Jedes Jahr entstehen Unternehmen in ganz Europa durch Cyberangriffe Schäden in Höhe von mehreren hundert Milliarden Euro. IT-Sicherheitstools sind zwar vorhanden, werden vielerorts jedoch falsch auf- und eingestellt. Die Folge: ein erhöhtes Risiko, Opfer eines erfolgreichen Cyberangriffs zu werden. Helfen können seit einiger Zeit Breach- and Attack-Simulationen. Doch müssen IT-Verantwortliche verstehen: Breach and Attack ist nicht gleich Breach and Attack. Europas Unternehmen brauchen Lösungen mit einem Blackbox-Multi-Vector Testing-Ansatz. Nur so wird es ihnen gelingen, die Cyberrisiken ihrer Unternehmen umfassend und kontinuierlich – und damit nachhaltig – zu reduzieren.
Auch 2023 müssen Europas Unternehmen wieder mit durch Cyberangriffe herbeigeführten Schäden in dreistelliger Milliardenhöhe rechnen. Laut dem ENISA Threat Landscape 2022 Report hat die Zahl der Angriffe auf europäische Unternehmen auch im vergangenen Jahr wieder zugelegt. Ein Ende dieser Entwicklung ist für 2023 kaum abzusehen. Ein Grund: viele europäische Unternehmen haben nach wie vor zentrale Komponenten ihrer IT-Sicherheitsarchitektur nicht optimal eingerichtet. Sie übersehen wichtige Aspekte ihrer Cybersicherheits-Architektur, die Fluidität ihres IT-Ökosystems. Es mangelt ihnen an Übersicht und Transparenz. Sie vernachlässigen Audits und realistische Tests ihrer implementierten Sicherheitslösungen. Die Folge: Sicherheitslücken werden nicht rasch genug erkannt und abgestellt. Angreifern machen sie es damit unnötig leicht, sich Zugang zu ihren Systemen zu verschaffen, Schäden anzurichten und Informationen zu entwenden.
IT-Sicherheit im EMEA-Raum – der Sachstand
Zwar kommt der 2022 Cybersecurity Effectiveness Report von Cymulate zu dem Ergebnis, dass die Cyberrisiken 2022 auf einem guten Mittelwert rangieren: Web-Gateways liegen bei 27, E-Mail-Gateways bei 12, WAF bei 35, Endpunkt-Sicherheit bei 27, Immediate-Threats bei 29 und Data-Exfiltration bei einem Risikowert von 44. Der EMEA-Raum schneidet da mit seinen Werten – 25, 12, 35, 25, 28 und 42 – sogar vergleichsweise gut ab. An der Nordamerika-Region zieht er vorbei. Doch ändert dies nichts daran, dass sich die Risikowerte damit immer noch auf einem mittleren Niveau bewegen. Mit den entsprechenden Folgen für den Erfolg der Cyberangriffe und die durch sie verursachten Schäden.
EU baut Vorgaben für IT-Sicherheit aus
Dies hat auch die EU verstanden und begonnen, gegenzusteuern. Anfang des Jahres wurden zwei Richtlinien zur Stärkung der IT-Sicherheit in Europa verabschiedet: die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) und die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie). Beide Richtlinien erhöhen den Druck auf Unternehmen, ihre IT-Sicherheit besser aufzustellen. Ein entscheidender Baustein dabei: die Bewertung der Effektivität der Cybersicherheit, der IT-Sicherheitsarchitektur und ihrer einzelnen Komponenten.
Risiken minimieren, Sicherheit erhöhen – Breach- and Attack-Simulationen
Bei der Ermittlung der Effektivität helfen können seit einigen Jahren Breach- and Attack-Simulationen (BAS). BAS haben nachweislich einen signifikant positiven Effekt auf die Cyber-Widerstandsfähigkeit eines Unternehmens. BAS testen die Erkennung von und Alarmierung bei Bedrohungen, um zu ermitteln, ob die Kontrollen korrekt funktionieren oder ob Angreifer in der Lage wären, sie zu umgehen. Jeder Angriffsvektor dabei wird unabhängig bewertet und zu einer Gesamtrisikobewertung auf der Grundlage von Industriestandard-Frameworks zusammengeführt. Der bereits erwähnte Cybersecurity Effectiveness Report von Cymulate hat in diesem Zusammenhang nachweisen können, dass die Cyberrisiken eines Unternehmens signifikant zurückgehen, wenn regelmäßig BAS auf die Sicherheitsarchitektur angewandt und die einzelnen Komponenten dann auf Basis der Ergebnisse optimiert werden:
- Windows Signature-Based (on-write/on-access) Anti-Virus Scanning
Risikowert vor BAS: 95-100 – Hohes Risiko
Risikowert nach BAS: 38 – Mittleres Risiko
- Windows Behavioral-Based Detection (EDR/XDR) Anti-Malware Defenses
Risikowert vor BAS: 63 – Mittleres Risiko
Risikowert nach BAS: 13 – Niedriges Risiko
- MacOS Anti-Malware Defenses
Risikowert vor BAS: 74 – Hohes Risiko
Risikowert nach BAS: 55 – Mittleres Risiko
- Linux Anti-Malware Defenses
Risikowert vor BAS: 81 – Hohes Risiko
Risikowert nach BAS: 51 – Mittleres Risiko
Diese Verbesserung der Risikowerte konnte durchgängig bei Cymulate-Kunden unterschiedlicher Branchen, Größen und Nationalitäten ermittelt werden.
Drei Breach- and Attack-Ansätze – Die Qual der Wahl
Wollen IT-Verantwortliche ihre IT-Sicherheit optimieren, stehen ihnen mittlerweile drei automatisierte BAS-Ansätze zur Auswahl: Beim Agent-Based-Vulnerability-Scanning werden Agenten auf mehreren Maschinen eingesetzt, die sie dann auf Basis einer Datenbank auf Schwachstellen testen. Beim Malicious-Traffic-Based-Testing wird künstlich schädlicher Datenverkehr erzeugt, der dann auf eine Reihe virtueller Maschinen innerhalb des Unternehmensnetzwerks losgelassen wird. Der Nachteil der beiden Ansätze: Die Lösungen konzentrieren sich ausschließlich darauf, wie die IT-Sicherheit reagiert, wenn ein Angreifer in das Netzwerk eines Unternehmens einzudringen sucht. Was sie nicht testen können, ist die Effektivität der IT-Sicherheit, wenn ein Angreifer bereits in das Netzwerk eingedrungen ist.
Besser – da wirklich umfassend – ist deshalb der Blackbox-Multi-Vector-Testing-Ansatz. Dieser dritte BAS-Ansatz besteht aus simulierten Multi-Vektor-Angriffen, die es ermöglichen, die IT-Sicherheit sowohl an den Eingängen als auch innerhalb eines Netzwerks zu prüfen. Analysen bestehen dabei aus mehrstufigen Tests, bei denen verschiedene Arten von Angriffstaktiken, -techniken und -verfahren (TTPs) sowie Nutzerdaten zur Anwendung gebracht werden, um die Sicherheitslösungen und -kontrollen zu umgehen.
Blackbox-Multi-Vector-Testing in der Praxis
Lösungen, die auf den Blackbox-Multi-Vector-Testing-Ansatz setzen, sind mittlerweile auch als automatisierte Plattformlösung erhältlich. Cymulate beispielsweise, hat mit seiner Exposure-Management and Security Validation-Plattform eine umfassende und skalierbare Blackbox Multi-Vector Testing-Lösung im Programm. Die IT-Sicherheit von Onpremises- und Cloud-Infrastrukturen kann mit ihrer Hilfe kontinuierlich überprüft, validiert und optimiert werden – auch im Hinblick auf neueste Bedrohungslagen. Alle Phasen eines Angriffs, von der pre-exploitation bis zur post-exploitation, werden simuliert. Außerdem kann die Plattform automatisiert Berichte – zugeschnitten wahlweise auf das C-Level-Management oder die IT-Sicherheitsexperten eines Unternehmens – erstellen und mit konkreten Vorschlägen zur Optimierung der IT-Sicherheitsarchitektur aufwarten.
Fazit
In Punkto IT-Sicherheit haben europäische Unternehmen 2023 – auch wenn sie im internationalen Vergleich nicht schlecht dastehen – noch einiges zu tun. Plattformen, die einen Blackbox-Multi-Vector-Testing-BAS-Ansatz nutzen, können IT-Entscheidern und Geschäftsführern helfen, hier die richtigen Schritte in Bewegung zu leiten. Anders werden sich niedrige Risikowerte – nachweisbar – nicht erzielen lassen.
Von Martin Tran, Sales Engineer, DACH, Central & Eastern Europe, bei Cymulate