Wie kann die Technologie von 2020 genutzt werden, um das System zu stärken

Sicherheit
Security (Bild: Shutterstock)

Viele Unternehmen benutzen Technologien, die nicht mehr aktuell sind. Das verlangsamt nicht nur eigene System, sondern stellt auch eine Gefahr dar, gehackt zu werden.

Remote-Benutzer hatten schon immer aus IT- und Sicherheitsperspektive eine Sonderstellung. Nehmen wir beispielsweise den Sales-Mitarbeiter oder einen Berater. Für diese Gruppe der Remote-Mitarbeiter galten im Normalfall eigene Richtlinien für IT und Sicherheit. Nicht zuletzt durch Covid-19 bleiben nun weitaus mehr Büroangestellte zu Hause und sind gezwungen, von dort aus zu arbeiten. Business as usual ist also nicht möglich, doch was kann helfen, den Arbeitsalltag so beschwerdefrei wie möglich zu gestalten?

Die Richtlinien für die ursprüngliche Teilmenge zu nehmen und sie jetzt auf das gesamte Remote-Unternehmen auszuweiten ergibt wenig Sinn, da das die VPN-Infrastruktur oftmals nicht wirklich verkraften kann. Normalerweise müssen lediglich 1-5 Prozent von außerhalb auf das Unternehmensnetzwerk zugreifen. Wenn nun jedoch beispielsweise statt 1.000 auf einmal 50.000 Fernuser existieren – und das über Nacht – könnte dies das Unternehmen in Schwierigkeiten bringen.

Der logische Schritt war, dass eine IT-Abteilung die Infrastruktur vollständig aktualisiert und neue Software gekauft hat. Zur Unterstützung ist eine Lösung, welche Agenten nutzt, ein probates Mittel, um schnell zu reagieren. Es ist einfach, damit zusätzliche Geräte in die neuen Security Prozesse einzubinden.

Es ist wichtig zu verstehen, dass der Bedrohungsfaktor für das Büro und die Mitarbeiter an dezentralen Standorten unterschiedlich ist. Im Büro ist jeder normalerweise durch die Büro-Infrastruktur geschützt, beispielsweise durch den Proxy und weitere Appliances. Es existiert zum Beispiel eine eigene Netzwerkssicherheitskontrolle. Zu Hause oder aber auch unterwegs sind es andere Umstände. Es ist hier keine Gesamtsicherheit gegeben, also braucht es eine andere Kontrolle. Dabei bietet sich die Nutzung einer umfassenden Sicherheitsplattform an.

Wenn das Unternehmen ein Sicherheitstool implementiert, welches eine physikalische Installation on-premise benötigt, dann muss jedes Asset und jeder Benutzer vor Ort sein und jeder Benutzer muss einen VPN-Zugang haben. Was vor wenigen Jahren noch Standard war, ist heute nicht mehr state of the art. Heute existieren bessere Lösungen zum Beispiel in Form von Services. Denn was passiert, wenn der Benutzer in die Cloud wechselt und die IT keine Verbindung zur Cloud herstellen kann? Wie sieht es aus, wenn die Organisation Container nutzt? Die Antwort: Es funktioniert mit den alten Tools nicht richtig und die Geschäftsprozesse werden möglicherweise aufgehalten. Und was passiert schließlich, wenn der Benutzer nicht mehr direkt im Netzwerk ist, wie kann das Produkt dann gepatcht werden? Sollte hierzu das VPN genutzt werden, um die Patches zu verschicken, werden Zugänge zum gesamten Unternehmensnetzwerk hoffnungslos überlastet.

Was macht EDR?

Die Herausforderung ist es, Angriffe zu finden, die der Virenschutz verpasst hat und dann wie auf einer Videokassette solange zurückzuspulen, bis erkannt wird, was genau passierte. Das Beispiel Videokassette veranschaulicht die Aufgabe von EDR sehr gut. Es ist wie eine Kamera, welche die ganze Zeit lang aufzeichnet. Angriffe können dann automatisch durch Verfahren wie Verhaltensanalyse oder Machine Learning gefunden werden. Mittels der ‚Response‘-Fähigkeit können dann automatisiert Maßnahmen eingeleitet werden, um das Problem zu beheben, wie zum Beispiel durch das Ausrollen von Emergency Patches. Ein Antivirus-Programm ist, um bei dem Vergleich zu bleiben, eine Kamera, welche nur dann aufzeichnet, wenn durch einen Bewegungssensor auf einen Eindringling aufmerksam gemacht wird. Ansonsten würde die Kamera die Diebe nicht aufzeichnen, sollten sich diese lautlos bewegen. EDR bezieht sich auf einen Endpunkt, aber was passiert, wenn der Angriff nicht auf dem Endpunkt stattfindet? EDR-Agenten werden ihn nicht finden. VMDR scannt deshalb alles auf jeder Basis und jeder Dateneingabe. Diese Sicherheitsanalyse schließt die Netzwerksaktivitäten ein, also auch Clouds, und Geräte von Drittanbietern. Das Stichwort lautet „Single Source of Truth“.

Es ist klar, dass in der Zukunft ein Produkt alles abdecken können sollte. Wenn man sich beispielsweise ein Auto kauft, dann muss der Käufer nicht danach zum nächsten Sicherheitsgurtladen fahren und einen Sicherheitsgurt kaufen. Alles ist bereits in der Serviceleistung des Herstellers verbaut.

Große Unternehmen beschäftigen bislang Sicherheitsteams für jedes denkbare Szenario. Das macht es jedoch Cyberangreifern einfacher, denn sie bekommen die Zeit geschenkt, die benötigt wird, um miteinander zu kommunizieren. Aktuell ändert sich das Sicherheitsdenken, denn man entfernt sich davon, dass ein Team sagt, was los ist und ein anderes behebt dann das Problem. „Finden – beheben – beenden“ ist eine große Herausforderung – Unternehmen sollten diesen Leitsatz in die Cybersicherheit implementieren. Alle drei Prozesse gehen nicht nur ineinander über, sondern sollten ohne Zeitverzögerung stattfinden, es geht um Sekunden. Eine Firewall versucht Eindringlinge zu blockieren, ein Antivirusprogramm blockiert Malware, doch da draußen ist weit mehr.

Zuvor war das der Standard:
• Viele Menschen, die nicht von zu Hause gearbeitet haben
• Viele Menschen, die nicht dezentral gearbeitet haben
• Viele Menschen, die nicht online gearbeitet haben
• Viele Unternehmen, die ihre eigenen Rechenzentren betrieben haben

Doch was passiert, wenn das Unternehmen die Mitarbeiter nicht mehr in das Rechenzentrum, oder das Büro bringen kann?

Zurück zum Beispiel vom Anfang. Das Unternehmen, das über Nacht von 200 auf 200.000 Agenten umgestellt hat, ist das beste Beispiel für die digitale Transformation, denn es kündigte an, dass etwa 20 Prozent seiner Mitarbeiter auch nach dem Ende der Pandemie noch aus der Ferne arbeiten werden. Die IT-Infrastruktur skalierte in großem Maße von jetzt auf gleich. Doch ist das nicht schlecht, denn nun ist die Infrastruktur gegeben, die notwendig ist, um viele Mitarbeiter von außerhalb zu beschäftigen.

EDR – das gleiche Tool, das das Problem findet, behebt es auch

Warum haben die Menschen Angst vor der Automatisierung? Arbeiten Antivirusprogramme nicht automatisch, wenn sie Malware blockieren? Arbeitet eine Firewall nicht automatisch, wenn sie Datenverkehr blockiert? Wie ist es mit einem Spam-Filter? EDR ist in der Lage dieses Mindset zu ändern. Es kann schnell und automatisch Probleme beheben. Weitere Automatisierung ist der nächste logische Schritt und er ist wichtig, um dem Menschen Freiraum zu geben, an wichtigeren Dingen zu arbeiten.

Früher war die Sicherheit einer Abteilung abhängig von der IT-Abteilung, die die Losung ausgab: „Nein, du darfst das nicht tun“, doch das könnte sich in der Zukunft ändern. Es geht darum, die beste Technologie einzusetzen, und dennoch sicher zu sein. Die Sicherheit wird mehr und mehr eingebaut und ist Teil der Kernfunktion. Die Benutzer-Erfahrung bei der Bedienung und Nutzung nicht zu beeinträchtigen, das ist eine große Herausforderung.

Normalerweise gibt es einen Agenten pro Sicherheitslösung. Das Problem dabei ist der Komfort. Beim Kauf einer Sicherheitslösung sollten Unternehmen darauf achten, dass die Plattform selbst ein Agent ist, der die anderen Agenten benutzt, um ein Sicherheitsproblem zu Lösen. Das spart besonders Zeit, denn der Vorgang wird in weiten Teilen automatisiert durchgeführt. Diese Tatsache spielt besonders eine Rolle, wenn man betrachtet, wie Kriminelle heute arbeiten. Sie arbeiten zusammen, um das beste „Produkt“ zu erschaffen. Unternehmen meistens nicht, besonders nicht konkurrierende Firmen, dabei wäre dies angebracht, um gemeinsam stärkere Schutzwälle gegen Hacker zu errichten.

Autor
Erfahren Sie mehr 
Erfahren Sie mehr