Mittlerweile liegt das Bekanntwerden des SolarWinds-Angriffs mehr als einen Monat zurück und immer noch erfahren wir neue Details über die Angriffe und die betroffenen Unternehmen. Die Analyse und Auswertung dieser Vorfälle wird uns noch geraume Zeit beschäftigen, zumal es sich bei Sunburst um eine der bedeutendsten Sicherheitsverletzungen und -ereignisse der letzten 20 Jahre handeln dürfte.
Was haben wir bislang gelernt, vielleicht weniger über den Angriff an sich als über die grundlegende Problematik eines solchen Ereignisses? Und vor allem: Wie können wir diese Erkenntnisse praktisch umsetzen, um damit unsere steigenden Risiken besser zu managen? Für Frank Mild, Country Manager DACH von Netskope, sind es vor allem drei Punkte:
Es gibt mehr Empathie und Unterstützung unter Sicherheitsexperten, als wir bisher vermutet haben. Dies sollten wir nutzen
Wir konnten in den letzten Wochen sehen, dass sich Security-Professionals gegenseitig den Rücken stärkten. Vielleicht liegt es daran, dass keiner in der Position sein möchte, in der sich die Experten von FireEye, SolarWinds oder anderen Beteiligten befinden.
Natürlich gab es die eine oder andere Ausnahme, die den Angriff für das eigene Marketing massiv auszunutzen versuchte, aber im Großen und Ganzen haben sich Sicherheitsanbieter und Influencer mit Schuldzuweisungen und Häme zurückgehalten und stattdessen ihre Solidarität ausgedrückt.
Die letzten Jahre waren eine Zeit der Spaltung, überall auf der Welt. Jetzt sprechen wir über Einigkeit, wir sprechen darüber, dass wir die Zusammenarbeit zwischen öffentlicher Hand und privater Wirtschaft im Sicherheitsbereich verbessern wollen, wir sprechen über den Austausch von Bedrohungsdaten – wir sprechen miteinander.
Wenn es einen Silberstreif am Horizont gibt, nachdem was mit SolarWinds passiert ist, dann vielleicht, dass es uns dazu angespornt hat, an den Dingen zu arbeiten, die getan werden müssen. Es reicht nicht mehr aus, nur weitere Komitees zum Austausch von Bedrohungsdaten zu bilden oder eine Technologie-Agenda voranzutreiben.
Wir müssen zu einer echten, umfassenden und übergreifenden Zusammenarbeit gelangen. SolarWinds ist ein Weckruf, dass wir in Sachen Cybersecurity noch lange nicht am Ziel sind, aber mit den richtigen Leuten, die sich für die richtigen Ergebnisse einsetzen, werden wir hier ein großes Stück vorankommen.
Wir haben die wahre Bedeutung von „Transparenz und Kontrolle“ erkannt
Wir brauchen ein genaues Verständnis dessen, was in unseren Netzwerken, mit unseren Daten, mit den Personen, die darauf zugreifen, in der Gesamtheit unserer Umgebung und unseres erweiterten Ökosystems vor sich geht. Jamil Farshchi, CISO von Equifax, erklärte kürzlich, dass man sich im Hinblick auf die Lieferketten-Sicherheit auf „punktuelle, wenig zuverlässige Fragebögen, Besuche vor Ort oder Rahmenverträge“ verließe und kommt in einem LinkedIn-Post zu dem Schluss: „Es funktioniert einfach nicht.“
Die Sicherheit der Lieferkette ist natürlich nur einer von Hunderten Aspekten der vollständigen Transparenz und Kontrolle über das eigene Ökosystem. Allerdings trifft die von ihm beschriebene Problematik in vielen Fällen zu: Wir sind einfach nicht in der Lage, die Vorgänge in den Griff zu bekommen ohne die umfassendste und tiefste Transparenz sowie die Erkennung von Anomalien.
Wir verfügen über Technologien, die genau hierzu in der Lage sind, sogar in hochgradig verteilten Cloud-first-Umgebungen. Allerdings werden sie noch nicht von genügend Anbietern und Unternehmen genutzt. Durch einen flächendeckenden Einsatz können wir die Art von Transparenz erreichen, die der Equifax-CISO beschreibt:
„Deshalb haben wir uns entschlossen, unseren Kunden in Echtzeit Transparenz über die Effektivität unserer Cloud-Sicherheitskontrollen – Produkte, Services und unterstützende Infrastruktur – zu bieten, so wie ich mir wünsche, dass unsere Lieferanten das für uns tun würden.“ Diesem Aufruf zum Handeln sollten wir uns alle anschließen.
Ohne kontinuierliches Risikomanagement werden wir nicht vorankommen
Durch den immer stärkeren Einsatz der Cloud verlieren traditionelle Sicherheitsansätze an Wirkungskraft. Die „klassische“ Data Loss/Leakage Prevention (DLP) stammt aus der Vor-Cloud-Ära und ist immer noch in der Vorstellung verwurzelt, dass sich die „Ware“ in einem Rechenzentrum befindet, das durch einen Perimeter geschützt ist, und wir verhindern können, dass Daten auf autorisierte Weise „nach draußen“ gelangen, während wir gleichzeitig Dritte daran hindern, „hinein“ zu gelangen.
Allerdings hat sich der Perimeter mehr und mehr aufgelöst. Bei der Datensicherheit in der Cloud-Ära geht es deshalb letztlich um den Kontext. Wir erlauben oder sperren den Zugriff auf der Grundlage eines möglichst tiefen und granularen Verständnisses dessen, wer der Benutzer ist, was der Benutzer zu tun versucht und warum er es versucht.
Wenn wir es schaffen, bedingte Zugriffskontrollen basierend auf dem Kontext von Benutzern, Apps, Geräten und Daten zu definieren, ermöglichen wir ein kontinuierliches Risikomanagement und verlassen uns nicht auf ein unvollständiges oder veraltetes Bild unserer Umgebung. Und sind so besser vor einem nächsten Sunburst gewappnet.