Sicherheit muss ausprobiert, getestet und wieder getestet werden. Es ist für Cyberkriminelle einfacher denn je geworden, heimlich neue Wege zu finden, um sich Zugang zu Systemen zu verschaffen und quer durch diese zu navigieren, Lücken in hybriden Arbeitsabläufen auszunutzen oder cloud Konten zu kapern, um Zugang zu einem Ziel zu erhalten. Es ist von entscheidender Bedeutung, dass jeder CISO ein klares Bild davon zeichnen kann, wie es um die Sicherheit seines Unternehmens im Hinblick auf die neuesten Taktiken, Techniken und Verfahren bestellt ist. Allzu oft habe ich jedoch erlebt, dass meine CISO-Kollegen in einen Kreislauf der Vorbereitung jährlicher Penetrationstests von Punktsystemen verfallen, um "konform" zu sein, was sie in Wirklichkeit nur zu leichten Beute macht, die nur darauf wartet, dass ein Einbruch geschieht.
Scannen auf Schwachstellen reicht einfach nicht aus
Die Wahrheit ist, dass viele CISOs einfach nicht weit genug gehen und sich nur für einen einfachen Penetrationstest entscheiden. Dabei handelt es sich um einen kurzen technischen Test einer bestimmten Komponente oder eines Systems mit dem Ziel, technische Schwachstellen zu finden und auszunutzen. Oftmals handelt es sich dabei jedoch nur um einen automatisierten Scan, der zwar Schwachstellen aufzeigt, aber keinerlei Zusammenhang mit den tatsächlichen Bedrohungen für Ihr Unternehmen aufweist - oder damit, wie Angreifer diese ausnutzen könnten.
Im Gegensatz dazu ist eine bedrohungsgeleitete Red-Team-Übung umfassender, da sie mehrere Szenarien berücksichtigt, die üblicherweise von echten Angreifern verwendet werden und Menschen, Prozesse und Technologie umfassen. Sie bietet einen wesentlich besseren Einblick in die Art und Weise, wie Cyberkriminelle versuchen könnten, die schwächsten Glieder in der Kette zu identifizieren und auszunutzen, um ihre Ziele zu erreichen (z. B. die Exfiltration von Kundendaten).
Bei einer Red-Team-Übung muss möglicherweise nicht einmal eine technologiebezogene Schwachstelle ausgenutzt werden; stattdessen können sich die Tester auf Social Engineering, Phishing oder die Identifizierung von Schatten-IT als Einstiegspunkt verlassen. Red Teamer können sogar darauf zurückgreifen, bösartige USB-Sticks vor den Büros zu hinterlassen und darauf zu warten, dass die Mitarbeiter sie einstecken.
Diese Erkenntnis ist Gold wert. Sie ermöglicht es dem Unternehmen, seine Verteidigung schrittweise zu verbessern, indem es den einfachsten, aber aus Sicht des Angreifers wahrscheinlichsten Weg in das Unternehmen wählt. Warum sollten Sie Ihre Zeit und Aufmerksamkeit darauf verwenden, eine komplexe (aber theoretische) technische Schwachstelle zu beheben, wenn ein Hacker immer die einfache Option wählt?
Nach einer Übung des Roten Teams
Mit den aus einer Red-Team-Übung gewonnenen Erkenntnissen kann der CISO Prioritäten für Verbesserungsprogramme setzen, um effektiv gegen reale Risiken vorzugehen und Lücken zu entdecken, die bei einem Standard-Pen-Test sonst übersehen würden. Natürlich steht der CISO unter erheblichem Druck, die schwerwiegendsten Risiken schnell zu beseitigen, und die Umgestaltung der IT geht nicht schnell vonstatten.
CISOs sollten sich zunächst um die einfachen Maßnahmen bemühen, um die Sicherheit sofort zu verbessern, und dann auch vorkonfigurierte netzwerkbasierte Funktionen zur Erkennung und Abwehr von Bedrohungen in Betracht ziehen . Dieser Ansatz steigert die Fähigkeit zur Erkennung von Sicherheitsbedrohungen erheblich. Er bietet auch eine viel kürzere Zeitspanne bis zur Wertschöpfung als die endpoint Erkennung und Reaktion, während die Sichtbarkeit sofort verbessert wird, ohne dass eine umfassende Änderung der Desktop- oder Serverumgebungen erforderlich ist. Darüber hinaus wird der Zeitaufwand für das Durchsuchen zahlreicher Warnmeldungen reduziert und eine Priorisierung vorgenommen, um die dringendsten Bedrohungen zu erkennen - und zu stoppen -, bevor sie sich zu einem ausgewachsenen Sicherheitsverstoß entwickeln.
Durch gründliche Tests können CISOs sowohl ihr Risiko verringern als auch die wirksamsten Möglichkeiten zur Verbesserung ihrer Sicherheit ermitteln. Dieses Verfahren sollte in den kommenden Monaten ganz oben auf ihrer Agenda stehen.
Dieser Blog wurde zuerst in The Register veröffentlicht.