17.01.2022 | Bruno Blumenthal

Identify und Protect vor Detect und Response

CyberSecurity

In den letzten Jahren hat sich die Erkenntnis durchgesetzt, dass es längst nicht mehr ausreicht, nur präventive Schutzmassnahmen gegen Cyberangriffe zu ergreifen. Die Erkennung von Cyberangriffen und die rasche Reaktion auf Attacken sind vermehrt in den Fokus gerückt, nicht zuletzt auch aufgrund von Standards wie dem NIST Cybersecurity Framework oder dem IKT Minimalstandard des Bundes. Es ist zwar definitiv wichtig und richtig, in einer Cybersecurity-Strategie die Funktionen Detect und Response mit zu berücksichtigen, allerdings beobachten wir mittlerweile eine gefährliche Tendenz, im Gegenzug die Grundlagen im Bereich der präventiven Massnahmen zu vernachlässigen.

Identify und Protect als Grundlage

Das NIST Cybersecurity Framework und der darauf aufbauende IKT-Minimalstandard teilen die Cybersecurity in die fünf Funktionen Identify (Identifizieren), Protect (Schützen), Detect (Erkennen), Respond (Reagieren) und Recover (Wiederherstellen) auf. Ein angemessener Umgang mit Cyberrisiken erfordert, dass eine Organisation in allen fünf Funktionen aktiv ist. Während traditionelle Standards bisher vor allem die Funktionen Identify und Protect hervorhoben, positioniert das NIST Cybersecurity Framework die Funktionen Detect und Response als gleichwertig mit den präventiven Massnahmen. Im NIST CSF wird dabei betont, dass gerade für die Funktionen Identify und Protect bereits viele gute Standards bestehen, die weiterhin wichtig sind und angewendet werden sollten. In der Praxis werden jedoch oft wichtige, aber eben auch etwas mühsame und wenig attraktive Cybersecurity-Themen wie Asset Management, Patch Management, System Hardening oder Backup und Restore etwas stiefmütterlich behandelt. Identity and Access Management – insbesondere Privileged Access Management und Multi-Faktor-Authentisierung – ist ein weiteres essenzielles Thema, das man nicht einfach mit Massnahmen der Funktionen Detect und Response ersetzen kann. Allzu oft wird versucht, Mängel in den Funktionen Identify und Protect mit Massnahmen der Funktion Detect zu kaschieren. Anbieter von Sicherheitslösungen und Managed Security Service Provider sind auf den Trend für Lösungen in den Funktionen Detect und Response aufgesprungen und buhlen um Kundschaft, indem sie neue Tools (SIEM, EDR etc.) und Dienstleistungen im Bereich Security Operations Center (SOC) anbieten. Weder diese neuen Tools noch die SOC-Services sind per se schlecht. Der Aufbau von Fähigkeiten in den Funktionen Detect und Response ist insbesondere für kleinere IT-Organisationen mit wenig internen Ressourcen eine grosse Herausforderung – entsprechende Tools und vor allem Services können hier eine wichtige Rolle spielen.

Die effiziente Auslagerung von Teilen der Aufgaben in den Funktionen Detect und Response bedingt aber eine hohe Maturität der Organisation bei den Grundlagen der Cybersecurity. Fehlen die Grundlagen, ergibt sich durch die Einführung neuer Tools und Services meist nur ein Mehraufwand für die Organisation, ohne dass die Sicherheit entsprechend gesteigert wird. Ein mangelndes Asset Management hat beispielsweise zur Folge, dass die Detektion von Sicherheitsrisiken unweigerlich unvollständig ist und eine effiziente Reaktion auf einen Angriff kaum möglich ist. Zudem ist Wissen um die Kritikalität der Assets nötig, um Incidents zu priorisieren. Anwendungen zum Erkennen unerwünschter Kommunikationsverbindungen erfordern Kenntnisse über die legitimen Kommunikationsverbindungen in einer Organisation. Zu viele Berechtigungen auf den Clients und Servern einer Organisation erlauben es Angreifern, unbemerkt zu agieren, weil ihre illegitimen Aktivitäten kaum von legitimen Aktivitäten unterschieden werden können.

Als erste Detektionsmassnahme wird in vielen Organisationen ein Vulnerability Scanning eingeführt. Dieses ist aber wenig hilfreich, wenn man kein funktionierendes Patch Management hat, um die vom Vulnerability Scanner erkannten Schwachstellen anzugehen. Als Resultat werden die wenigen vorhandenen Ressourcen mit Hunderten, wenn nicht Tausenden Meldungen des Service Providers belastet. Das SOC hilft in diesem Fall nicht mehr, konkrete Cyberangriffe zu erkennen und abzuwehren, sondern kann höchstens die Schwächen in den Funktionen Identify und Protect sichtbar machen. Um die erkannten Schwächen zu beheben, fehlt es dann aber oft an Ressourcen, weil diese mit der Bewirtschaftung der Feststellungen des SOC-Services beschäftigt sind.

Dies sind nur ein paar Beispiele, die aufzeigen, dass eine effiziente und effektive Cybersecurity mit den Funktionen Detect und Response nur auf einer soliden Basis aufgebaut werden kann. Vernachlässigt man die Funktionen Identify und Protect, kann man nur hoffen, dass der SOC-Service wenigstens hilft, die Mängel im Abwehrdispositiv und damit den Handlungsbedarf, für das Management sichtbar zu machen. Ein direkter Gewinn an Sicherheit lässt sich so aber nicht erzielen.

Ein angemessener Umgang mit Cyberrisiken erfordert, dass eine Organisation in allen fünf Funktionen des NIST CSF aktiv ist. Die Cybersecurity-Maturität der Organisation sollte aber von links nach rechts gesteigert werden. Auch wenn in allen Funktionen Aktivitäten notwendig sind, ist es nicht ratsam, zu viele Ressourcen in die Funktion Detect zu investieren, wenn die Funktionen Identify und Protect noch grosse Lücken aufweisen. Selbstverständlich ist es auch nicht zielführend, die Funktionen Identify und Protect bis zur Perfektion zu treiben, bevor man erste Massnahmen der Funktion Detect umsetzt. Es ist ein iterativer Ansatz notwendig, der von links nach rechts Schritt für Schritt und über die einzelnen Funktionen abgestimmt die Cybersecurity-Maturität der Organisation erhöht. In der Praxis sind die meisten Organisationen bereits in allen fünf Funktionen aktiv. Es geht also oft einfach darum, die Prioritäten für den weiteren Ausbau der Cybersecurity Fähigkeiten richtig zu setzen. In einer zielführenden Cybersecurity-Strategie sollten dazu alle fünf Funktionen berücksichtigt und untereinander abgewogen werden. Der Ist-Zustand ist zu erfassen und ein der Organisation und der aktuellen Bedrohungslage angemessener Zielzustand zu definieren. Für die Umsetzung ist eine entsprechende Roadmap zu entwickeln, die alle Funktionen umfasst und aufeinander abstimmt. Es gilt der Grundsatz: Das eine tun und das andere nicht lassen.

Cybersecurity