+49 (0) 8171/405-0 info@proSoft.de

Cybersecurity – proaktiv & reaktiv

24.
Sep
2021
Blaues Team, Cybersecurity framework, IDS, Integrated Defense System, IT Playbook, NIST, Rotes Team, SIEM, SOAR, XIP

Wer denkt, dass nur proaktive Cybersecurity Maßnahmen wichtig sind, der irrt. Mit ‹Right-of-Bang› Analysen erkennt man Schwachstellen und neue Angriffsvektoren und kann durch die identifizierten Signaturen zukünftig Vulnerabilitäten schließen und Risiken minimieren. Die Erkennung von Mustern durch Cyber-Intelligenz und deren Anwendung bei anderen IT-Infrastrukturen macht es möglich, dass neue Angriffsvektoren zeitnah flächendeckend verhindert werden können.

Cybersecurity-Maßnahmen

Das NIST Cybersecurity Framework definiert fünf Säulen für erfolgreiche Cybersicherheitsmaßnahmen. Diese bestehen aus den Funktionen ‹Identifizieren›, ‹Schützen›, ‹Erkennen›, ‹Reagieren› und ‹Wiederherstellen› und konzentrieren sich auf das Cybersicherheitsmanagement auf oberer Ebene. Damit sind sowohl das proaktive (d. h. Schutz vor dem Angriff – oder Left-of-Bang) als auch das reaktive (d. h. Reaktion nach dem Angriff – oder Right-of-Bang Anforderungen) Cybersicherheitsmanagement gemeint.

Left-of-Bang -> Bang -> Right-of-Bang

Die Begriffe ‹Left-of-Bang› und ‹Right-of-Bang› beschreiben die typische Zeitachse von Angriffen. Der ‹Bang› ist der tatsächliche Angriff. Left-of Bang beschreibt also alles, was einem Angriff vorausgeht. Dazu gehören auf der Hacker-Seite u.a. das Überprüfen von Angriffsvektoren wie Social Engineering oder Phishing, Auf der Seite der Verteidiger sind mit Left-of-Bang proaktive Maßnahmen zur Überprüfung der Effektivität von IT-Systemen und Abwehrmaßnahmen gemeint. Klar ist aber, dass Verteidigungsmaßnahmen erst dann entwickelt werden können, wenn neue Angriffsszenarien analysiert wurden.

 

Hatte der Angriff (Bang) Erfolg, befindet man sich auf der Zeitachse einer Cyberattacke Right-of-Bang. Man könnte nun denken, dass es in dieser Phase nur noch um Schadensmeldungen und ums Aufräumen geht. Weit gefehlt! Überprüfungen Right-of-Bang tragen dazu bei, Vulnerabilitäten in Betriebssystemen, Applikationen sowie in der eingesetzten Hardware oder der kompletten Infrastruktur zu erkennen und daraus allgemeingültige Signaturen respektive Muster abzuleiten. Die Cybersecurity wird durch alle Analysen und Maßnahmen Right-of-Bang für die Zukunft optimiert

Ähnlich wie bei der Erkennung von Malware durch Heuristiken (siehe unser Beitrag Anti-Viren vs. Anti-Malware Software) unterstützt die Veröffentlichung von Mustern erfolgreicher Cyberangriffe das Bewusstsein und die Entwicklung von Gegenmaßnahmen wie beispielsweise Sicherheitsupdates. Dementsprechend hat auch das reaktive Cybersicherheitsmanagement eine hohe Bedeutung. Neue Angriffsvektoren können zukünftig nachhaltig geschlossen werden. Die Erkennung der Signaturen bzw. die Umsetzung eines Szenarios in die eigene Infrastruktur ist eine Aufgabe, die durch Cyber Intelligence oder AI unterstützt werden muss.

 

Cybersecurity: SOAR und XIP

SOAR (Security, Orchestration, Automation and Response) automatisiert die Analyse von Right-of-Bang (Response), indem Informationen aus mehreren Monitoring- und Securitylösungen (z. B. Log-Management und SIEM-, IDS- oder UEBA-Systemen) korreliert werden, um festzustellen, ob eine Organisation attackiert wurde. Außerdem können ereignisbasierte Reaktionen und Maßnahmen standardisiert, priorisiert und ausgeführt werden. SOAR-Tools ermöglichen es einer Organisation, Vorfallanalyse- und Reaktionsverfahren in einem digitalen Workflowformat zu definieren, das häufig als Playbook bezeichnet wird.

XIP  (eXtended Identify and Protect) ist eine Left of-Bang Ergänzung zu SOAR. Es konzentriert sich auf die kontinuierliche Bewertung von Cyber-Risiken in der Organisation, um die Wahrscheinlichkeit oder die Auswirkungen von Cyberereignissen auf die Organisation zu minimieren, zu überwachen und zu kontrollieren. XIP bietet einen ganzheitlichen Ansatz für proaktive Cybersicherheitsoperationen, die auf tatsächlichen Cyberrisiken basieren, anstatt ereignisgesteuerte Cybersicherheitsoperationen, die auf wahrgenommenen Risiken basieren.

Das XIP, wehrt lauernde Cyber-Risiken ab, indem es Cyber-Bedrohungen mit Compliance-Intelligenz sammelt und sie auf ein erweitertes Inventar von Organisationsressourcen, einem sogenannten Cyber-Zwilling anwendet.

Die einzigartigen automatisierten violetten (ergibt sich aus der Zusammenarbeit von rotem Team und blauem Team) Team-Szenarien von Orchestra XIP kartieren und priorisieren Cyber-Risiken und versuchen sie zu verhindern. Dieses einzigartige automatisierte violette Team bietet eine priorisierte, umsetzbare Roadmap, um die Wahrscheinlichkeit oder die Auswirkungen von Cyberereignissen auf die Organisation zu minimieren, zu überwachen und zu kontrollieren, bevor sie auftreten.

Fazit:

«Aus Schaden wird man klug!» Dieses alte Sprichwort trifft auch auf nachträgliche Analysen Right-of-Bang zu.

Aus obiger Beschreibung von Cybersecurity-Maßnahmen lassen sich zwei weitere Erkenntnisse ableiten:

  • Cyber-Intelligenz und AI kommen immer häufiger auch bei der Abwehr von Cyber-Attacken zum Einsatz. Die Erkennung von Anomalien basiert bis dato auf einzelnen, für sich betrachtet eigentlich oft harmlosen Vorfällen, die meist nur mittels vorhandener Regeln korreliert und in der Folge dann auch erkannt werden. Auch bei Log-Managment und SIEM kommt immer häufiger künstliche Intelligenz zum Einsatz, weil die schiere Menge an Logfiles allein eine Erkennung von Mustern erschwert. Der Nachteil, der dadurch entsteht, ist, dass KI unkontrolliert Entscheidungen trifft, die unter Umständen weder wichtig noch richtig sind und für den CISO zudem nicht nachvollziehbar sind.
  • Moderne Lösungen wie das Vulnerability Management Harmony Purple arbeiten zwar on-premise, teilen aber die Signaturen von Cyber-Attacken anonymisiert über die Cloud mit anderen Anwendern. Je mehr Quellen neue Angriffsvektoren beisteuern, desto schneller können die Risiken der einzelnen Organisation reduziert werden.
Verschlüsselter USB-Stick DataLocker Sentry ONE erhält BSI-Zertifizierung #BSI #USB #Datalocker https://t.co/ObA8a9ztdi https://t.co/TLVliwTTrA
Zwei Wochen ohne E-Mail: Angriff auf Server der Handelskammern hält an https://t.co/B4F2fLhOBm https://t.co/3ajG80VVCq
@DSAgentur: Cyber-Bedrohungen für den Mittelstand nehmen zu https://t.co/JJptE4gGXH https://t.co/OLcJilZTzC
Cisco: Angreifer könnten an private RSA-Schlüssel in ASA und Firepower gelangen | heise online https://t.co/xPNHbZLOAK
Patchday: Microsoft dichtet Zero-Day-Lücke und 120 weitere Sicherheitslecks ab | heise online https://t.co/pVx3NehRL6
Webbrowser: Google Chrome und Microsoft Edge 104 schließen Sicherheitslücken | heise online https://t.co/TvkkGugTlX
Patchday: F5 dichtet Schwachstellen in BIG IP und Nginx ab | heise online https://t.co/tX22BIrPWA
VMware-Updates: Schnelles Handeln "extrem wichtig" | Security https://t.co/KuzRFXGZTp #VMware
Cyber-Attacke auf Bergische Universität in #Wuppertal https://t.co/SvCgFuwBrq https://t.co/f00ep5sqT1
Hotelkette #Marriott kämpft erneut mit Datenleck. Angreifer konnten personenbezogene Daten erbeuten. https://t.co/QaVrXaKSn2 https://t.co/uZwEpdJXHt
@ein_ISB: Cyberrisiken sind kaum noch versicherbar und die Versicherer fürchten hohe Verluste durch bereits abgeschlossene Policen. Beitragssteigerungen von 300 %. Das Thema ist so gut wie durch. Ein Risikotransfer über eine #Cyberversichrung kaum noch realisierbar.
https://t.co/t0Y3k1IywA
Sophos: 94 Prozent mehr Angriffe auf das #Gesundheitswesen
https://t.co/V58s4hRh5b https://t.co/lSSXn28Nul
@DSAgentur: Ransomware: Nürnberger Elektronikhersteller Semikron gehackt - https://t.co/VYXd7XLl0L https://t.co/mscgWaQLdk
Wieder einmal #Sicherheitslücken bei #Foxit PDF Reader und PDF Editor. Sicherheitsupdate verfügbar https://t.co/VnE0vMsz8c
Verschlüsselter USB-Stick #DataLocker Sentry One ist ab sofort BSI zertifiziert. https://t.co/spEuxvav0L https://t.co/Dd44x0Oqi0
@NetSupportNSM: Want to learn more about #NetSupportManager? Take a look at this episode of #NetSupportRadio where we take you through some frequently asked questions when it comes to NetSupport Manager https://t.co/sXDlnNjKBz #RemoteManagement #ITAssets #AssetManagement https://t.co/a1Lm0UOPSy
d18be
Was ist unter dem Zero Trust Sicherheitsmodell zu verstehen und wie wird es umgesetzt? https://t.co/CNPUWuPv8L #zerotrust https://t.co/EuVfQHXuhW
@heisec: Sicherheitsupdates: Schadcode-Attacken auf Thunderbird vorstellbar https://t.co/l1WGn0Wl1s #MozillaThunderbird #Patches
@heisec: Foxit PDF Reader und Editor unter macOS und Windows angreifbar https://t.co/Kfwy77478J #FoxitPDF #Patch

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This