Wenn Arnaldo Lopez von McAfee beschreibt, welche Herausforderungen Bedrohungsbekämpfern heutzutage das Leben schwer machen, spricht er aus eigener Erfahrung. Zu Beginn seiner Karriere war er Sicherheitstechniker in einem Security Operations Center (SOC). Schon sein erster Vorfall wurde ihm mit einem mitternächtlichen Anruf zugeteilt.
Das System der Schutzvorkehrungen war nicht perfekt. Die Angreifer waren den Verteidigern immer einen Schritt voraus. Mit einer Reihe von Security-Technologien zur Minimierung von Schäden wurde die Verteidigung dennoch aufrechterhalten. Die Strategie der Unternehmen bestand im Wesentlichen darin, auf akute Probleme zu reagieren. Schwachstellen wurden jeweils einzeln bearbeitet, sobald es Probleme gab. Heute hat sich die Cybersicherheitslandschaft drastisch gewandelt. Beim Kampf gegen Bedrohungen sind neue, proaktivere Ansätze notwendig.
Sind wir ein Ziel?
Cybersicherheit wurden von Unternehmensführungen in der Vergangenheit grundsätzlich als nachgeordnete Aufgabe betrachtet. Das hat sich geändert. Mittlerweile sind sich Unternehmensvorstände der gravierenden Herausforderungen bewusst, denen ihre Unternehmen im Zusammenhang mit Cyber Security gegenüberstehen. Die Vorstände sind bereit, in Cybersicherheit zu investieren. Aber sie wollen auch sicherstellen, dass ihre Unternehmen größtmöglichen Nutzen aus den Investitionen in die Tools ziehen, die nach Aussage der CISOs benötigt werden.
Und sie geben sich nicht mehr mit Cybersicherheitsstrategien zufrieden, deren Grundidee darin besteht, auf die nächste Infektion des Netzwerks durch eine Phishing-E-Mail zu warten, bevor die Verteidiger in Aktion treten. Unternehmen können sich diesen Luxus nicht leisten. Insbesondere nicht in der gegenwärtigen Bedrohungslandschaft, in der sie von unterschiedlichsten Gruppen erfahrener Angreifer ins Visier genommen werden. Dies hat Konsequenzen für alle Beteiligten der Cybersicherheitskette eines Unternehmens – vom CISO bis zum Junior-Analysten im SOC-Team.
Bedrohungsbekämpfer müssen externe Bedrohungs-Feeds und Daten in sinnvolle Kontexte stellen, um zu erkennen, ob das eigene Unternehmen ein Angriffsziel ist. Und sie benötigen handlungsrelevante Informationen, um Maßnahmen ergreifen zu können, die die Security Posture des Unternehmens verbessern. Konkrete Maßnahmen können von der Anordnung eines allgemeinen Lockdowns bis hin zur Optimierung von Richtlinien zur besseren Sicherung von Endpoints oder des Webgateways reichen.
Leider verfügen die meisten Unternehmen bis heute nicht über die nötigen Fähigkeiten für derartiges proaktives Handeln. Weniger als 20 Prozent aller Sicherheitsverletzungen werden rechtzeitig gestoppt. Hauptgrund dafür ist, dass den Bedrohungsbekämpfern die Tools fehlen, mit denen sie rechtzeitig auf die handlungsrelevanten Kontextinformationen zugreifen könnten, von denen Arnaldo Lopez spricht.
Die Vorstände werden sich nicht mit Ansätzen zufriedengeben, bei denen die Feuerwehr erst zum Einsatz kommt, wenn der Brand schon wütet. Ein Unternehmen muss im Voraus wissen, was in seiner Cyber-Umgebung geschieht, nicht erst im Nachhinein.
Bedrohungsbekämpfer handeln zunehmend strategisch
Das erhöht den Druck auf Bedrohungsbekämpfer, Problemen möglichst zuvorzukommen. Weil die durchschnittlichen Kosten von Sicherheitsverletzungen weiter steigen, steht viel auf dem Spiel. Das Bereinigen von Schäden und Schließen von Sicherheitslücken im Nachhinein ist nicht mehr zeitgemäß. Wissen Bedrohungsbekämpfer im Voraus, wer Angriffsziel ist, und welche Endpoints betroffen sein werden, verändert sich die Situation grundlegend, weil sie proaktive Maßnahmen zum Schutz des Unternehmens umsetzen können.
Das Technologie-Portfolio von McAfee dehnt den Schutz nicht nur auf alle Endpoints und die Cloud aus, sondern rationalisiert auch den Analyseprozess. Bedrohungsbekämpfer können nach Vektoren, Branchen und Regionen suchen. Werden Aktivitäten bekannt, die sich speziell gegen bestimmte Branchen und Regionen richten, können diese mit der Endpoint Security Posture des eigenen Unternehmens korreliert werden, die aus der eigenen Security-Telemetrie abgeleitet wurde.
Für die Bedrohungsbekämpfer ist das ein großer Schritt, weil sie präzise Erkenntnisse zu den möglichen Konstellationen potenzieller Security-Risiken gewinnen. Die Analyse einer unüberschaubaren Vielzahl von Details und die Unterscheidung falsch positiver Ergebnisse von echten Anzeichen für Probleme müssen nicht mehr vollständig manuell erfolgen. Statt kostbare Zeit mit hektischen Analysen zu vergeuden, setzen die Experten ihre Fähigkeiten ein, um Bedrohungen so effektiv wie möglich zu begegnen.
Selbst an einem guten Tag ist die Arbeit von Bedrohungsbekämpfern schwer genug. Ohne die notwendigen Informationen zum Verständnis des Gesamtbildes ähnelt sie ist einer Mission Impossible. Kann jedoch das kürzlich angekündigte, einzigartigen proaktive MVISION Insights genutzt werden, haben Bedrohungsbekämpfer die Chance, beim Kampf gegen Angreifer endlich das Heft des Handelns an sich reißen. Denn es bleibt dabei: Ein gekonnter Angriff ist immer die beste Verteidigung.
