Abwehren lässt sich nur, was man als Gefahr erkennt

In einem früheren Blog Beitrag haben wir bereits verschiedene Herausforderungen und Maßnahmen zur Vorbereitung eines Unternehmens auf Hackerangriffe vorgestellt. Kurz zusammengefasst: Es ist nicht einfach, optimal vorbereitet zu sein! Zwar gibt es mittlerweile viele Tools, die Sicherheits-Alerts automatisiert auf der Basis programmierter Regeln und heuristischer Analyse liefern. Die Kunst besteht jedoch darin, die wichtigen bzw. relevanten Alerts herauszufiltern. Denn ein typisches Security Operations Center (SOC) oder Sicherheitsteam erhält täglich mehr als 500.000 Alerts mit Warnhinweisen auf mögliche Bedrohungen. Priorisierung ist oberstes Gebot, ebenso wie ein Überblick darüber, welche Kombination welcher Alerts eine kritische Situation bedeuten könnte.

Doch längst nicht alle SOCs oder Sicherheitsteams in Unternehmen sind darauf wirklich ausreichend vorbereitet – weil ihnen vielfach schlichtweg die Zeit dafür fehlt. Doch ein umfangreiches Assessment, das die Stärken und Schwächen eines Unternehmens in punkto Cybersicherheit sichtbar macht und bewertet, ist unbedingt empfehlenswert. Ein Blick von außen durch externe Sicherheitsexperten ist nicht nur wegen der fehlenden Zeit sondern auch hinsichtlich der Objektivität ratsam. Folgende Vorgehensweise in drei Schritten hat sich dabei in der Praxis bewährt:

Schritt 1) Bewertung der Fragestellung: Wie gut sind Erkennung von, Reaktion auf und Kontrolle von Bedrohungen im Unternehmen aufgestellt?
Im ersten Schritt sammeln die Experten dafür Daten aus den Bereichen Security Operations, Threat Intelligence und Incident Response eines Unternehmens und werten diese aus. Innerhalb dieser Einteilung sollte darauf geachtet werden, wie gut die Bereiche Governance, Kommunikation, Visibilität, Intelligence, Reaktion und Metrics jeweils aufgestellt sind bzw. funktionieren. Eine sechsstufige Bewertungsskala, welche von „funktioniert nicht“ bis hin zu „Weltklasse“ (siehe Abb. 1, Beispiel unten) reicht, gibt hier gute Einblicke.

Abb. 1 Beispiel: Tabelle mit Ergebnissen der getesteten Bereiche eines Unternehmens (Whitepaper FireEye: Are you ready to respond?)

Dann macht es Sinn, den daraus resultierenden aktuellen Sicherheitsstatus des Unternehmens mit den Best Practices der Branche abzugleichen und in der Sicherheitslandschaft zu verorten.

Schritt 2) Stresstest der internen Sicherheitsprozesse
Im nächsten Schritt  sollten die Experten ein mögliches Angriffsszenario simulieren. Mit diesem inszenierten Hackerangriff wird getestet, ob bzw. wie sich die Systeme kompromittieren lassen. Weitere Punkte, die durch Simulation zu prüfen sind: Wie geht das Unternehmen mit einem Datenleck um, bei dem Personally Identifiable Information (PII)  nach Außen gelangte? Wie gehen Mitarbeiter mit schädlichen E-Mails um?  Hierzu ein Beispiel:

Ein Mitarbeiter öffnet eine mit Malware infizierte Phishing-Mail. Die Angreifer, in dem Fall die Experten, können darüber Informationen aus einer E-Mail des CEO zu einer geplanten Fusion herausziehen. Wie geht das Unternehmen mit so einem Vorfall um?

Zusätzlich sollte der Kommunikationsplan und die Notfall-Kontakt-Datenbank auf ihre Effektivität im Ernstfall getestet werden. Das bedeutet, es wird geprüft, ob die Kommunikationsabläufe des Notfallteams im Ernstfall funktionieren und ob klar ist, wer bei einer Attacke beispielsweise auch nachts um 03.00 Uhr parat steht.

Von Interesse ist auch der Faktor Zeit: Wie lange benötigt das Unternehmen zur Bewältigung oder Abwehr eines Angriffs? Die verschiedenen Vorgänge im Unternehmen – von der Entdeckung bis hin zur Abwehr oder Beseitigung der simulierten Attacke – müssen genau evaluiert werden.

Schritt 3) Empfehlungen und Strategien: Erstellung einer Roadmap
Im letzten Schritt steht die Auswertung der Sicherheitsprozesse und Erkenntnisse aus der Simulation an, aus der sich eine Roadmap für künftige Vorkehrungen und Sicherheitsprozesse ableiten lässt. Diese Roadmap berücksichtigt idealerweise sowohl Stärken als auch Verbesserungsmöglichkeiten des unternehmenseigenen Sicherheitsprogramms. Sinnvoll ist hier auch der Abgleich mit gesetzlichen Anforderungen und Branchen-Best Practices, um einen bestmöglichen Schutz zu erzielen.

Mandiant zeigt Unternehmen im Rahmen von solchen Assessments letztlich Strukturen auf, wie der Arbeitsfluss des internen Security Operations Centers oder des Sicherheitsteams verbessert werden kann, um das Unternehmen optimal vor Angriffen und Bedrohungen  zu schützen. Als zusätzlichen Service erhält das Unternehmen Informationen zu den aktuellsten Bedrohungen.

Weitere Informationen zur professionellen Vorbereitung von Unternehmen auf IT-Security-Bedrohungen finden Sie in unserem Whitepaper „Are You Ready to Respond?“