zurück zur Übersicht

Assume Breach – Was tun wenn …

iStock_000012643202Large_BEARBEITET_xsAssume Breach ist ein Konzept, das eine leider unangenehme Tatsache in den Mittelpunkt rückt: Ein Unternehmen muss davon ausgehen, dass irgendwann ein Einbruch in deren Systeme erfolgreich ist. Dieser Umstand ergibt sich einfach aus dem Fakt, dass Angreifer nur eine Lücke finden müssen, um erfolgreich zu sein – Verteidiger aber die gesamte Oberfläche schützen müssen. Klassische Security-Produkte/Strategien helfen dabei diese ungeschützte Oberfläche erheblich zu reduzieren – je fortgeschrittener die sog. Security Maturity eines Unternehmens, desto geringer die ungeschützte Oberfläche. Eine 100%ige Abdeckung ist jedoch ein Wunschtraum.

Dabei ist es nötig unterschiedliche Aspekte eines erfolgreichen Einbruchs zu beachten.

Ein wichtiger Aspekt ist sicherlich der technische, wobei hier der Fokus vor allem auf der Erkennung und möglichst schnellen Blockade schädlicher Abläufe liegt. Konnte der initiale Angriff nicht verhindert werden, besteht eventuell die Möglichkeit darauffolgenden Datenabfluss möglichst frühzeitig zu erkennen. Systeme wie Splunk erlauben hierfür etwa die Anwendung klassischer Data Leakage Patterns. Ein durchaus vielversprechender Ansatz ist die Überwachung von Communities/Web-Plattformen, welche bekanntermaßen mit gestohlenen Daten handeln. Tauchen interne Datensätze auf solchen Plattformen auf, muss davon ausgegangen werden, dass Angreifer im eigenen Netzwerk unterwegs sind oder waren.
Anzuraten ist auch eine Klassifizierung von Unternehmensdaten und die Erstellung von darauf basierenden Security-Modellen. Während für quasi öffentliche Daten ein „Standard“-Modell ausreichend sein mag, sollten etwa Kundendaten ausschließlich verschlüsselt und auf dafür ausgelegten Systemen abgelegt werden. Für die Klassifizierung von Daten und Systemen stehen vielfach bewährte Prozesse bzw. Best-Practices zur Verfügung.

Wird nun ein erfolgreicher Angriff erkannt, stellt sich die Frage nach dem weiteren Vorgehen. Klar definierte Prozesse und Rollen sind entscheidend, um aus einer schlimmen Situation keine Tragödie werden zu lassen. Incident Reponse Teams müssen bereitstehen, Manager informiert werden, Kommunikationskanäle offen sein. Teamleiter müssen die Verfügbarkeit wichtiger Personen kennen und zusätzlich darf der normale Betrieb des Unternehmens nicht gestört werden. Rasches, koordiniertes Vorgehen ist entscheidend, um die Auswirkung eines erfolgreichen Angriffs so gering wie möglich zu halten. Je schneller ein laufender Angriff erkannt wird, desto schneller kann er unterbunden werden. Je mehr Informationen nach einen Angriff zur Verfügung stehen, desto besser können derartige Angriffe in Zukunft verhindert werden. Ob ein Unternehmen mit einem „blauen Auge“ davonkommt oder einen „Herzstillstand“ erleidet, entscheidet das Unternehmen selbst – durch seine Reaktion auf einen erfolgreichen Angriff.

Doch ist es ausreichend auf Einbrüche einfach korrekt zu reagieren und klassische, präventive Maßnahme außer Acht zu lassen?  Auf gar keinen Fall! Klassische Security Lösungen wie NextGen Firewalls, SIEM, Anti Virus Systeme, Breach Detection Plattformen, … sind und werde immer ein essenzieller Bestandteil jeder Security-Strategie sein. Ohne derartige Lösungen wäre die angreifbare Fläche viel zu groß, um auch nur ansatzweise sinnvoll verteidigt werden zu können. Assume Breach Strategien sind dann unabdingbar, wenn ein Einbruchsversuch doch erfolgreich ist – etwas das in letzter Zeit immer häufiger passiert.

Wir bei der iT-CUBE unterstützen Sie gerne dabei technische und organisatorische Maßnahmen zu treffen, um auf Incidents korrekt und effizient reagieren zu können. Sprechen Sie uns an!


Bild: ©iStock/Solostream/iStock_000012643202Large

Schreibe einen Kommentar