Wie Unternehmen Detection & Response beschleunigen
Elf Tage brauchen Cyberkriminelle in der Regel, um nach Einbruch ins Netzwerk Daten zu erbeuten oder zu verschlüsseln, warnt Wolfgang Kurz von indevis.
Elf Tage… was wie der Beginn eines Horrorfilms klingt, ist für viele Unternehmen erschreckende Realität. Denn nur so lange brauchen Cyberkriminelle heutzutage in der Regel, um nach Einbruch ins Netzwerk Daten zu erbeuten oder zu verschlüsseln. Vor allem Ransomware-Gruppen gelingt es, ihre Wertschöpfungskette immer stärker zu verkürzen. Für Unternehmen heißt es also: Sie müssen noch besser in Detection & Response werden.
Das Geschäft mit Ransomware zahlt sich aus. Im Vergleich zum Vorjahr hat sich das durchschnittlich gezahlte Lösegeld fast verdoppelt und ist auf rund eine viertel Million Euro gestiegen. Andere Studien mit Schwerpunkt auf die USA, wie beispielsweise von Palo Alto Networks, sprechen sogar von einer Lösegeldsumme von über einer halben Million Dollar.
Das boomende Geschäftsmodell führt zu einer zunehmend professionalisierten Branche. Mittlerweile haben sich spezialisierte Ransomware-Gruppen gebildet, die jeweils verschiedene Aufgaben übernehmen. Dadurch wird die Wertschöpfungskette massiv verkürzt. Während die einen die Malware entwickeln, suchen die anderen nach lohnenden Zielen, spionieren Opfer aus und verschaffen sich Zugang. Diesen verkaufen sie dann in einschlägigen Foren im Darknet. Um im Wettlauf gegen dieses hocheffiziente Konzept bestehen zu können, müssen Unternehmen ihre Systeme für Detection & Response vorbereiten. Denn die Uhr tickt.
MDR garantiert blitzschnelle Reaktion
Um Cyberangriffe rechtzeitig aufzuspüren, müssen Unternehmen alle Angriffsvektoren im Blick haben. Zu diesem Zweck setzen viele bisher auf ein Security Information and Event Management (SIEM). Ein SIEM sammelt die Logdaten aller angeschlossenen Security Systeme und analysiert sie auf Unstimmigkeiten. Der Nachteil eines SIEM ist, dass jeder einzelne Alert manuell vom Security-Team überprüft werden muss. Das kostet nicht nur viel Zeit, sondern erfordert auch spezialisiertes Know-how. Viele Unternehmen stoßen hier an ihre Grenzen. Zudem besteht angesichts der Masse an Alerts ein erhebliches Risiko, gefährliche Events zu übersehen.
Eine effektive Möglichkeit, Fehlalarme zu reduzieren sowie die Bedrohungserkennung zu verbessern und zu beschleunigen, ist SOAR (Security Orchestration, Automation and Response). Ein solches System korreliert und analysiert innerhalb von wenigen Sekunden enorme Datenvolumen. Dabei greift es auf verschiedenste interne und externe Threat-Intelligence-Quellen zurück, um Informationen zu überprüfen und zu bewerten. So lassen sich die meisten False Positives effizient aussortieren. Zudem kann SOAR Alerts automatisiert analysieren, indem es in Playbooks hinterlegte Logiken anwendet und festgelegte Workflows abarbeitet. Innerhalb von kürzester Zeit erhält das Unternehmen ein Gesamtbild darüber, wie ein Angriff verlaufen ist und welche Systeme infiziert sind.
SOAR oder Managed Detection und Response
Ein SOAR in die bestehende Sicherheits-Infrastruktur zu integrieren ist jedoch kein leichtes Unterfangen. Zudem sind solche Lösungen nicht gerade günstig. Für einzelne Unternehmen lohnen sich Aufwand und Kosten deshalb oft nicht. Zumal sie zusätzlich weiterhin Security-Analysten benötigen, um die verbleibenden Warnmeldungen kontinuierlich zu überwachen, genauer zu untersuchen und zu bewerten. Während in manchen Standard-Szenarien eine automatisierte Response hilfreich ist, muss ein Großteil an Maßnahmen individuell abgestimmt werden. Nur so bleibt der Geschäftsbetrieb gesichert.
Aus diesen Gründen ist es für Unternehmen oft ratsam, kein eigenes SOAR zu betreiben. Stattdessen bietet es sich an, einen spezialisierten Anbieter für Managed Detection und Response (MDR) heranzuziehen. Diese Dienstleister stellen die SOAR-Technologie zur Verfügung, beschäftigen bereits Security-Analysten mit dem richtigen Know-how und übernehmen Betrieb und Wartung der Plattform. Sollte ein Eindringling im Netz auftauchen, unterstützen sie dabei, den Angriff zu stoppen und Maßnahmen zu ergreifen. Mit einem blitzschnellen Sicherheitssystem auf dem neuesten technologischen Stand brauchen Unternehmen dann keine Horrorszenarien mehr zu fürchten.
Geschäftsführer und Founder indevis