aktuell | Dezember/Jänner 2016

Dynamische Abwehrmaßnahmen für umfassenden Bedrohungsschutz Das Internet ist ein Segen. Und zugleich ein Fluch, wenn es Kriminellen dazu dient, Unternehmen meist mit dem Ziel des Diebstahls oder der unbefugten Verwendung bzw. Vernichtung von Daten zu bedrohen. Bei der Abwehr solcher Angriffe verlassen sich viele Firmen nur auf zwei oder drei Ebenen im Internet-Gateway und an jedem Desktop-System oder Server. Ohne Koordination der Verteidigungsmaßnahmen reicht dieser Schutz angesichts heutiger dynamischer Bedrohungen nicht aus. Zu raffiniert sind vektorübergreifende gezielte Angriffe, hochentwickelte Ver- schleierungstechniken und Zero-Day-Attacken. Erforderlich sind Abwehrmaßnahmen, die sich dynamisch anpassen. Wir stellen einige davon vor.

Neben konventionellen und technologischen An- griffen sind es immer öfter hochentwickelte „op- portunistische Angriffe“, die Unternehmen und Privatpersonen zu schaffen machen. Deren Ziel sind nicht einzelne Menschen, Unternehmen oder Organisationen, sondern eine möglichst breite Masse. Um die Angriffsfläche hierfür zu reduzie- ren, sollten Unternehmen ihre Sicherheitslösungen für Endgeräte und Netzwerk-Gateways unbedingt mithilfe dynamischer Erkennungsheuristiken auf den neuesten technologischen Stand bringen. Zusätzlich ist die Erkennung von Verschleierungs- techniken an der Firewall notwendig. Auch die tiefgehende Inhaltsüberprüfung auf dem E-Mail- und Web-Gateway ist wichtig, denn Phishing-Ver- suche und webbasierte Angriffe sollten damit blockiert werden. All diese Technologien arbeiten im optimalen Fall zusammen und können Informa- tionen über Cloud-basierte Services austauschen. Vorbereitung auf gezielte Angriffe Die Gefährdung sinkt erst dann auf ein Minimum, wenn böswillige Aktionen auf der Grundlage kol- lektiver Bedrohungsinformationen blockiert wer- den können. Das heißt, wenn erste Erfahrungen mit einer Bedrohung mit weltweit erfassten Da- ten – auch von Sicherheitsanbietern und anderen Branchenquellen – kombiniert werden. Durch die Integration dieser Informationen in vorhandene

Schutzmaßnahmen können Bedrohungen anhand von Dateiattributen, Quell- und Zieladressen, Zeit- punkt und Verbreitung sofort blockiert werden. Automatisierte Gegenmaßnahmen Sobald eine gefährliche Bedrohung in Form eines Codes identifiziert wird, muss ein Analysesystem sämtliche andere Sicherheitssysteme informie- ren, damit dieser Code beim Auftreten im Netz- werk unmittelbar erkannt und blockiert wird und bereits infizierte Hosts isoliert werden. Erforder- lich ist, dass die Abwehrsysteme zusätzlich nach kompromittierten Systemen im Netzwerk suchen und Gegenmaßnahmen einleiten. Bislang erfol- gen diese Schritte meist manuell. Wenn jedoch Bedrohungsinformationen in Endgeräte und Netz- werksicherheitssysteme integriert sind, können automatisierte Workflows zur Isolierung und Pro- blembehebung eingerichtet und als Echtzeitschutz genutzt werden. SIEM-Systeme als beste Lösung Die US-Regierung hat im Jahr 2013 rund 3000 Unternehmen gezählt, die gehackt wurden. In zwei Banken am Persischen Golf sind innerhalb weniger Stunden 45 Millionen US-Dollar abhanden gekom- men. Und eine britische Firma hatte von einem Tag auf den anderen den Verlust von 1,3 Milliarden US-Dollar zu verkraften. Diese Zahlen machen

deutlich, wie technisch ausgeklügelt Sicherheits- systeme heute sein müssen. Benötigt wird zum Schutz vor hochentwickelten Bedrohungen ein SIEM-System (Sicherheits- und Ereignis-Manage- ment). Es kann „Big Data“-Sicherheitsdaten ver- arbeiten und Daten aus verschiedensten Quellen aggregieren, korrelieren und erfassen. Nur mit einer solchen, komplett durchgehenden Transpa- renz können sich die zuständigen Mitarbeiter auf die Überwachung von Mustern und allgemeinen Bedrohungstrends konzentrieren, während Watch- lists und automatisierte Systeme die taktische Verteidigung im Hintergrund übernehmen. Das bringt ein zeitgemäßes Sicherheitssystem • Schließung der Lücken zwischen den Sicher- heitslösungen, um den Verlust sensibler Infor- mationen wie geistiges Eigentum und regulierte Daten zu verhindern • Reduzierung der Unterbrechungen für Anwender und das Netzwerk, um Infektionen und gefährli- chen Datenverkehr zu verhindern • Verbesserung der Möglichkeiten, gezielte An- griffe zu erkennen, zu dokumentieren und einzu- dämmen, bevor Schaden entsteht • Automatisierung der manuellen Aufgaben und Workflows, um den Zeitraum zwischen Ereignis und Zwischenfallerkennung zu reduzieren • Reduzierung der Kosten für Abhilfemaßnahmen, Beratung, Forensik, Kompromittierungen und juristische Konsequenzen • Priorisierung kritischer Ereignisse zur gezielte- ren Nutzung des Zeit- und Ressourcenbudgets sowie Verbesserung der Problembehandlung • Verbesserung des Einblicks in die Sicherheits- lage dank Echtzeitüberblick über sich verän- dernde Risiken sowie Bedrohungsereignisse • Flexibilität dank modularer und offener Archi- tektur und Integration in ältere sowie Drittan- bieter-Systeme

In der Gruppe der G-20-Staaten entsteht jährlich ein Schaden von 200 Milliarden US-Dollar durch Cyber-Kriminalität. Weltweit wird die Schadenssumme mit mehr als 400 Milliarden US-Dollar pro Jahr veranschlagt. Aus der Studie „Die globalen Kosten von Cybercrime“ vom Center for Strategic and International Studies (CSIS) in Zusammenarbeit mit dem IT-Security-Anbieter McAfee

Seite 9