Die größten Sicherheitsherausforderungen und wie man sie bewältigt: Vorbereitung auf und Umgang mit externen Bedrohungen

Willkommen zu dieser Blogserie, in der wir die größten Sicherheitsherausforderungen für Unternehmen beleuchten und erörtern, wie man sie bewältigen kann. In dieser Serie von fünf Artikeln wird jeder Artikel auf eine bestimmte Herausforderung abzielen und eine Anleitung geben, wie Sie die für Sie geeignete(n) Methode(n) finden und gleichzeitig die besonderen Anforderungen Ihres Unternehmens erfüllen können, um jede der Herausforderungen zu meistern.

In Anbetracht der unterschiedlichen Bedürfnisse, Anforderungen, Budgetbeschränkungen und regionalen Gegebenheiten eines jeden Unternehmens sind die hier gegebenen Hinweise weniger als Vorschriften zu verstehen (d. h. Sie müssen dies tun), sondern vielmehr als eine Auflistung der möglichen Optionen mit ihren jeweiligen Stärken und Schwächen, die es Unternehmen und den sie unterstützenden Verwaltungsteams ermöglichen, die für sie am besten geeignete Sicherheitsstrategie zu entwickeln und gleichzeitig die Bedrohungen, Angriffe und Bedenken der modernen Bedrohungslandschaft zu berücksichtigen, die sich am stärksten auf ihre Geschäftsabläufe, Prozesse, Benutzer*innen und natürlich Daten auswirken.

Im letzten Blog haben wir die Herausforderungen erörtert, die sich unvorhergesehenen Geschäftsrisiken in Bezug auf Cybersecurity-Bedrohungen stellen, wie z. B. Hackergruppen, hochrangige Ziele und die Rolle von Insider-Bedrohungen, um nur einige zu nennen. In unserem vierten Beitrag befassen wir uns mit der Vorbereitung auf und der Bewältigung von Bedrohungen der Cybersicherheit, die von außerhalb des Unternehmens ausgehen, z. B.:

• Gezielte Angriffe von Nationalstaaten
• Vom Nutzer/von der Nutzerin eingeführtes Risiko durch die Verwendung persönlicher Geräte
• Nicht genehmigte Nutzung von Software und Diensten am Arbeitsplatz
• Unentdeckte Bedrohungen innerhalb der Infrastruktur

Kommen wir gleich zur Sache, ja?

Nationalstaaten

Staatliche Überwachung der Bürger*innen. Unterdrückerische Kontrolle. „Großer Bruder“ Je nachdem, wo auf der Welt Sie zu Hause sind, könnte jeder dieser Euphemismen auf die Beschreibung eines Nationalstaates oder einer gesponserten Bedrohung passen. Dies bedeutet keineswegs, dass die Überwachung, insbesondere die Überwachung von Zivilist*innen in öffentlichen Bereichen wie Autobahnen, Einkaufszentren und Haltestellen des öffentlichen Nahverkehrs, einen Schritt über den Missbrauch von Macht hinausgeht. Nein, es geht lediglich darum, festzustellen, dass nicht alle Regierungen nach denselben Grundsätzen konzipiert sind, und das gilt auch für ihre Ansichten über ihre Bürger*innen.

Da unterschiedliche Ziele oft zu unterschiedlichen Ergebnissen führen, wenn man sie durch die Brille des Schutzes der Souveränität eines Landes betrachtet, erstrecken sich dieselben Taktiken, die weltweit eingesetzt werden, natürlich auch auf den digitalen Bereich, wobei Taktiken wie Spionage, Sabotage und sogar regelrechte Kriege über die Cyberlandschaft geführt werden (mehr dazu später).

Wer ist durch Angriffe von Nationalstaaten gefährdet?

Einfach ausgedrückt: Jede Person kann das Ziel eines von einem Staat unterstützten Angriffs sein. In Anbetracht der umfangreichen Ressourcen, einschließlich des Zugangs zu Kommunikation und Ausrüstung, und der besten Bedrohungsakteure stellen Angriffe von Nationalstaaten auch für Organisationen eine erhebliche Bedrohung dar, unabhängig davon, ob sie mit einer Regierung verbunden sind oder lediglich als Privatunternehmen ihrer Geschäftstätigkeit nachgehen.

Was ist ihr Ziel?

Diese Arten von Angriffen haben in der Regel eine Reihe von verschiedenen Vektoren, auf die sie abzielen, aber letztendlich konzentrieren sie sich auf einige wenige Hauptziele:

• Störung oder Sabotage von Operationen/Infrastruktur
• Fehlinformationen zu verbreiten oder Informationen zu verändern
• Beschaffung kritischer Informationen, wie vertrauliche und sensible Daten
• Verhindern, dass „Whistleblower“ gegen sie aussagen

Welches sind die üblichen Ziele für Angriffe von Nationalstaaten?

Zwar kann jede Person oder Organisation in das Fadenkreuz eines Nationalstaates oder gesponserter Angriffe geraten, doch in der Regel steht die Motivation hinter den Angriffen im Einklang mit der Agenda eines Landes. Unter diesen Zielen sind die folgenden am häufigsten zu finden:

• Jede Person, die als nationale Bedrohung angesehen wird, wie z. B. Dissidenten, Journalisten und Gruppen, die sich aktiv gegen das Land aussprechen oder unlautere Praktiken aufdecken
• Kritische Infrastrukturen, wie Versorgungsunternehmen, Finanzinstitute, Kommunikations- und Gesundheitseinrichtungen
• Militärische Ziele, einschließlich Waffensystemen, Informationsdatenbanken und nachrichtendienstlichen Erkenntnissen, wie Plänen, Bewegungen und Standorten
• Politische Kampagnen, Wahlmanipulationen oder Wahleinmischungen sowie öffentliche und private Regierungswebseiten

Wie können Unternehmen sich selbst und ihre Nutzer*innen am besten vor Angriffen von Nationalstaaten schützen?

Es ist wichtig, Angriffe von Nationalstaaten nicht zu unterschätzen. In erster Linie können sie, wie die meisten Cyber-Bedrohungen, Risiken ausnutzen, um ihre Ziele zu erreichen, und wenn erst einmal ein Angriffsvektor gefunden ist, kann der Angriff in relativ kurzer Zeit zu einer Datenverletzung führen. Im Gegensatz zu anderen Cyber-Bedrohungen oder Gelegenheitsangriffen sind nationalstaatliche Angriffe jedoch oft sehr gut finanziert und vorbereitet und verfügen über leistungsfähige Werkzeuge zur Durchführung ausgeklügelter Angriffe. Darüber hinaus ist die Motivation zwar ein zentrales Thema, aber nicht unbedingt erforderlich, da Nationalstaaten in der Vergangenheit dafür bekannt waren, Cyberangriffe ohne einen klaren Auftrag durchzuführen, sondern eher sehr geduldig zu sein, sich Zeit zu nehmen, um Informationen zu sammeln und ihre Angriffe entsprechend zu planen - auch wenn es Jahre dauert, bis sie abgeschlossen sind.

Vor diesem Hintergrund sollten sich IT- und Sicherheitsteams darüber im Klaren sein, dass es kein Patentrezept oder eine „Einheitslösung“ gibt, mit der sich jede Bedrohung abwehren lässt, und schon gar nicht eine sorgfältig geplante Lösung.

Die beste Ressource in Ihrem Arsenal ist es, das Risiko zu minimieren, Opfer von Bedrohungen durch Nationalstaaten zu werden. Entwickeln Sie eine starke, mehrschichtige Verteidigungsstrategie, die Ihre Sicherheitslage und die der Geräte, die sich mit den Unternehmensressourcen verbinden und darauf zugreifen, stärkt. Zum Beispiel:

• Die Durchführung einer Risikobewertung, um die Bedrohungen durch nationale Staaten und die Arten von Angriffen zu verstehen und um zu ermitteln, welche Ihrer Ressourcen gefährdet sind, ist ein wichtiger erster Schritt.
• Bereitstellung und Durchsetzung sicherer Konfigurationen auf Geräten über Mobile Device Management (Mobilgeräteverwaltung, MDM), um Fehlkonfigurationen von unternehmenseigenen und persönlichen Geräten zu vermeiden
• Implementierung eines Patch-Management-Plans, der sicherstellt, dass die Geräte mit Patches für Betriebssysteme und Apps auf dem neuesten Stand sind
• Integrieren Sie einen Cloud-basierten Identitätsanbieter*innen (IdP) in Ihre Verwaltungs- und Sicherheitslösungen, um Zugriffsabläufe zu sichern und gleichzeitig Berechtigungen und Schutzmaßnahmen in Ihrer gesamten Infrastruktur zu erweitern
• Erfordert MFA und kontextabhängige Zugriffskontrolle für alle Geräte - lokal und remote - und bietet mit Zero Trust Network Access (ZTNA) einen wirklich skalierbaren, sicheren Schutz über jedes Netzwerk
• Überwachen Sie die Konformität von Endpoints und streamen Sie Protokolldaten an Ihre bevorzugte SIEM-Lösung, um einen Einblick in den Gerätezustand in Echtzeit zu geben
• Bereitstellung von für den Schutz von Endpoints im Netzwerk und auf dem Gerät für Ihre gesamte Flotte, Abstimmung mit Sicherheits-Frameworks zur Vermeidung von Malware und Minimierung von Risiken
• Suche und Beseitigung unbekannter Bedrohungen durch fortschrittliche Verhaltensanalysen zur Identifizierung verdächtiger Verhaltensweisen und zur Erkennung bösartiger Bedrohungen bevor sie zu einer Datenverletzung führen
• Überprüfen Sie Ihre Partner, um sicherzustellen, dass Ihre Lieferkette geeignete Maßnahmen ergreift, um das Risiko zu minimieren, das durch eine Kompromittierung durch Dritte in Ihr Unternehmen eingeschleust wird, und stellen Sie sicher, dass die Endpoints auf jeder Stufe der Pipeline geschützt sind
• Weitergabe von Kenntnissen über Cyber-Bedrohungen durch regelmäßige Schulungen zur Sensibilisierung der Endbenutzer*innen für Sicherheitsfragen, Erweiterung der Kenntnisse der Benutzer*innen zur Erkennung und Abwehr von Social Engineering-Bedrohungen

Bring Your Own Device (BYOD)

BYOD-Programme gibt es nun schon seit geraumer Zeit. Die Einführung des iPhones im Jahr 2007 hat das explosionsartige Wachstum des modernen Smartphones erst richtig in Gang gesetzt und dazu geführt, dass von den Nutzer*innen sowohl privat als auch geschäftlich genutzt wird .

Da die Nutzung immer weiter anstieg, entschieden sich immer mehr Nutzer*innen für mobile Geräte, da diese im Vergleich zu größeren, unhandlicheren mobilen Computern flexibel, einfach zu bedienen und leistungsfähig sind. Letzteres war auch schwerer und musste häufiger aufgeladen werden, um zu verhindern, dass sich das Gerät nach ein paar Stunden Dauerbetrieb ausschaltet. Ganz zu schweigen von dem uralten Problem der Unterstützung mehrerer Betriebssysteme für verschiedene Gerätetypen, was die Arbeitsbelastung der IT- und Sicherheitsteams, die versuchen, die Geräte und das Unternehmensnetzwerk zu schützen, sicherlich erhöht hat.

Die Lösung für die Herausforderungen bei der Unterstützung mobiler Geräte bei gleichzeitiger Aufrechterhaltung der Sicherheitsvorkehrungen? Mobile Device Management (Mobilgeräteverwaltung, MDM)

MDM, gekoppelt mit der Unterstützung von Apple durch seine Sicherheits-Frameworks, hat die Verwaltung mobiler Geräte nicht nur beschleunigt, sondern auch durch die Entwicklung eines Frameworks, das die Sicherheit und den Schutz der Privatsphäre der Benutzer*innen von Grund auf unterstützt, auf Hochtouren laufen lassen. Lösungen wie Jamf Pro unterstützen die von Apple geschaffene Grundlage vollständig und erweitern diese mit Unterstützung für alle Eigentumsmodelle und Same-day Support, der eine solide Grundlage für die IT-Abteilung darstellt, um alle macOS-, iOS/iPadOS- und tvOS-Geräte, die auf Unternehmensnetzwerke zugreifen, auf sichere Weise zu verwalten.

Durch die Ausweitung der Verwaltungs- und Sicherheitsabläufe auf alle Geräte, unabhängig davon, ob sie sich im persönlichen oder im Firmenbesitz befinden, begrenzen Unternehmen gleichzeitig das Risiko, das von Geräten ausgeht, die sich im Firmenbesitz befinden:

• Falsch oder gar nicht konfiguriert
• Fehlen der neuesten Sicherheitsupdates
• Fehlende notwendige Apps und Updates
• Nicht wiederherstellbar oder Daten können bei Verlust oder Diebstahl nicht gelöscht werden
• Nichteinhaltung von Vorschriften durch Verwendung nicht genehmigter Apps/Dienste (Schatten-IT)
• Verarbeitung und Speicherung von Daten auf ungesicherten Datenträgern
• Kommunikation über nicht vertrauenswürdige Netzwerke ohne Verschlüsselung
• Unverschlüsselte Daten aufgrund der Nichtverwendung von Passcodes
• Keine Überwachung oder Rückmeldung wichtiger Gerätedaten in Echtzeit
• Unüberschaubar für IT/Sicherheit, sodass sie nicht in der Lage sind, Vorfälle wirksam zu entschärfen

Die obige Liste ist bei weitem nicht vollständig, wenn es um die Sicherung Ihrer Geräte am Arbeitsplatz geht. Einige der Möglichkeiten, wie Unternehmen MDM nutzen können, um einen reibungslosen Übergang zu den persönlichen Geräten der Benutzer*innen zu gewährleisten und gleichzeitig die Unternehmensressourcen zu schützen, sind die folgenden:

• Die vom Benutzer/von der Benutzerin initiierte Registrierung ermöglicht es Endbenutzer*innen, unternehmensweite Sicherheit für Geschäftsressourcen in einem separaten, sicheren Volume zu erhalten, wobei die Privatsphäre und die persönlichen Daten der Benutzer*innen intakt bleiben
• Sperreinstellungen auf Geräten, wie die Installation von Konfigurationsprofilen zur Sicherung der Verbindung zu drahtlosen Netzwerken und Unternehmensressourcen
• Sicherstellen, dass die Geräte mit System- und Sicherheitsupdates auf dem neuesten Stand gehalten werden, um Sicherheitslücken zu schließen
• Bereitstellung unterstützter, vorkonfigurierter Apps, damit die Daten sicher bleiben und die Benutzer*innen produktiv arbeiten können
• Durchsetzung der Einhaltung von Unternehmens- und gesetzlichen Vorschriften durch richtlinienbasierte Verwaltung
• Implementierung von verwalteten Apple IDs für die geschäftliche Nutzung und einer separaten Apple ID für die private Nutzung, einschließlich Cloud-basierter Backups von Daten und Einstellungen
• Aktivieren Sie Merkmale und Funktionen für mehr Sicherheit, z. B. die Anforderung von Passcodes und die Verschlüsselung von Datenträgern
• Nutzen Sie den Self Service-Katalog mit vorab genehmigten Geschäftsapps, um die Benutzer*innen zu befähigen, während Sie die erforderlichen Dienste wie ZTNA für den sicheren Fernzugriff auf Geschäftsressourcen bereitstellen
• Integrieren Sie MDM- und Endpoint-Sicherheitslösungen, um den Gerätezustand in Echtzeit zu überwachen und automatisierte Abhilfeworkflows zu ermöglichen
• Aktiver Schutz vor Bedrohungen, sowohl auf dem Gerät als auch im Netzwerk, um sicherzustellen, dass die Geräte jederzeit geschützt sind

Schatten-IT

Im vorherigen Abschnitt haben wir über die Herausforderungen von BYOD gesprochen. Und obwohl sie manchmal mit der Schatten-IT in einen Topf geworfen wird, ist es in Wahrheit so, dass - wenn sie richtig durchgeführt werden - sanktionierte BYOD-Programme eine Lösung zur Eindämmung der Bedrohung durch die Schatten-IT darstellen. Schatten-IT-Bedrohungen bestehen jedoch aus mehr als nur der Verwendung nicht unterstützter Geräte für die Arbeit. Darunter fällt auch die Nutzung von nicht zugelassenen Apps und Diensten, die nicht von IT- und Sicherheitsteams überprüft wurden, wenn sie auf Unternehmensdaten zugreifen, diese verarbeiten, speichern oder übermitteln.

Die Schatten-IT ist zwar nicht von Natur aus böswillig, nahm aber Gestalt an, als die Endbenutzer*innen, die oft von der Unzugänglichkeit oder mangelnden Benutzerfreundlichkeit offizieller, vom Unternehmen autorisierter Apps und Dienste frustriert waren, sich auf bessere Hardware und einfachere, effizientere Software verließen, um auf eine Weise produktiv zu bleiben, die einen Mehrwert für die Arbeit darstellt, anstatt sie zu beeinträchtigen.

Wie bei den meisten Dingen im Bereich der Sicherheit ist ein Tool nur ein Tool. Ob sie bösartig ist oder nicht, hängt von der Absicht des Benutzers/der Benutzerin ab, der sie bedient. Im Gegensatz zu anderen Instrumenten ist jedoch im Bereich der Cybersicherheit die Absicht nicht die einzige Komponente des Risikos. Es geht auch darum, ob der Benutzer/die Benutzerin wissentlich oder unwissentlich ein Risiko eingeführt hat, was oft mit Absicht verbunden ist.

Es liegt jedoch außerhalb des Rahmens dieses Blogs, böswillige Absichten festzustellen oder nicht, sondern vielmehr die Risikofaktoren zu identifizieren, die von Schatten-IT ausgehen, und, was noch wichtiger ist, wie man sie wirksam abschwächen kann, um die Sicherheitslage Ihres Unternehmens gegen Datenverletzungen zu stärken.

Immerhin ist das die Frage von 3,08 bis 5,02 Millionen Dollar laut dem IBM-Bericht 2022 Kosten der Sicherheitsverletzung , der zu dem Schluss kommt, dass „Angreifer*innen Konfigurationsfehler und etwaige Schwachstellen in Apps ausnutzten, von denen viele unentdeckt blieben, weil Mitarbeiter*innen nicht genehmigte Dienste verwendeten.“

Wie können Unternehmen das schützen, was sie nicht kennen?

Indem Sie die Schatten-IT nutzen.

Um es klar zu sagen: Das bedeutet nicht, dass die Endnutzer*innen alle Hardware- und Software-Tools ohne Aufsicht nutzen können. Es bedeutet auch nicht, dass wir uns in die späten 90er und 2000er Jahre zurückversetzen lassen, indem wir einen „eisernen Ansatz“ für die IT-Verwaltung wählen. Nein, es bedeutet einfach, dass moderne Sicherheitstools, -praktiken und -verfahren eingesetzt werden, die flexibler sind und gleichzeitig die Unternehmensressourcen vor unbefugtem Zugriff und Datennutzung schützen.

Wie können Vermögenswerte vor Schatten-IT-Bedrohungen geschützt werden?

Der erste Schritt besteht darin, zu verstehen, warum sich die Benutzer*innen der Schatten-IT zuwenden, welche Ressourcen genutzt werden und warum sie eine bessere Lösung darstellen als das, was die Organisation bietet. Mit diesen Informationen kann das Unternehmen besser verstehen, welche Risiken die Schatten-IT mit sich bringt, und schließlich eine Antwort auf die ursprünglich gestellte Frage finden: wie die Vermögenswerte am besten geschützt werden können.

Ok, jetzt, da ich weiß, was geschützt werden muss und warum, wie gehe ich eigentlich vor?

Ein Teil des obigen Vorschlags zur Einführung von Schatten-IT bedeutet, dass man sich darüber im Klaren sein muss, dass es nicht ausreicht, den Endnutzer*innen zu sagen, dass sie ein bestimmtes Gerät, eine bestimmte App oder einen bestimmten Dienst nicht nutzen können. Wenn es um Datensicherheit geht, sollten Sie sich nicht nur auf das Wort anderer verlassen, sondern auch überprüfen und durchsetzen können, dass Schutzmaßnahmen vorhanden sind und Bedrohungen aktiv abgewehrt werden.

Dies kann durch den Einsatz einer mehrschichtigen Strategie erreicht werden, um die Ressourcen wirksam zu schützen und gleichzeitig die Flexibilität der Wahl zu ermöglichen, die die Benutzer*innen vielleicht wünschen (oder sogar brauchen), um möglichst produktiv zu sein.

• Implementieren Sie BYOD-Programme, die es den Mitarbeiter*innen ermöglichen, mit den Technologien zu arbeiten, mit denen sie sich am wohlsten fühlen, und die gleichzeitig eine ordnungsgemäße Konfiguration der Geräte durch die MDM-Lösung des Unternehmens für mehr Transparenz und Sicherheit ermöglichen.
• Richten Sie die Schatten-IT an den Unternehmensstandards und -protokollen aus, z. B. durch den Einsatz von Sicherheitstechnologien für Endpoints, die in die Verwaltung und Identität integriert werden, um Geräte, Benutzer*innen und Daten ganzheitlich zu schützen.
• Entwickeln Sie die Sicherheitsvorkehrungen weiter. Zum Beispiel die Einführung einer Zero Trust Network Access (ZTNA)-Lösung, um Unternehmensressourcen vor unbefugtem Zugriff und kompromittierten Geräten zu schützen, indem Benutzeranmeldeinformationen und der Gesundheitszustand des Endpoints bei jeder Zugriffsanfrage überprüft werden, und , bevor sie gewährt werden, um die Gefährdung und Datenverluste zu minimieren.
• Entwicklung von Hardware-/Softwareanforderungen für den Zugriff auf geschützte Unternehmensressourcen, wobei die Geräte diese Standards erfüllen müssen, z. B. Verschlüsselung für die geräteinterne Speicherung und in Netzwerken.
• Rationalisierung der Abläufe, Priorisierung der IT-Ressourcen, die den größten Nutzen für die Endpoint-, Benutzer*innen- und Datensicherheit bieten, sowie Anpassung an die Anforderungen verteilter Belegschaften bei gleichzeitiger Kostenreduzierung durch Eliminierung nicht mehr kompatibler und unzureichend genutzter Ressourcen.

Bedrohungssuche

Endpointschutz ist ein „No-Brainer“, habe ich Recht? Wenn es um die Endpoint-Sicherheit geht, ist eine der Bedrohungen, die am häufigsten auftreten, zweifellos Malware. Bösartiger Code in seinen unzähligen Formen bleibt eine der größten Bedrohungen für die Cybersicherheit. Während der Endpoint-Schutz eine hervorragende Sicherheitsebene gegen bekannte Bedrohungen bietet, schützen die von vielen dieser Lösungen verwendeten Verhaltensanalysen die Geräte, indem sie bekannte Bedrohungen auf der Grundlage ihrer Signaturwerte verhindern.

Aber das ist nur ein Teil der Geschichte, nicht wahr? Der andere Teil versteckt sich im Inneren Ihrer Geräte, unter Codezeilen in Apps, die im Betriebssystem installiert sind. Manchmal liegen diese unbekannten Bedrohungen auf der Lauer und warten auf den richtigen Zeitpunkt, um so viele Informationen über die Abläufe in Ihrem Unternehmen zu sammeln, wie sie nur können.

Das aufschlussreiche Zitat von Jonathan Raymond bringt dieses Gefühl perfekt auf den Punkt: „Sie können nicht wissen, was Sie nicht wissen. Man kann nicht über Dinge Bescheid wissen, die man noch nicht entdeckt hat.“ Es ist jedoch der zweite Satz, der IT- und Sicherheitsteams die Möglichkeit bietet, eine grundlegende Neugier zu befriedigen, denn er wirft die Frage auf: Was kann getan werden, um mehr zu entdecken und somit mehr zu wissen?

Die Antwort auf diese Frage lautet Bedrohungsjagd.

Wie bereits erwähnt, verhalten sich nicht alle Bedrohungsakteur*innen gleich. Ihre Aktionen sind so unterschiedlich wie ihre Ziele. Während die einen ihre Werkzeuge einsetzen, um eine günstige Gelegenheit zu nutzen, schmieden andere sorgfältig Pläne für ein langfristiges Spiel, indem sie Ziele über einen unbestimmten Zeitraum überwachen, Daten sammeln und daraus die Werkzeuge für einen strategischen Angriff auf ihre Opfer zum günstigsten Zeitpunkt ableiten - oder, sollte es einen solchen nicht geben, unablässig daran arbeiten, einen solchen zu schaffen.

Beide sind für die Sicherheit eines Unternehmens gefährlich, aber letzteres stellt eine lang anhaltende Bedrohung dar, die viel länger als die Dauer des Angriffs andauern kann. Dies mag IT- und Sicherheitsteams zwar zu denken geben, bietet ihnen aber auch die Möglichkeit, Angriffe zu stoppen, bevor sie sich zu etwas weitaus Schlimmerem auswachsen können, z. B. zu einer Datenverletzung.

Das Ziel der Bedrohungsjagd ist, dass der Jäger zum Gejagten wird. Mit anderen Worten: Die Bedrohungen, die in die Geräte des Unternehmens eingedrungen sind, müssen von einem Team aus IT- und Sicherheitsexpert*innen aufgespürt und beseitigt werden, das Zeit und Ressourcen aufwendet, um Telemetriedaten zu sammeln, zusammenzustellen und zu analysieren, um alle identifizierbaren Anomalien in den Basislinien ausfindig zu machen, damit diese versteckten Bedrohungen im Rahmen eines umfassenden Sicherheitsplans erfolgreich aufgespürt und entschärft werden können.

Teams, die sich der Bedrohungsjagd widmen, können beliebig groß sein und sich aus Fachleuten aus allen IT-Bereichen zusammensetzen. Obwohl es nicht ungewöhnlich ist, dass Teammitglieder Expert*innen in Datenwissenschaft, Programmierung oder erfahrene Sicherheitsexpert*innen sind, haben Veränderungen bei den Cybersicherheitstools dazu geführt, dass auch kleinere Teams ohne umfassende Erfahrung oder Fachwissen Aufgaben zur Bedrohungssuche durchführen können, um das Risiko unbekannter Bedrohungen zu verringern, die in der Infrastruktur Ihres Unternehmens lauern.

Nach können Sie Ihr eigenes Team zur Bedrohungsjagd einrichten, das unter anderem folgende Aufgaben erfüllen kann

• Ständige Überwachung in Echtzeit und Überprüfung des Gerätestatus mit aktuellem Einblick in den Zustand der Endpoints
• Nutzen Sie fortschrittliches maschinelles Lernen (ML) und Bedrohungs-Intelligenz-Engines, um Teams bei der Erkennung und Beseitigung von Bedrohungen durch die Analyse großer, komplexer Datenmengen zu unterstützen
• Streaming von Endpointprotokollen zur SIEM-Lösung für granulare Berichte, die zentralisierte Informationen über Bedrohungen, riskante Apps und verdächtige Verhaltensweisen sowie Systemprozesse liefern
• Standardisierung der Geräte- und Netzwerksicherheit durch Erstellung von Baselines. Dies gewährleistet die Einhaltung der Vorschriften, indem sie an Sicherheitsrahmenwerken wie MITRE ATT&CK, NIST und CIS ausgerichtet werden
• Kombination von analytischen, situationsbezogenen und nachrichtendienstlichen Methoden, um ein ausgereiftes Maß an Konsistenz und Skalierbarkeit zu erreichen, damit sich an aktuelle und künftige Gegebenheiten anpassen und gleichzeitig die Effizienz steigern kann