für die Netzwerksicherheit nutzen”zeigt weitere Details dazu.

Diesen Lebenszyklus zu verstehen ist der Schlüssel, mit dem sich die Ungleichmäßigkeit zwischen Angreifer und Verteidiger umkehren lässt. Es herrscht Einigkeit darüber, dass der Fokus vom Perimeter- und Schutz-zentrierten Ansatz – der Angreifer ist begünstigt – hin zu einem Ansatz verschoben werden muss, der davon ausgeht, dass Bedrohungen ins Netzwerk gelangen. Mit anderen Worten: Es geht darum, Bedrohungen zu erkennen und einzudämmen. Diese Verschiebung ist gleichzeitig die ideale Möglichkeit, die Ungleichmäßigkeit umzukehren. Wenn der Angreifer in eine Organisation vorgedrungen ist, muss er jede mögliche Vorsichtsmaßnahme ergreifen, um nicht entdeckt zu werden. Nur dann kann der Angriff aus seiner Sicht maximal erfolgreich sein. Dadurch erhält der Verteidiger einen Fingerabdruck, der ihn zum Angreifer führt. Die verschiedenen Angriffsphasen wie die laterale Bewegung der Malware im Netzwerk, das Installieren von Backdoors und Einrichten von Command & Control-Kommunikationskanälen, sowie der Versuch, Daten auszuschleusen, bietet beste Möglichkeiten, eine Bedrohung zu erkennen und zu unterdrücken – und die Balance zugunsten des Verteidigers wiederherzustellen.

Die Verschiebung von der Prävention hin zur Erkennung erfordert ein neues Einsatzmodell für IT-Sicherheitssysteme. Ein Modell, das stetigen Zugriff auf relevante Daten in physischen und virtuellen Systemen unabhängig von deren Standort und dem Einsatz von Verschlüsselungstechnologien sicherstellt. GigaSECURE, Gigamons Security Delivery Platform, ist die industrieweit erste Lösung, die einen plattformbasierten Ansatz für den simultanen Einsatz unterschiedlicher IT-Sicherheitssysteme in dieser neuen Welt der Cyber-Sicherheit verfolgt, die immer stärker auf das Erkennen und Eindämmen ausgerichtet ist. Weitere Details finden Sie hier.