Jagden auf User-Daten und Passwörter, Phishing und die Infizierung mit Schadsoftware (Malware), Schäden durch Viren und Ransomware – die Folgen von Cyber-Angriffen reichen von Ausfällen einzelner Anwendungen und Systembereiche über den Verlust von wertvollstem Know-how und sensiblen Informationen bis hin zum tagelangen Shutdown der gesamten IT. Doch immer noch fragen sich die Verantwortlichen in den Unternehmen, welches Monitoring heute infrage kommt, um hybride IT-Infrastrukturen zu schützen, Risiken rechtzeitig zu erkennen und Vorfällen durch Angriffe möglichst schnell begegnen zu können. Dabei ist längst klar, dass es heute im Bereich des Monitorings ohne eine ausgereifte Observability, das Performance-Management von Systemen und deren Überwachung in Realtime kaum noch möglich ist, eine IT-Landschaft stabil und sicher zu betreiben.
In Sachen Sicherheit ist aber meist noch der reaktive Umgang mit Cyber-Bedrohungen die Regel. Überwacht und geschützt wird das eigene Netzwerkperimeter etwa durch Firewalls, Systeme zur Prävention unbefugten Eindringens (Intrusion-Prevention-Systeme, IPS) und zum nachträglichen Aufspüren von Eindringlingen (Intrusion-Detection-Systeme, IDS), Web-Filter und nachgelagerte Malware-Scanner.
Doch allein die Entwicklung von Ransomware-Angriffen zeigt, dass die alten Bollwerke mit ihren Präventionsansätzen keine effektive Sicherheit mehr gewährleisten. Zu diversen Ereignissen fehlen detaillierte, kontextbezogene Informationen, eine Schatten-IT sowie unbekannte IT-Ressourcen sind im Einsatz, es bestehen Risiken – verursacht durch Dritte über Lieferketten oder andere Informationswege – und eine mangelnde Überschaubarkeit sämtlicher Ereignisse sowie kausaler Abhängigkeiten verschiedener Systembereiche führen zu gefährlichen Security-Whitespots. Zudem verfügen viele Unternehmen nicht über die erforderlichen technologischen und personellen Ressourcen, um komplexe IT-Systeme angemessen zu überwachen. Die Gefahren aber erfordern eine permanente Aufmerksamkeit. Denn die globale Vernetzung bringt rund um die Uhr eine globale Bedrohung mit sich. Deshalb ist heute nicht nur sehr viel mehr Transparenz im Hinblick auf Sicherheitslücken in den Unternehmen erforderlich, sondern jede Anomalie sollte in Echtzeit erkannt und zugleich eliminiert werden – ohne nennenswerte Verzögerungen.
Eine Lösung für diese komplexe geschäftskritische Herausforderung ist XDR – Extended Detection & Response. Dieser Observability-Ansatz im Bereich der IT-Sicherheit sorgt für das kontinuierliche Monitoring eines Netzwerks und sämtlicher Endgeräte hinsichtlich der Entdeckung und aktiven Behandlung akuter kritischer Vorfälle.
Dabei wird in einem Security Operations Center (SOC) eine Sammlung aller in einer Infrastruktur aufgekommenen Incidents und Events vorgenommen. Eine verhaltensbasierte Netzwerküberwachung und -forensik (Network Detection & Response – NDR) sorgt für die Reaktion auf sicherheitsrelevante Unregelmäßigkeiten, sobald sie innerhalb des Perimeters vorkommen. Jeder Vorfall wird genau bewertet und entsprechend der vorgefundenen Sicherheitsrisiken erfolgt ein passender Incident Response zu seiner akuten Bekämpfung. Diese Echtzeitüberwachung wird parallel auf sämtliche angebundenen Endgeräte erweitert (Endpoint Detection & Response – EDR). Auf externen PCs in Homeoffices, Laptops, Tablets oder Smartphones sorgt ebenfalls ein verhaltensbasiertes Incident- und Event-Monitoring für Transparenz und Sicherheit.
Diese zeitgemäße SecOps-Lösung ermöglicht erheblich effektivere Überprüfungen und entsprechende Stabilisierungen der Systeme als herkömmliche Präventionslösungen. XDR umfasst die Überwachung sämtlicher IT-Komponenten vom Endpunkt über Netzwerk-Sensoren bis hin zu Cloud-Instanzen und Microservices. Um die Sicherheit permanent zu gewährleisten, werden außerdem regelmäßig Angriffe auf die IT fingiert, um immer wieder möglichst alle potenziellen Schwachstellen auszuschließen. Durch den Einsatz von AI-Lösungen und Machine Learning können sich die Mitarbeiter*innen im SOC auf das Wesentliche wie zum Beispiel unklare Ereignisse im System konzentrieren. So werden Ausfälle von Anwendungen deutlich reduziert und Unterbrechungen des Betriebs nahezu ganz vermieden.
Ein Energieversorger zum Beispiel hatte es seinen einzelnen Abteilungen überlassen, in ihren jeweiligen operativen Rollen individuelle Lösungen für die Sicherheit zu entwickeln und zu implementierten. Nach einer strategischen Überprüfung beschloss die Geschäftsleitung, die Funktionen in einem SOC zu konsolidieren. So konnte in einem hochkomplexen Workflow eine ausgesprochen große Transparenz hergestellt werden, um akute Sicherheitsprobleme in Echtzeit aufzuspüren und darauf präzise zu reagieren.
Durch XDR konnte ein Versicherer nach der Entdeckung einer Log4Shell-Schwachstelle in kürzester Zeit rund 250 „Log4Shell JNDI Injection Attempts“ auf seinen Systemen identifizieren und dann beseitigen, um einen enormen potenziellen Schaden rechtzeitig auszuschließen.
Konsequent wäre es, wenn Unternehmen heute nach der Einführung von Observability und SecOps alle relevanten Aspekte einer Sicherheit in Echtzeit schon während der Entwicklung und Einführung neuer Dienste in den Betrieb berücksichtigen würden. DevSecOps beschreibt einen kulturellen Wandel, der eben beginnt: Die Lücke zwischen Entwicklungs-, Betriebs- und Security-Teams schließt sich. So wird mit Observability sowie Extended Detection und Response die Handlungsfähigkeit sowohl für den reibungslosen Betrieb als auch die Unternehmenssicherheit stark verbessert.
Quelle: https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022