Andreas Bunten, IT Security Consultant bei Controlware, stellt in seinem Vortrag „Es war einmal in meinen Logfiles – Angriffe im Security-Operations-Betrieb erkennen“ ganzheitliche Security-Strategien vor.
Risiken und Angriffsvektoren haben sich verändert. Nur eine Security-Strategie ist heute wirklich effektiv. Diese erläutert Controlware-Experte und Keynote-Speaker Andreas Bunten.
Wie läuft ein typischer Angriff ab?
In der sogenannten Reconnaissance-Phase definieren die Angreifer zunächst ihre Angriffsziele und machen Schwachstellen ausfindig, durch die sie in ein Unternehmensnetzwerk eindringen können. Dann suchen sie oder entwickeln passende Exploits – also spezielle Programme, die einzig und allein dazu dienen, die Schwachstellen auszunutzen und damit ins Unternehmensnetzwerk zu gelangen. Diese werden im Netzwerk platziert und ausgeführt. Oft passiert das via einer präparierten E-Mail, die an einen Mitarbeiter versendet wird, der unwissentlich einen angehängten und als harmloses Dokument getarnten Exploit öffnet. Zu guter Letzt breiten sich die Angreifer in der „Escalation“-Phase im Unternehmensnetzwerk aus. Das passiert, indem sie sich von dem erstbefallenen System aus immer mehr Zugriffsrechte für andere Systeme verschaffen.
Was hilft wirklich dagegen?
Effektiv ist da nur eine ganzheitliche Lösung, die für alle Angriffsphasen passende Schutzmechanismen bietet. Mittels bewährten Vulnerability-Managements lassen sich Sicherheitslücken im Unternehmensnetzwerk kontinuierlich ausfindig machen und schließen. Sandbox-Technologie ist in der Lage auch Exploits für noch unbekannte Schwachstellen und gezielte Angriffe zu erkennen. Laterale Ausbreitung von Schadsoftware kann beispielsweise mit Hilfe von Breach-Detection-Lösungen erkannt werden. Hierbei spielen Machine-Learning-Algorithmen der KI oft eine wichtige Rolle. Dennoch gilt weiterhin das sogenannte Assume-Breach-Paradigma: Man sollte davon ausgehen, dass früher oder später das Unternehmensnetzwerk von Angreifern erfolgreich penetriert wird. Schließlich lässt sich heute eine hundertprozentige Abdeckung aller Schwachstellen in der Praxis auch mit der innovativsten Technologie kaum bewerkstelligen. Darum bleiben Erfahrung und Fachwissen unabdingbar, um Sicherheits-Risiken und Schäden durch Angriffe effektiv zu minimieren. Erst durch das enge Zusammenspiel mit menschlicher Expertise entfalten KI-basierte Lösungen ihr volles Potential.
Was bietet Controlware?
In den letzten Jahren haben wir ein starkes Portfolio an Managed Cyber Defense Services aufgebaut. Kunden können von uns ein komplettes Security Operations Center – oder, in anderen Worten, ganzheitlichen Schutz – als Managed Service erhalten. Das bedeutet: Schwachstellen-Management, Auswertung bestehender Informationsquellen und kompletter Betrieb von weiterführenden Sicherheitslösungen wie Breach Detection, Sandboxing oder Endpoint-Detection-and-Response-Lösungen. Wir überprüfen und bewerten jeden Alarm, damit der Kunde sich zeitnah mit den relevanten Ereignissen beschäftigen kann.
Schlagwörter: ControlwareCyber-SecurityKISecurity Day 2018
