KW 21 / 2024
IT-Security-Dienstleister müssen Schutzkonzepte überdenken
KI-basierte Bedrohungen verschärfen den Kampf im Cyber-Raum
Die Künstliche Intelligenz (KI) wird von den Angreifern eingesetzt, um noch effizientere Attacken auf Organisationen zu starten. Für die Verteidiger wird es deutlich schwieriger einen präventiven Ansatz zur Cyber-Abwehr umzusetzen. Unternehmen selbst sind kaum mehr in der Lage, einen 24-7-Schutz ihrer IT-Infrastruktur aufrecht zu halten – sie sind meist auf externe Unterstützung durch für Managed Security Services Provider (MSSP) angewiesen.
Die ChannelAcademy hilft Resellern das Geschäftsmodell im Bereich XDR zu erweitern.
Das Thema künstliche Intelligenz (KI) wird eine immer wichtigere Rolle im Bereich des Cybercrime einnehmen. Zusätzliche Bedrohungen entstehen beispielsweise im Umfeld des Social Engineering und der Erweiterung von traditionellen Angriffsvektoren spielen. Der Grund dafür: neue technologische Möglichkeiten und generative KI-Tools wie ChatGPT.
Quishing und das „Adversary in the Middle“-Phishing
Als eine gefährliche Bedrohung gilt das Quishing. Darunter fassen Experten die Methoden zusammen, bei denen Hacker ihren Opfern einen schädlichen QR-Code zuschicken, in der Hoffnung, dass diese ihn einscannen. Diese QR-Codes sehen oft genauso aus wie jene, die beispielsweise Microsoft für seine Multi-Faktor-Authentifizierung verwendet.
Dagegen ähneln AiTM-Phishing-Angriffe (AiTM steht für Adversary in the Middle“) zunächst herkömmlichen Phishing-Attacken: Am Anfang steht wie so oft ein Link. Klickt das Opfer darauf, gelangt es zwar auf die legitime Webseite, allerdings über einen Proxy-Server, über den der Angreifer sensible Daten oder das Session-Cookie abgreifen und verwenden kann.
Hilfe in höchster Not: Das Backup
Angesichts der steigenden Bedrohungslage sollten sich Unternehmen mehr denn je auf das schlimmstmögliche Szenario – einen erfolgreichen Angriff – vorbereiten. Dazu hat sich die bewährte Technologie zur Wiederherstellung bewährt: Backups. Sie kommen seit langem als Standardwerkzeug zur Sicherung der Daten zum Einsatz. Der Ansatz traditioneller Backups hat sich in den letzten Jahrzehnten kaum verändert, von der magnetischen Bandspeicherung in den 1950er Jahren bis zum modernen Cloud-Backup: Daten werden in festgelegten Intervallen auf ein zweites Medium oder einen zweiten Speicherort kopiert.
Allerdings haben Backups die Schwäche, dass sie nur einzelne Server schützen, nicht aber komplette Anwendungen als Ganzes, die in der Regel aus verschiedenen Komponenten (z.B. Datenbank, Webserver) bestehen. Die Folge dieser siloartigen Fokussierung auf einzelne Server sind Wiederherstellungszeiten von Tagen bis Wochen. Denn nach der Wiederherstellung der Daten muss eine funktionierende Anwendung erst wieder manuell aus ihren zahlreichen Bestandteilen zusammengesetzt werden.
Überwachung der Endpunkt
Daher sollten die IT-Verantwortlichen Sorge dafür tragen, dass es möglichst nicht zum Ernstfall kommt: Endpoint Detection and Response (EDR) gilt als das grundlegende Tool zur Überwachung und Erkennung von Bedrohungen für Endgeräte und als Grundlage jeder Cyber-Sicherheitsstrategie. Diese Lösung stützt sich auf Software-Agenten oder Sensoren, die auf den Endpunkten installiert werden, um Daten zu sammeln, die dann zur Analyse an ein zentrales Repository gesendet werden.
Managed Detection and Response (MDR) ist im Prinzip eine EDR-Lösung, die als Dienstleistung erworben wird. Dieser Dienst verwaltet die Endpunktsicherheit und konzentriert sich auf die Eindämmung, Beseitigung und Behebung von Bedrohungen durch ein dediziertes, erfahrenes Sicherheitsteam.
Um die Komplexität der Bedrohungen durch Cyber-Kriminalität in den Griff zu bekommen, empfehlen die meisten Sicherheitsexperten heute XDR. XDR rationalisiert die Erfassung von Sicherheitsdaten, die Analyse und die Arbeitsabläufe im gesamten Sicherheitsbereich eines Unternehmens, verbessert die Sichtbarkeit verborgener und komplexer Sicherheitsbedrohungen und vereinheitlicht die Reaktion.
Effizienter Umgebung mit Bedrohungen
Eine XDR-Plattform sammelt und korreliert Daten aus der gesamten Infrastruktur, um die Sichtbarkeit von Bedrohungen im gesamten Unternehmen zu verbessern, Sicherheitsprozesse zu beschleunigen und Risiken zu reduzieren. XDR analysiert, priorisiert und rationalisiert diese Daten, um sie den Sicherheitsteams in einem standardisierten Format über eine einzige konsolidierte Konsole zur Verfügung zu stellen. Zu diesem Zweck bieten XDR-Plattformen typischerweise Funktionen wie eine domänenübergreifende Sicherheitsüberwachung, eine bedrohungsorientierte Ereignisanalyse, eine Bedrohungserkennung und Priorisierung der Datenzuverlässigkeit, die Datensuche, Untersuchung und Erkennung von Bedrohungen über mehrere Domänen hinweg sowie die Reaktion zur Abschwächung und Beseitigung der Bedrohung.
Lösungsansätze
Bisherige Lösungen zur Bedrohungserkennung konzentrieren sich jeweils auf eine Schicht der Sicherheitsarchitektur. Beispielsweise überwachen EDR-Lösungen Endpunkte, während Lösungen zur Analyse des Netzwerkverkehrs ausschließlich auf den Netzwerkverkehr ausgerichtet sind. Die Daten aus diesen Tools werden selten integriert oder vereinheitlicht, so dass die Organisation keinen vollständigen und genauen Überblick über das gesamte Unternehmen hat.
Deswegen gilt XDR als ein wichtiges Mittel, um Probleme zu lösen, die mit einer mehrschichtigen Verteidigungsstrategie verbunden sind. Denn XDR koordiniert und erweitert den Wert isolierter Sicherheits-Tools, indem es die Sicherheitsanalyse, -untersuchung und -behebung in einer konsolidierten Konsole vereinheitlicht und somit auch rationalisiert.
Resellern mit der notwendigen Sicherheitsexpertise eröffnen sich viele Chancen, um Organisationen zu unterstützen.
Dazu zählen:
• Anpassung an neuartige Angriffsszenarien durch aktuelle Endpoint Detection & Response Technologien
• 24/7-Sicherheitsservice, insbesondere an Wochenenden und Feiertagen
• Erstellung von Notfallplänen für Unternehmen
• Aufbau und Betrieb von Backup- und Continuous Data Protection-Infrastrukturen
• Einbeziehen von KI-basierten Bedrohungen in die Abwehrstrategie
• Implementierung einer 3-2-1-Backup-Strategie, einschließlich Offline-Backups
• Durchführung von Wiederherstellungstests mit kurzen Wiederherstellungszeiten
• Sensibilisierung der Mitarbeiter für aktuelle Phishing-Attacken durch ein Security Awareness-Programm
© ROUTMAIL Redaktion
Author Rainer Huttenloher
Linksammlung zum Fokusthema Ransomware Angriffe
- Barracuda
- Bitdefender
- Check Point
- Cybereason
- Eset
- Illumio
-
Kaspersky
- SonicWall
- Sophos
- Trellix
- Trend Micro
- WatchGuard
- Zerto
Podcast
Ausgewählte Fokusthemen sind auch als Podcast verfügbar. Wir freuen uns, wenn Sie unseren Podcast abonnieren.
