Nach zwei turbulenten Jahren voller Störungen und einer Zunahme von Cyberangriffen sind Sicherheitsteams überfordert und unterbesetzt. Angriffe auf die Cybersicherheit nehmen auf vielfältige Weise zu. Sicherheitsteams können jedoch in der zunehmend digitalen Welt aufholen und mit kriminellen Akteuren Schritt halten. Mit einer Automatisierung ihrer Abwehrstrategie können sie Bedrohungen zuvorkommen.
Sicherheit war schon immer eine Herausforderung, aber hinzu kommt aktuell, dass es auf dem Markt einen ernsthaften Mangel an qualifizierten Mitarbeitern gibt. Dies ist für die IT-Sicherheit verheerend, denn die Infrastruktur entwickelt sich rasant weiter: Was vor zwei Jahren noch eine sichtbare Serverfarm war, ist heute eine Multi-Cloud-Umgebung, in der Mitarbeiter aus der Ferne arbeiten. Zudem ist bis zu einem Angriff nie sichtbar, was kriminelle Akteure gerade tun. Die einzige Möglichkeit, ihnen zuvorzukommen, ist der Einsatz von Technologie und Automatisierung.
Wettlauf zwischen Angreifern und Sicherheitsteams
Was ist der Unterschied zwischen einem Angreifer und einem Cybersicherheitsteam in einem Unternehmen? Der einzige Unterschied besteht darin, wer zuerst handelt. Und die Angreifer agieren immer schneller. Es können nicht herkömmliche Patching-Strategien eingesetzt werden, um Schwachstellen zu beheben. Normalerweise werden anfällige Geräte an ein Team gemeldet, das sie dann an ein anderes Team weiterleitet und Tickets erstellt. Durch diesen Prozess vergehen Tage, die den böswilligen Akteuren viel Zeit geben, die Schwachstellen auszunutzen.
Bei den Sicherheitslücken in Microsoft Exchange, die Anfang des Jahres bekannt wurden, haben chinesische Angreifer in nur zwei Tagen Hunderttausende von Exchange-Servern kompromittiert. Um das zu verhindern, müssen Assets automatisch gepatcht werden. IT-Security muss also schneller vonstatten gehen und durch Automatisierung kann das Tempo immens erhöht werden.
Warum Sicherheitsautomatisierung auf so viel Widerstand stößt
Obwohl die Vorteile der Sicherheitsautomatisierung auf der Hand zu liegen scheinen, stehen ihr viele Unternehmen skeptisch gegenüber. Oft dominiert hier die Angst vor Fehlern. Wenn die Einführung von Automatisierung vorgeschlagen wird, dann kommt schnell Unsicherheit auf, aus Angst davor, dass am Ende etwas nicht mehr regelgerecht funktioniert.
Dabei ist in der IT die Automatisierung bisher in vollem Gange. Wie wurden dieselben Hürden überwunden, die auch die Sicherheit betreffen? Menschen, die auf die Cloud umsteigen, haben sich die Automatisierung zu eigen gemacht. Und sie haben klare Ergebnisse gesehen – zum Beispiel können sie ihre Ressourcen effizienter nutzen und Geld sparen.
Wenn die Last steigt, wird die Anzahl der Maschinen automatisch erhöht. Wenn die Auslastung sinkt, wird eine Reihe von Maschinen automatisch abgeschaltet. Die Kosten werden also gesenkt. Aber es muss bedacht werden, dass es immer eine IT-Funktion gab, in die die Betriebsleute all diese Dinge implementierten. Die Entwickler schrieben den Code und die IT-Abteilung sorgte für die Bereitstellung. Dann ging es in der Entwicklung viel schneller als bei der Bereitstellung.
Irgendwann beschloss man, sich damit zu befassen. Denn man wusste, dass das Geschäft schnell gehen musste. Also begannen die Entwickler, Automatisierungen in ihren Code zu schreiben. So kam es zu dieser Revolution der Automatisierung, und heute gibt es Entwickler, die im Grunde schreiben, wie die Dinge in der Produktion funktionieren sollen. So ist DevOps entstanden.
Auch bei der Automatisierung lernen Unternehmen aus Fehlern
Fehler passieren, aber man lernt aus ihnen und weiß zukünftig, wie das Risiko gemindert werden kann. Es braucht ein paar Unternehmen, die sich mit ihren Sicherheitsproblemen auseinandersetzen und entscheiden, dass sie die Automatisierung nutzen wollen. Einer von Qualys’ Kunden führt ein sehr kleines medizinisches Unternehmen.
Er verfügt über das nötige Fachwissen, um das Unternehmen zu führen, sein Ziel ist es jedoch nicht, ein Imperium von Sicherheitsleuten aufzubauen. Er möchte einfach mehr medizinische Produkte und Dienstleistungen verkaufen. Also wandte er sich an Qualys, um herauszufinden, welche Bedrohungen/Aktivitäten mit Ransomware zusammenhängen, und um diesen Prozess zu automatisieren.
Derselbe Impuls zur Automatisierung ist bei einem großen Einzelhandelsunternehmen zu beobachten, das über die USA hinweg Tankstellen und Convenience Stores betreibt. Der CIO berichtete, dass das Unternehmen LKWs zu den vielen entfernten Filialen schickte, um USB-Laufwerke zu liefern, die die Filialen einstecken und Patches herunterladen. Er wollte herausfinden, wie er die Automatisierung nutzen kann, damit ein Patch bereitgestellt und getestet wird.
Jetzt wird ein Testsystem automatisch ein oder zwei Stunden lang beobachtet, nachdem ein Patch installiert wurde, um sicherzustellen, dass kritische Systeme nicht beeinträchtigt werden. Wenn es keine Auswirkungen gibt, wird der Patch in allen Filialen installiert. Mehr Unternehmen müssen diesen Punkt erreichen, an dem sie das Risiko von Systemausfällen reduzieren.
Die Migration in die Cloud beschleunigt die Automatisierung der Sicherheit
Einer der größten Kunden von Qualys, ein IT-Dienstleistungsunternehmen, hat weltweit 245.000 Mitarbeiter. Von einem Tag auf den anderen arbeiteten dort alle Mitarbeiter remote. Es handelt sich um ein Unternehmen mit Sitz in Indien, das Mitarbeiter in Indien und Rumänien beschäftigt, die von ihren Wohnungen aus arbeiten und die Internetverbindung zu Hause nutzen. Als IT-Dienstleistungsunternehmen haben sie von ihren Kunden die Auflage, alle Geräte auf einem bestimmten Patch-Level zu halten.
Es war für sie unmöglich, die Endgeräte zu Hause zu patchen, und ihre Argumente gegen die Automatisierung waren im Handumdrehen hinfällig, als sie in die Cloud wechselten. Zu diesem Zeitpunkt hatten sie keine andere Wahl, als zu sagen, dass sie einen völlig neuen Ansatz brauchen. Zufälligerweise hatten sie bereits Qualys-Agenten oder eine Schwachstellenanalyse auf all ihren 245.000 Geräten implementiert. Innerhalb von zwei Tagen haben sie also das Häkchen gesetzt und alle ihre Geräte werden direkt aus der Cloud gepatcht.
Das ist der Punkt, an dem wir die Grenzen der Automatisierung erweitern. Sie trägt dazu bei, dass in der Security eine proaktivere Haltung einnimmt als die reaktive Haltung, die man für diesen Bereich gewohnt ist. Wer nicht sofort patcht, sobald ein Patch herauskommt, der reagiert nicht auf eine entdeckte Sicherheitslücke.
Wie gelingt es, dass die Automatisierung mehr Probleme behebt als sie verursacht?
Es braucht eine Plattform, die all diese Datenpunkte zusammenführt, damit man weiß, dass diese analysiert werden können. Die Frage ist hier, wie der Automatisierung vertraut werden kann, Entscheidungen auf der Grundlage vieler verschiedener Faktoren zu treffen. Wenn man eine Entscheidung auf der Grundlage eines einzigen Faktors trifft, ist das Vertrauen gering. Wenn die Plattform jedoch mehrere Faktoren betrachtet und beispielsweise fünf Signale zusammen erkennt, ist die Wahrscheinlichkeit hoch, dass ein Ereignis oder eine Aktivität bösartig ist und Maßnahmen ergriffen werden müssen.
Die Sicherheitsautomatisierung ist ein weites Feld mit vielen Problemen, die es zu lösen gilt. Wo ist es sinnvoll, mit der Automatisierung zu beginnen? Die Nutzung von DevOps ist beim Aufbau einer neuen Infrastruktur ein guter Anfang. Und die Automatisierung kann Zero-Trust-Initiativen unterstützen. Mit der Automatisierung sperre ich automatisch den Zugang zu einem Gerät auf der Grundlage eines bestimmten Faktors. Wer eine Zero-Trust-Umgebung schaffen möchte, der braucht Möglichkeiten, die Automatisierung zu nutzen, um eine kontinuierliche Bewertung dessen zu erhalten, was sich auf dem System befindet.
Die Automatisierung der Datenerfassung und -analyse ist ebenfalls ein guter Ansatzpunkt, um herauszufinden, welche Rolle ein Gerät spielt, und dann Sicherheitsrichtlinien anzuwenden. Mit dem Übergang zur Cloud und zu Containern haben Unternehmen die Möglichkeit, Systeme und Datenerfassung und -analyse in Kombination mit den entsprechenden Reaktionen zu entwickeln.