Unternehmensperspektive

Zuverlässige Sicherheit durch Validierung der Tools

Institutionen des öffentlichen Sektors drohen diverse Gefahren – von staatlich gesponserter Spionage bis zu Datendiebstahl und Ransomware. In unserem letzten M-Trends-Bericht haben wir bereits aufgezeigt, dass Behörden zu den drei am stärksten gefährdeten Branchen gehören.

Der Schutz vor diesen Bedrohungen stellt sie vor erhebliche Herausforderungen. Viele Organisationen setzen bis zu 70 unterschiedliche Sicherheitstools ein, doch dadurch werden die Umgebungen sehr komplex und die meist ohnehin schon überlasteten Sicherheitsteams verlieren schneller den Überblick. Zudem ist es schwierig, festzustellen, ob die eingesetzten Technologien tatsächlich wie erwartet und zuverlässig funktionieren.

Annahmen allein reichen nicht aus

In einem kürzlich angebotenen Webinar zur Effektivität der Sicherheitsstrategien ging es genau darum. Viele Unternehmen nehmen nur an, dass ihre Lösungen wie gewünscht funktionieren, korrekt implementiert wurden und die Teams sich damit auskennen.

Dabei werden jedoch schnell potenzielle Probleme übersehen. Fehlkonfigurationen und die Verwendung von Standardeinstellungen können beispielsweise zu Sicherheitslücken führen und durch die Einspeisung falscher Daten in eine SIEM-Lösung (Security Information and Event Management) werden eventuell Fehlalarme ausgelöst.

Das kann drastische Folgen haben. In unserem Mandiant Security Effectiveness Report 2020 haben wir Folgendes aufgedeckt:

  • In 68% der Unternehmensumgebungen konnten Sicherheitsmaßnahmen die Ausführung von Schadcode nicht erkennen oder nicht verhindern.
  • Bei 53% der Angriffe konnten die Hacker in die Infrastruktur eindringen, ohne dass das Unternehmen dies bemerkte.

Das Risiko ist also groß, dass Unternehmen kritische Bedrohungen übersehen. Das kann unter anderem daran liegen, dass die Effektivität der Sicherheitslösungen nicht nachweisbar und daher das Risiko nur schwer einschätzbar ist.

Die Kontrolle und Validierung von Sicherheitslösungen ist ein Muss

Für effektive Sicherheit müssen Sie konkret nachweisen können, dass die Tools wie erwartet funktionieren. Mit automatisierten Tests und Validierungen der Sicherheitslösungen haben Behörden und öffentliche Einrichtungen die Möglichkeit, folgende Punkte schnell zu identifizieren:

  • Fehlkonfigurationen
  • Fehler und Sicherheitslücken
  • Duplizierte Funktionen bei Sicherheitstools
  • Welche Tools besonders effektiv bzw. weitgehend ungeeignet sind

Automatisierte und evaluierte Sicherheitslösungen liefern Unternehmen praxistaugliche Erkenntnisse.

So können unter anderem Bedrohungsdaten automatisch eingespeist und mit branchenspezifischen Bedrohungen abgeglichen werden. Beispiele dafür sind Ransomware-Angriffe auf Hochschulen und Universitäten oder Spionagekampagnen, die auf Behörden abzielen. Mithilfe dieser Informationen können die Institutionen die Risiken besser einschätzen und in den richtigen Kontext setzen.

Ein weiterer Vorteil ist die Rationalisierung der Investitionen. Da die CISOs erkennen, welche Tools ähnliche Funktionen umfassen und welche die besseren Ergebnisse liefern, können sie die Zahl der eingesetzten Lösungen verringern, die Integration verbessern und die Ausgaben reduzieren. Mitarbeiter haben dann auch wieder mehr Zeit, sich um Sicherheitsinitiativen mit einer höheren Priorität zu kümmern.

Behörden können zudem die Effektivität ihrer SIEM-Lösungen besser nachvollziehen und müssen nicht mehr nur darauf hoffen, dass alles wie gewünscht funktioniert. Da durch die Validierung ein umfassender Überblick gewonnen wird, lässt sich die Zahl der Fehlalarme bei SIEM-Lösungen reduzieren. So spart nicht nur das Sicherheitsteam Zeit, sondern echte Bedrohungen werden zuverlässig erkannt.

Lösungsansatz

Bei der Zusammenarbeit mit unseren Kunden haben wir festgestellt, dass zur Validierung der Effektivität der Sicherheitslösung am besten zuerst ein Cyberbedrohungsprofil erstellt wird. Dabei sollten branchenrelevante Bedrohungen wie staatlich gesponserte Spionage, Hacktivismus oder Ransomware berücksichtigt und ein umfassender Überblick über den aktuellen Sicherheitsstatus gewonnen werden.

Behörden und Einrichtungen des öffentlichen Sektors tragen eine große Verantwortung, da sie die Daten der Bürger und Dienste für die Öffentlichkeit schützen und gleichzeitig strikte gesetzliche Vorgaben einhalten müssen. Das Risiko ist zu groß, um einfach auf die Annahme zu vertrauen, dass die Sicherheitstools schon wie erwartet funktionieren werden. 

Den Organisationen stehen Funktionen zur Verfügung, mit denen sie anhand von konkreten Daten die Effektivität der Sicherheitslösungen kontinuierlich nachweisen können. Weitere Informationen zu diesem Thema und zu den Gründen, weshalb viele Sicherheitslösungen hinter den Erwartungen zurückbleiben, finden Sie in unserem Mandiant-Bericht, den Sie jetzt herunterladen können.