Was ist erstaunlicher - dass trotz der weit verbreiteten Multi-Faktor-Authentifizierung (MFA) 71 % der Unternehmen im letzten Jahr immer noch von SaaS-Kontoübernahmen betroffen waren oder dass trotzdem fast 90 % ihre cloud und digitale Transformation beschleunigt haben? Vielleicht ist beides nicht besonders erstaunlich, wenn Sie die transformativen Auswirkungen des letzten (Pandemie-)Jahres bemerkt haben und sowohl auf die Risiken als auch auf die Chancen aufmerksam geworden sind. Um einen Einblick in die Vergangenheit, Gegenwart und Zukunft dieser Reise zu erhalten, haben wir mehr als 1.000 Sicherheitsentscheider in mittleren bis großen Unternehmen befragt, die Microsoft Office 365 nutzen.
Auf den ersten Blick sieht alles gut aus
Es war von Anfang an klar, dass bei einer Reihe von Themen eine optimistische Stimmung herrschte, und bis zu einem gewissen Grad sollte dies auch so sein. Die Einführung und Umstellung von Cloud bietet Unternehmen die Möglichkeit, viele fehlerhafte und fehlgeschlagene Annahmen, die in der alten Sicherheitsarchitektur kodiert sind, zu revidieren und im Hinblick auf eine Zero-Trust-Architektur zu modernisieren. Die Abkehr von der Prävention als primäre (und fehlgeschlagene!) Sicherheitsstrategie und die Hinwendung zu einer auf Widerstandsfähigkeit ausgerichteten Strategie ist seit fast einem Jahrzehnt das Ziel fortschrittlicher Sicherheitsexperten - es ist also positiv zu sehen, dass diese Stimmung zunimmt!
Optimismus weicht der Realität
Trotz dieses Optimismus räumten über 80 % der Befragten ein, dass die Risiken für die Cybersicherheit ihres Unternehmens im letzten Jahr zugenommen haben, und fast 60 % waren der Meinung, dass sich die Lücke zwischen ihren Verteidigungsfähigkeiten und den Offensivfähigkeiten ihrer Gegner vergrößert hat - was die Gefahr birgt, dass sie noch weiter zurückfallen, was sich bereits wie ein verlorenes Wettrüsten anfühlt.
Wie erklärt sich die Kluft zwischen dieser rosigen Stimmung und der Einschätzung der tatsächlichen Herausforderungen, die auf die Unternehmen zukommen, wenn sie ihre Risiken und Fähigkeiten betrachten? Ich würde sagen, dass die Verteidiger zwar die Chancen und die Entwicklung anerkennen, aber auch erkennen, dass cloud und die digitale Transformation mit Übergangslücken, organisatorischen Störungen und Möglichkeiten für Gegner verbunden sind, von der Geschwindigkeit und dem Umfang der cloud während des Übergangs zu profitieren.
Transformation bedeutet Übergang
Erstens erfordern technologische Umstellungen im Unternehmensmaßstab häufig die Aufrechterhaltung einer zukunftsorientierten Architektur und die Verfügbarkeit von Altsystemen. Leider vergrößert sich dadurch die Angriffsfläche, die einem Angreifer zur Verfügung steht. Wenn Sie beispielsweise Azure AD in einem hybriden Modus betreiben, müssen Sie sich nicht nur vor Angriffen auf das alte Active Directory und Azure AD schützen, sondern auch vor einer dritten Klasse von Angriffen, die sich daraus ergeben, dass beide Systeme gleichzeitig unterstützt werden müssen und die beiden Verzeichnisse synchronisiert werden müssen. Aus Sicht eines Angreifers ist das besser als nur das Beste aus beiden Welten!
In solchen Übergangsphasen müssen die Verteidiger des Unternehmens darauf vorbereitet sein, das Pflaster abzureißen und die IT-Abteilung bei der Aufgabe zu unterstützen, die Migration zum gewünschten zukünftigen Zustand zu beschleunigen und gleichzeitig die Auswirkungen auf die Sicherheitslage zu verstehen und die Prioritäten für Risiken und Abhilfemaßnahmen festzulegen. Wenn sich der Übergang in die Länge zieht, werden nicht nur die technischen Ressourcen des Unternehmens belastet, sondern es entstehen auch grundlegend neue Lücken, die Angreifer ausnutzen können.
Transformation kann laut sein
Zweitens beinhaltet die Umgestaltung von cloud eine Anpassung an die "neue Normalität" - aber die Suche nach dieser Verhaltensgrundlage ist chaotisch, verrauscht und anfällig für Unsicherheiten und Unvertrautheit für Verteidiger. Lärm und Ungewissheit sind Bedingungen, die von Angreifern hervorragend ausgenutzt werden können, und davon gibt es auf dieser Transformationsreise jede Menge. Unser Spotlight-Bericht zu Office 365 ergab, dass 96 % der Kunden verdächtige seitliche Bewegungen in Office 365-Konten aufweisen. Diese Menge an Warnmeldungen wäre ohne den Einsatz von künstlicher Intelligenz oder maschinellem Lernen zur Unterscheidung von Signal und Rauschen unmöglich zu analysieren.
Erfreulicherweise setzen 60 % der Befragten eine Mischung aus Fachleuten und Technologie ein, um dieses Problem im nächsten Jahr zu bewältigen. Dies ist ein gutes Zeichen, und umsichtige Verteidiger werden Aufgaben identifizieren, in denen sie sich auszeichnen (z. B. Kontextualisierung von Verhaltensweisen) und die am besten für Maschinen geeignet sind (z. B. Durchsuchen großer Mengen verrauschter Daten).
Öffentliche cloud bietet eine große Chance [für Angreifer]
Drittens ermöglicht cloud nicht nur den Unternehmen, mit bisher unerreichter Geschwindigkeit und in bisher unerreichtem Umfang zu operieren, sondern bietet diese Vorteile auch den Gegnern. Wenn nicht in die Reaktionsfähigkeit investiert wird, wird die Lücke in den Sicherheitskapazitäten weiter wachsen. Diese Einsicht wird deutlich, wenn man bedenkt, dass Angreifer ihre Erkundung auf cloud über klar definierte APIs durchführen, die bequem Dinge wie Zugriff und Berechtigungen über Regionen und Arbeitslasten hinweg auflisten und die sich miteinander verketten lassen, um schnell und in großem Umfang ausgeführt zu werden. Das bedeutet, dass die Verteidiger schnell handeln müssen, um eine Chance zu haben.
Wahrscheinlich ist dies der Grund, warum mehr als 50 % der Befragten im nächsten Jahr Investitionen in Automatisierung und Orchestrierung planen; die Reaktion ist jedoch nur die halbe Miete. Ohne ein zuverlässiges Signal, das die Reaktion auslöst, können autorisierte Benutzer selbst Opfer von Angreifern und übereifrigen, defensiven Automatisierungen werden. Dies ist ein weiteres Beispiel dafür, dass es für Unternehmen ratsam ist, in verwertbare (KI/ML-gestützte) Erkennungsfunktionen für das Verhalten von Angreifern zu investieren, um diese in die nachgelagerte Orchestrierung einfließen zu lassen.
Die Zukunft ist rosig
Doch trotz dieser Herausforderungen ist die Zukunft für Organisationen, die sich auf diese Reise begeben wollen, vielversprechend. Als transformative Kraft ist die cloud mächtig. Sie verändert das Geschäft grundlegend, während sie gleichzeitig eine nie dagewesene Modernisierung der Sicherheit ermöglicht. Wäre dieser Wandel nicht vor dem Hintergrund der sehr greifbaren Vorteile, die KI/ML-basierte Funktionen für das Sicherheitsportfolio eines Unternehmens bieten, würde ich vielleicht nicht die Meinung einiger unserer optimistischeren Umfrageteilnehmer teilen. Aber aus unserer Sicht ist es schwer, nicht auf den vor uns liegenden Weg zu schauen und die Herausforderung anzunehmen.