Einer der heißesten neuen Sicherheitstrends im Jahr 2021 ist die Verwaltung der Angriffsfläche. Aber wie kam es zu diesem Trend? Nun, ganz einfach: Sicherheitstrends entstehen aus der Rückschau. Durch forensische Untersuchungen und Reaktionen erfahren wir, welche Methodik ein Bedrohungsakteur anwendet. Mit diesen Informationen können wir herausfinden, wie wir Bedrohungen mit den uns zur Verfügung stehenden Tools verhindern und erkennen können. Wenn wir Lücken in unserer Abdeckung finden, bauen wir etwas Neues ein, um unseren Abdeckungsbedarf zu decken.
In diesem Blog werde ich Trends in der Cybersicherheitsbranche aufzeigen, die aus einigen der folgenreichsten Sicherheitsverletzungen unserer Zeit resultieren. Wir werden diese Trends und Sicherheitspraktiken untersuchen, von denen wir die meisten auch heute noch anwenden.
2010 - 2012: Zero Days gone WILD!
Wir begannen das Jahrzehnt mit der Aufdeckung einer Sicherheitsverletzung bei Google, die später als Operation Aurora bekannt wurde. Die Auswirkungen gingen weit über Google hinaus und betrafen auch viele andere große Unternehmen. Diese Sicherheitsverletzung brachte einen Trend mit sich, der in der Sicherheitsgemeinschaft noch viele Jahre lang anhalten sollte. Worin bestand dieser Trend? Der Trend, den Standardbrowser IE (Internet Explorer) in Windows durch Alternativen wie Firefox oder Chrome zu ersetzen. Ein Trend, der bis heute anhält.
Kurze Zeit später wurde der Stuxnet-Wurm entdeckt. Die kombinierte Raffinesse des Einsatzes von vier Zero-Days, von denen einer auf eine SPS (speicherprogrammierbare Steuerung) abzielte, um die Standard-Sicherheitskontrollen zu umgehen, hatte weitreichende Auswirkungen. Sandboxing wurde bald zu einer Möglichkeit, das Starten einer Datei zu emulieren oder den Inhalt eines Browsers abzuspielen, um zu sehen, ob abnormales Verhalten wie ein Zero-Day-Exploit entdeckt werden kann.
Im Laufe des Jahrzehnts kam es zu einigen sehr öffentlichkeitswirksamen Cyberangriffen, die über die traditionellen kommerziellen Sicherheitsmaßnahmen hinausgingen und bis in unsere Wohnungen vordrangen. Von großen Geschäftsbanken bis hin zum Sony Playstation Network machten die Angriffe die Sicherheitslücke bei der persönlichen Passworthygiene deutlich. Die Notwendigkeit, für alle Konten ein anderes Passwort zu verwenden, wurde zu einer ernsthaften Herausforderung und wuchs mit der Zunahme von Datenschutzverletzungen bei Verbrauchern.
Im weiteren Verlauf des Jahrzehnts kam es zu einer Reihe von Sicherheitsverletzungen, die sich auch auf Mac OS und mobile Geräte ausweiteten. Lösungen für die Cybersicherheit wurden entwickelt, um diese Probleme anzugehen. Eine davon war Mobile Device Management, ein Sicherheitstool, das darauf abzielte, eine gewisse Sichtbarkeit und Kontrolle über die Unternehmensdaten zu erlangen, wenn diese das herkömmliche Netzwerk verließen und in einem Handheld-Gerät landeten.
Auch große Social-Media-Plattformen sowie SaaS-Organisationen bekamen die Kompromittierung zu spüren und mussten feststellen, dass die Passwörter ihrer Nutzer geleakt und die von ihnen gehosteten Daten gestohlen wurden. Am auffälligsten war der Hack gegen den Journalisten Matt Honan, der dazu führte, dass seine digitalen Daten (Gmail, iPhone/Mac-Backups) gelöscht wurden und sein Twitter kompromittiert wurde, um Hass zu verbreiten. Er räumte ausdrücklich ein, dass dies hätte verhindert werden können, wenn er die Zwei-Faktor-Authentifizierung aktiviert hätte. Dies löste den 2FA-Trend aus und führte zum Beginn der MFA als Standardverfahren.
2013 - 2017: Alle Daten gehören ihnen
Auch Verbraucherunternehmen zogen harte Lehren, die zu wichtigen Innovationen und Umgestaltungen der Netzarchitektur führten. Der bemerkenswerteste Einbruch seiner Zeit - Target. Der Einbruch bei Target führte zu einem besseren Verständnis für die Bedeutung der Netzwerksegmentierung und brachte einen Trend zur Einführung neuer Tools mit sich. Tools wie Security Information and Event Management (SIEMs), die in der Vergangenheit für die Einhaltung von Vorschriften eingesetzt wurden, sind nun von grundlegender Bedeutung für die Reaktion auf einen Verstoß. Darüber hinaus wurden Tools zur Anreicherung von Daten und Informationen als Feeds in ein SIEM eingeführt, um den Verantwortlichen die nötige Transparenz und den Kontext zu bieten. Insbesondere Endpoint Detection and Response (EDR)-Software und Cyber Threat Intelligence (CTI), die mit den Daten in einem SIEM zusammengeführt werden, machen die Reaktion auf Warnmeldungen für Security Operations Centers weniger zeitaufwändig. Als immer mehr forensische Details zu dieser Sicherheitsverletzung auftauchten, rückte das Risiko von Drittanbietern in den Mittelpunkt.
In den letzten Jahren des Jahrzehnts erleben wir, was ich gerne als "Rückkehr zu den Grundlagen" bezeichne. Sicherheitsverletzungen wie die von Equifax haben die Sicherheitsgemeinschaft daran erinnert, wie wichtig es ist, ein Patch- und Schwachstellenmanagement einzurichten. Grundsätzlich hängt diese Strategie davon ab, dass Sie wissen, wo sich Ihre Ressourcen im Internet befinden, und dass Sie eine ständige Bestandsaufnahme durchführen.
Mit der Verlagerung und Migration von Unternehmen in die Cloud hat die Komplexität des Netzwerk- und Software-Ökosystems drastisch zugenommen. Mit dieser Komplexität wurde es immer schwieriger zu wissen, was und wo sich Ihre Ressourcen im Internet befinden. In dem Maße, wie wir uns außerhalb des traditionellen Netzwerks ausbreiten, öffnen wir Ports und Protokolle, um Verbindungen zwischen diesen unterschiedlichen Komponenten durch API-Integration oder direkte Hooks zu ermöglichen. Grundlegende Fragen wie "Wie sieht die Angriffsfläche meines Unternehmens aus?" sind schwer zu beantworten, wenn man private Netzwerke, Cloud-Plattformen, die IaaS anbieten, IoT-Geräte, SaaS-Anwendungen von Drittanbietern und Altsysteme einbezieht, die alle das Risiko eines Unternehmens erhöhen können.
2018 - 2020: Technologie, Intelligenz und Fachwissen OH MEIN!
Bis zum Ende des Jahrzehnts werden wir mit einem Problem konfrontiert sein, bei dem die Zahl der unbesetzten Stellen im Bereich Cybersicherheit bis 2021 auf über 3,5 Millionen geschätzt wird. Dieser immense Mangel und die zunehmende Komplexität haben zu verschiedenen Trends in der Branche geführt. Vom Standpunkt der reinen Arbeitskraft oder Kapazität aus gesehen, sehen wir, dass immer mehr Unternehmen die Arbeit an Drittanbieter wie Managed Security Service Provider (MSSP), Managed Detection and Response (MDR) und Crowdsourcing für Tests und Sicherheitsbewertungen auslagern. Aus technologischer Sicht sehen wir, dass Softwareanbieter mehr Algorithmen für maschinelles Lernen und künstliche Intelligenz, Robotic Process Automation und Security Orchestration Automation and Response-Funktionalität einsetzen.
Bei der Anpassung an diese Veränderungen ist ein systematisches, wiederholbares und regelmäßiges Risikomanagement wichtiger denn je geworden. In weniger als 10 Jahren haben wir uns von einfachen und kontrollierten traditionellen Sicherheitskomponenten wie Firewalls, Virenschutz, Web-Gateways, Spam-Filtern und VPNs zu einem sehr komplexen Ökosystem entwickelt, das einen neuen Ansatz zum Schutz erfordert. Ein solcher Ansatz, der sich jeden Tag mehr durchsetzt, ist die Betrachtung der Angriffsfläche aus der Sicht eines bösartigen Akteurs.
Zum Ende des Jahrzehnts wurden wir auf die bisher größte Sicherheitslücke aufmerksam - SolarWinds. Die Sicherheitslücke bei SolarWinds, die zu diesem Zeitpunkt noch untersucht wird, erinnert uns an den derzeit wichtigsten Trend von allen, nämlich die Bedeutung des Aufbaus einer genauen und kontinuierlichen Angriffsflächenverwaltung in Ihrem Unternehmen. Die Verwaltung der Angriffsfläche stellt sicher, dass für alle exponierten und dem Internet zugewandten Anlagen die richtigen Sicherheitsmaßnahmen ergriffen werden, und ist, wie wir in den letzten Jahren gesehen haben, von entscheidender Bedeutung für die Verhinderung der nächsten Sicherheitsverletzung. Wir müssen ein wachsames Auge auf das Netzwerk (traditionell und in der Cloud), mobile Geräte, Endpunkte und Risiken in der Lieferkette von Drittanbietern haben.
Wie geht es jetzt weiter?
Was sind einige der wichtigsten Erkenntnisse aus diesen Sicherheitsverletzungen und Branchentrends? Erstens: Sie hatten alle ihren Preis. Von Geldstrafen über Marken- und Reputationsschäden bis hin zum Verlust von geistigem Eigentum - die Folgen einer mangelhaften Informationssicherheit können nachhaltige Auswirkungen haben. Ein weiteres wichtiges Muster ist, dass alle diese Sicherheitsverletzungen auf die eine oder andere Weise mit der Verwaltung von Angriffsflächen zusammenhängen. Die Geräte, die Ihre Mitarbeiter zu Hause oder unterwegs benutzen, sind ebenso Teil Ihrer Angriffsfläche wie Ihre herkömmliche Internetpräsenz, was nur noch deutlicher macht, wie dringend notwendig es ist, diese Risiken effektiv zu verwalten.
Als Sicherheitsexperten werden wir weiterhin versuchen, diese Fragen zu beantworten: Sind die Netzwerke, über die sich Ihre Mitarbeiter mit dem Unternehmen verbinden, sicher? Haben wir Ports oder Protokolle offengelegt, die nicht offengelegt werden sollten? Verwenden wir Web-Software mit bekannten Sicherheitslücken?
Auf Censys können wir diese Fragen und mehr beantworten. Sind Sie daran interessiert, mit Alexis über Ihre Angriffsfläche zu sprechen? Erfahren Sie mehr und vereinbaren Sie einen Termin für Ihre Demo hier!
