.jpeg){kind=logo}
In letzter Zeit habe ich viele Gespräche mit Führungskräften aus dem Bereich Cybersicherheit über ein von mir geprägtes Konzept geführt, das ich als „Security Event Horizon“ bezeichne. Der Grundgedanke dabei ist, dass der Begriff „Defense in Depth“ in der Sicherheitswelt eine Fehlbezeichnung ist. Sicherheitstechnologien überschneiden sich selten hinsichtlich der Art der Angriffswerkzeuge oder des Verhaltens, auf die sie abzielen, und in der Regel gibt es nur eine einzige Sicherheitsmaßnahme bzw. -technologie zwischen dem Start und dem Erfolg eines Angriffsversuchs durch einen Angreifer. Prävention bleibt wichtig, aber es gibt einen Punkt im Lebenszyklus eines Angriffs, an dem präventionsorientiertes Denken kein relevantes Modell mehr ist und Erkennung, Kontext und Reaktion zu den wichtigsten Faktoren werden.
Das mag für diejenigen, die viel Zeit im Bereich der Sicherheitsmaßnahmen verbracht haben, selbstverständlich klingen, aber ich halte es für wichtig, dies ausdrücklich zu betonen, da in weiten Teilen der Sicherheitsbranche immer noch so getan wird, als könne die richtige Kombination präventiver Maßnahmen eine Kompromittierung zu einer Ausnahmeerscheinung machen. In der Praxis funktioniert das jedoch nicht so.
Warum ist der Begriff „mehrschichtige Verteidigung“ irreführend?
Moderne Unternehmen sind zu groß, zu dezentralisiert und zu dynamisch, als dass diese Annahme zutreffen könnte. Sie betreiben umfangreiche Bestände an cloud , SaaS-Anwendungen, endpoint , Identitätssystemen, APIs, Drittanbieterdiensten, Legacy-Anwendungen und geschäftskritischen Systemen, die sich innerhalb eines realistischen Zeitrahmens nur schwer oder gar nicht patchen lassen. Selbst gut geführte Unternehmen verfügen über unbekannte Ressourcen, exponierte Dienste, Konfigurationsabweichungen, Identitäten mit zu weitreichenden Berechtigungen und Systeme, die nicht gepatcht werden können, sobald ein Fix verfügbar ist.
Natürlich ist Prävention nach wie vor notwendig. Patches, Absicherung, Segmentierung, Identitätskontrollen, sichere Konfiguration, E-Mail-Sicherheit, endpoint und Schwachstellenmanagement verringern allesamt die Angriffsmöglichkeiten eines Angreifers. Das Problem ist jedoch, dass Prävention kein vollständiges Betriebsmodell darstellt. Auf Unternehmensebene wird ein gewisser Prozentsatz der präventiven Kontrollen versagen, und die Sicherheitsarchitektur muss unter Berücksichtigung dieser Annahme konzipiert werden.
KI verschärft dieses Problem noch. Angreifer werden über bessere Werkzeuge verfügen, um Schwachstellen aufzuspüren, Exploit-Varianten zu entwickeln, die Aufklärung zu automatisieren, überzeugende Social-Engineering-Angriffe zu generieren und ihre Vorgehensweise an die Reaktionen der Verteidiger anzupassen. Auch die Verteidiger werden KI einsetzen, doch die zeitliche Asymmetrie spielt eine entscheidende Rolle. Es ist viel einfacher, einen einzigen ausnutzbaren Einfallspunkt zu finden, als nachzuweisen, dass alle ausnutzbaren Einfallspunkte in einem großen Unternehmen beseitigt wurden.
Weiterführende Literatur: Was kommt als Nächstes für Unternehmen nach zwei GenAI-Wellen?
Warum der „Security Event Horizon“?
Aus diesem Grund habe ich das Konzept des „Security Event Horizon“ entwickelt und halte es für wichtig, darüber zu diskutieren.
In diesem Modell wird zwischen ursachenbasierter und wirkungsbasierter Erkennung unterschieden. Die ursachenbasierte Erkennung konzentriert sich auf das, was den Angriff auslöst oder ermöglicht: eine Schwachstelle, einen Exploit, eine schädliche Datei, einen Befehl, einen Infrastrukturindikator, phishing oder eine bekannte Technik. Hier sind natürlich viele Präventions- und Blockierungslogiken angesiedelt.
Die wirkungsbasierte Erkennung konzentriert sich darauf, was geschieht, nachdem der erste Angriff erfolgreich war. Sobald sich ein Angreifer in der Umgebung befindet, hat er einiges zu tun. Er muss sich authentifizieren, Systeme erfassen, sich innerhalb der Umgebung bewegen, seine Rechte ausweiten, seine Präsenz aufrechterhalten, kommunizieren, Daten bereitstellen und schließlich seine Ziele umsetzen. Diese Verhaltensweisen hinterlassen Spuren in der Umgebung. Die Aufgabe des Verteidigers besteht darin, diese Spuren zu erkennen, sie im Kontext zu verstehen und zu reagieren, bevor der Angreifer sein Ziel erreicht.
MITRE ATT&CK ist ein nützliches Modell, um diesen Übergang zu beschreiben. Die frühen Phasen eines Angriffs lassen sich in der Regel nahtlos mit präventionsorientierten Kontrollmaßnahmen in Einklang bringen. Im weiteren Verlauf des Angriffs – über die Erkundung, den Zugriff auf Anmeldedaten, die laterale Bewegung, die Befehls- und Kontrollphase, die Datenerfassung bis hin zur Exfiltration – liefert die Umgebung zunehmend Hinweise auf verdächtiges Verhalten. An diesem Punkt geht es weniger darum, ob ein einzelnes Objekt als bösartig erkannt wird, sondern vielmehr darum, ob eine Abfolge von Aktivitäten sinnvoll ist.
Angreifer nutzen zunehmend legitime Anmeldedaten, legitime Protokolle, legitime Verwaltungstools und legitime cloud . Vieles von dem, was sie tun, sieht isoliert betrachtet nicht böswillig aus. Eine Anmeldung kann gültig sein. Ein PowerShell-Befehl kann zulässig sein. Eine Verbindung zwischen zwei Systemen kann ein zugelassenes Protokoll verwenden. Ein cloud kann syntaktisch normal sein. Die Frage ist, ob das Verhalten mit der normalen Funktionsweise dieses Benutzers, Hosts, dieser Workload oder dieser Anwendung übereinstimmt und ob es in ein umfassenderes Angriffsmuster passt.
Erkennung muss mehr sein als nur das Sammeln von Warnmeldungen. Einem Analysten noch mehr Signale zur Triage zu liefern, bringt uns nicht wirklich ans Ziel; vielmehr müssen wir in der Lage sein, den Verlauf eines Angriffs nachzuvollziehen – genau das ist in der Phase nach einer Kompromittierung erforderlich. Dies hat einige praktische Auswirkungen.
Verstehen, wie Cyberangriffe ablaufen
Erstens bedeutet Prävention nicht die Beseitigung von Risiken, sondern muss als Risikominderung betrachtet werden. Sie verringert die Angriffsmöglichkeiten und sollte kontinuierlich verbessert werden, darf jedoch nicht die Grundlage bilden, auf der der Rest der Architektur aufbaut.
Zweitens muss die Erkennung auf jene Aspekte des Angriffs ausgerichtet sein, die nach dem Versagen der Prävention noch erkennbar sind. Netzwerkaktivitäten, Identitätsverhalten, Aktivitäten cloud , SaaS-Nutzung, endpoint und Datenbewegungen liefern jeweils unterschiedliche Einblicke in das Verhalten von Angreifern. In einer modernen Sicherheitsarchitektur reicht keiner dieser Aspekte für sich allein aus.
Drittens ist der Kontext von entscheidender Bedeutung und genauso wichtig wie die Telemetriedaten. Ein Ereignis zu erkennen ist nicht dasselbe wie es zu verstehen. Sicherheitsbeauftragte müssen wissen, um welche Ressource es sich handelt, wem die Identität gehört, wie das normale Verhalten aussieht, ob das System gefährdet ist, welche Berechtigungen im Spiel sind und in welchem Zusammenhang die Aktivität mit anderen Ereignissen in der gesamten Umgebung steht.
Schließlich muss die Reaktion auf den aktuellen Stand des Angriffs abgestimmt sein. Die richtige Reaktion auf ein unklares, frühes Signal unterscheidet sich von der richtigen Reaktion auf eine bestätigte seitliche Bewegung oder eine aktive Datenzusammenstellung. Sicherheitsteams müssen nicht nur wissen, dass etwas passiert ist, sondern auch, an welcher Stelle im Angriffszyklus sie sich befinden, und im Idealfall, was der Angreifer als Nächstes wahrscheinlich versuchen wird.
Genau darum geht es beim „Security Event Horizon Framework“. Es bietet eine Möglichkeit, zu analysieren, in welchen Bereichen verschiedene Technologien zum Einsatz kommen, welche Signale sie erzeugen und wo sich ihr Nutzen verändert, wenn ein Angriff von einem Kompromittierungsversuch zu einem aktiven Eindringen übergeht.
Prävention wird stets ein zentraler Bestandteil der Sicherheitsarchitektur bleiben. Doch in einer Welt, in der KI die Aufdeckung und Ausnutzung von Schwachstellen beschleunigt und es unrealistisch ist, jede im Einsatz befindliche Software- und Hardwarekomponente in jedem Unternehmen zu patchen, müssen Sicherheitsprogramme klar darlegen, was geschieht, wenn die Prävention versagt, und auch darauf ausgelegt sein.
Hier müssen Erkennung und Reaktion die Hauptlast tragen. Nicht als nachträglicher Einfall oder als Ansammlung unzusammenhängender Warnmeldungen, sondern als Modell zum Verständnis des Verhaltens von Angreifern in der gesamten Umgebung.
Die praktische Frage für Sicherheitsbeauftragte und Führungskräfte ist klar und einfach. Wenn ein Angreifer die Sicherheitskontrollen umgeht, die ihn eigentlich hätten aufhalten sollen, können Sie dann immer noch erkennen, was er tut, einschätzen, wie weit er bereits vorgedrungen ist, und reagieren, bevor seine Aktivitäten zu einem schwerwiegenden Geschäftsvorfall werden?
Vectra AI auf einzigartige Weise darauf ausgelegt, die Signale und die kontinuierliche Leistungsfähigkeit bereitzustellen, die für die Absicherung hybrider, softwaredefinierter Unternehmen erforderlich sind. Dies geschieht durch Erkennung und Reaktion auf der Grundlage von Datensätzen und Technologien, über die kein anderes einzelnes Unternehmen verfügt. Wenn Sie ernsthaft an einer Sicherheitsarchitektur interessiert sind, die über den „Event Horizon“ hinausgeht, sollten Sie sich das einmal ansehen.
Wenn Sie mehr von Marty Roesch zum Thema „Security Event Horizon“ erfahren möchten, hören Sie sich den Hunt Club .