+49 (0) 8171/405-0 info@proSoft.de

Cybersecurity – proaktiv & reaktiv

24.
Sep
2021
Blaues Team, Cybersecurity framework, IDS, Integrated Defense System, IT Playbook, NIST, Rotes Team, SIEM, SOAR, XIP

Wer denkt, dass nur proaktive Cybersecurity Maßnahmen wichtig sind, der irrt. Mit ‹Right-of-Bang› Analysen erkennt man Schwachstellen und neue Angriffsvektoren und kann durch die identifizierten Signaturen zukünftig Vulnerabilitäten schließen und Risiken minimieren. Die Erkennung von Mustern durch Cyber-Intelligenz und deren Anwendung bei anderen IT-Infrastrukturen macht es möglich, dass neue Angriffsvektoren zeitnah flächendeckend verhindert werden können.

Cybersecurity-Maßnahmen

Das NIST Cybersecurity Framework definiert fünf Säulen für erfolgreiche Cybersicherheitsmaßnahmen. Diese bestehen aus den Funktionen ‹Identifizieren›, ‹Schützen›, ‹Erkennen›, ‹Reagieren› und ‹Wiederherstellen› und konzentrieren sich auf das Cybersicherheitsmanagement auf oberer Ebene. Damit sind sowohl das proaktive (d. h. Schutz vor dem Angriff – oder Left-of-Bang) als auch das reaktive (d. h. Reaktion nach dem Angriff – oder Right-of-Bang Anforderungen) Cybersicherheitsmanagement gemeint.

Left-of-Bang -> Bang -> Right-of-Bang

Die Begriffe ‹Left-of-Bang› und ‹Right-of-Bang› beschreiben die typische Zeitachse von Angriffen. Der ‹Bang› ist der tatsächliche Angriff. Left-of Bang beschreibt also alles, was einem Angriff vorausgeht. Dazu gehören auf der Hacker-Seite u.a. das Überprüfen von Angriffsvektoren wie Social Engineering oder Phishing, Auf der Seite der Verteidiger sind mit Left-of-Bang proaktive Maßnahmen zur Überprüfung der Effektivität von IT-Systemen und Abwehrmaßnahmen gemeint. Klar ist aber, dass Verteidigungsmaßnahmen erst dann entwickelt werden können, wenn neue Angriffsszenarien analysiert wurden.

 

Hatte der Angriff (Bang) Erfolg, befindet man sich auf der Zeitachse einer Cyberattacke Right-of-Bang. Man könnte nun denken, dass es in dieser Phase nur noch um Schadensmeldungen und ums Aufräumen geht. Weit gefehlt! Überprüfungen Right-of-Bang tragen dazu bei, Vulnerabilitäten in Betriebssystemen, Applikationen sowie in der eingesetzten Hardware oder der kompletten Infrastruktur zu erkennen und daraus allgemeingültige Signaturen respektive Muster abzuleiten. Die Cybersecurity wird durch alle Analysen und Maßnahmen Right-of-Bang für die Zukunft optimiert

Ähnlich wie bei der Erkennung von Malware durch Heuristiken (siehe unser Beitrag Anti-Viren vs. Anti-Malware Software) unterstützt die Veröffentlichung von Mustern erfolgreicher Cyberangriffe das Bewusstsein und die Entwicklung von Gegenmaßnahmen wie beispielsweise Sicherheitsupdates. Dementsprechend hat auch das reaktive Cybersicherheitsmanagement eine hohe Bedeutung. Neue Angriffsvektoren können zukünftig nachhaltig geschlossen werden. Die Erkennung der Signaturen bzw. die Umsetzung eines Szenarios in die eigene Infrastruktur ist eine Aufgabe, die durch Cyber Intelligence oder AI unterstützt werden muss.

 

Cybersecurity: SOAR und XIP

SOAR (Security, Orchestration, Automation and Response) automatisiert die Analyse von Right-of-Bang (Response), indem Informationen aus mehreren Monitoring- und Securitylösungen (z. B. Log-Management und SIEM-, IDS- oder UEBA-Systemen) korreliert werden, um festzustellen, ob eine Organisation attackiert wurde. Außerdem können ereignisbasierte Reaktionen und Maßnahmen standardisiert, priorisiert und ausgeführt werden. SOAR-Tools ermöglichen es einer Organisation, Vorfallanalyse- und Reaktionsverfahren in einem digitalen Workflowformat zu definieren, das häufig als Playbook bezeichnet wird.

XIP  (eXtended Identify and Protect) ist eine Left of-Bang Ergänzung zu SOAR. Es konzentriert sich auf die kontinuierliche Bewertung von Cyber-Risiken in der Organisation, um die Wahrscheinlichkeit oder die Auswirkungen von Cyberereignissen auf die Organisation zu minimieren, zu überwachen und zu kontrollieren. XIP bietet einen ganzheitlichen Ansatz für proaktive Cybersicherheitsoperationen, die auf tatsächlichen Cyberrisiken basieren, anstatt ereignisgesteuerte Cybersicherheitsoperationen, die auf wahrgenommenen Risiken basieren.

Das XIP, wehrt lauernde Cyber-Risiken ab, indem es Cyber-Bedrohungen mit Compliance-Intelligenz sammelt und sie auf ein erweitertes Inventar von Organisationsressourcen, einem sogenannten Cyber-Zwilling anwendet.

Die einzigartigen automatisierten violetten (ergibt sich aus der Zusammenarbeit von rotem Team und blauem Team) Team-Szenarien von Orchestra XIP kartieren und priorisieren Cyber-Risiken und versuchen sie zu verhindern. Dieses einzigartige automatisierte violette Team bietet eine priorisierte, umsetzbare Roadmap, um die Wahrscheinlichkeit oder die Auswirkungen von Cyberereignissen auf die Organisation zu minimieren, zu überwachen und zu kontrollieren, bevor sie auftreten.

Fazit:

«Aus Schaden wird man klug!» Dieses alte Sprichwort trifft auch auf nachträgliche Analysen Right-of-Bang zu.

Aus obiger Beschreibung von Cybersecurity-Maßnahmen lassen sich zwei weitere Erkenntnisse ableiten:

  • Cyber-Intelligenz und AI kommen immer häufiger auch bei der Abwehr von Cyber-Attacken zum Einsatz. Die Erkennung von Anomalien basiert bis dato auf einzelnen, für sich betrachtet eigentlich oft harmlosen Vorfällen, die meist nur mittels vorhandener Regeln korreliert und in der Folge dann auch erkannt werden. Auch bei Log-Managment und SIEM kommt immer häufiger künstliche Intelligenz zum Einsatz, weil die schiere Menge an Logfiles allein eine Erkennung von Mustern erschwert. Der Nachteil, der dadurch entsteht, ist, dass KI unkontrolliert Entscheidungen trifft, die unter Umständen weder wichtig noch richtig sind und für den CISO zudem nicht nachvollziehbar sind.
  • Moderne Lösungen wie das Vulnerability Management Harmony Purple arbeiten zwar on-premise, teilen aber die Signaturen von Cyber-Attacken anonymisiert über die Cloud mit anderen Anwendern. Je mehr Quellen neue Angriffsvektoren beisteuern, desto schneller können die Risiken der einzelnen Organisation reduziert werden.
Potenziell #Backdoor Lücke bei #Cisco gepatcht. https://t.co/TQ3sFXTqZK
@safetogo_de: Die verschlüsselten USB-Sticks #SafeToGo 302E und SafeToGo Solo sind jetzt auch kompatibel zur #macOS Version Ventura. https://t.co/uaOTOjw64r https://t.co/Ht2irhj2P5
#dell schließt Schadcode-Schlupfloch im BIOS mehrerer PC-Modelle https://t.co/imkTREUgf2 https://t.co/ob641j3yDJ
Große #Microsoft Störung Deutsche beklagen massenhaft Ausfälle bei #Teams und #Outlook https://t.co/2tMfZbMR5m https://t.co/1776PfXt1x
Zunehmende Cyberkriminalität – Welche Gegenmaßnahmen helfen wirklich? https://t.co/kA0sIJ10PM #cyberangriff #cyberdefense #itsicherheit https://t.co/tp1RBM4pTE
Cyberkriminelle verschaffen sich Zugang zu Sky-Kundenkonten https://t.co/mPtWKobNG5 #Sky https://t.co/M1nU038UeZ
Fernwartungs-Software mit SSL & TLS für mehr Sicherheit https://t.co/TcT8IP2OVA #NetSupport
#Fernwartung https://t.co/NAj203kh9V
Dortmunder Datenpanne – Personenbezogene Daten im Lost Place #Dortmund #LostPlace https://t.co/UNuaJhaNiy https://t.co/brjrrE564g
Nach drohender #Cyberattacke reagierte die Stadt #Potsdam mit dem Abschalten der Internetverbindungen. Nach umfangreichen Sicherheits-Checks geht es nun weiter. https://t.co/skdKzbND3N https://t.co/KNa6jgL6Kp
Hacker versuchen #Ionos Passwörter zu phishen https://t.co/lqTDa8v0Hf
Handelsblatt: „Kaum zu bewältigen“: Neue EU-Richtlinie für Cybersicherheit setzt Unternehmen unter Zeitdruck - https://t.co/GVPGf4jXsC
Attacken auf kritische Lücke in ManageEngine-Produkte von Zoho bald möglich | Security https://t.co/HqRLyjtDW3
@heisec: Industrie-Router von InHand: Angreifer könnten Geräte in der Cloud übernehmen https://t.co/DEy74bF6wh #InHand #InRouter
Cyber-Attacken auf kritische Lücke in Control Web Panel | Security https://t.co/XW83hKUc8F
Fahrradbauer #Prophete: Erste Details zum Cyber-Angriff | Die Insolvenz der Prophete-Gruppe wurde schlussendlich durch einen Cyber-Angriff ausgelöst. Security https://t.co/IrjyYFWjJu
So schützt die #OPSWAT MetaDefender-Plattform vor Cyberangriffen https://t.co/m1Yo1jA7WQ
Sicherheitsprüfung: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt. Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben. https://t.co/R9S2L77pnK https://t.co/QcqGLwTIO4

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This