Jedes Jahr trifft sich die IT-Security-Branche auf der RSA Conference, um sich für ihren unermüdlichen Sisyphus-Kampf gegen das Cyberverbrechen zu feiern. Im Vorfeld sprach ich mit Sergej Epp, CSO EMEA Central bei Palo Alto Networks, über aktuelle Entwicklungen in puncto Cybercrime und dessen Abwehr. Epp sieht bedenklich große Brocken auf die Sisyphusarbeiter zurollen.
„In der Bedrohungslandschaft tut sich gerade sehr viel“, sagt Sergej Epp. Zwei Trends hebt er hervor: „Erstens gehen bestimmte staatliche Akteure mit ihren Angriffen sehr stark in die Breite und kompromittieren zahlreiche Unternehmen.“ Manche APTs (Advanced Persistent Threats, professionelle Angreifergruppen) haben laut dem Security-Experten „systematisch die makroökonomische Lage im Fokus“: „Es gibt Länder, die durch Wirtschaftsspionage ihre Position stärken wollen“, führt Epp aus. „Sie ändern gerade ihre Strategie, um ihre Interessen künftig besser durchsetzen zu können, etwa durch Spionage oder auch Sabotage.“
Ein typischer Supply-Chain-Angriff zum Beispiel habe einen klaren Fokus und gehe oft von staatlichen Akteuren aus. Man sehe starke Aktivität in Osteuropa, insbesondere erfolgreiche Angriffe auf kritische Infrastruktur.
„Zweitens übernehmen Cyberkriminelle die Tools und Vorgehensweisen der staatlichen Akteure“, so Epp weiter. „Gruppierungen, die sich den Staaten zuordnen lassen, arbeiten sehr eng mit Cyberkriminellen zusammen oder rutschen selbst ins Cybercrime ab.“ Denn in Zeiten ohne Auftrag müsse auch eine APT-Gruppierung versuchen, „sich ein Zubrot zu verdienen“: „Deshalb wäre es heute fahrlässig zu sagen: ,Staatliche Bedrohungsakteure betreffen mich nicht.’ Das funktioniert nicht mehr“, sagt Epp.
Konsolidierung von Security-Lösungen
Wie bei einem Anbieter einer umfassenden Security-Plattform naheliegend, sieht Palo-Alto-Networks-Mann Epp die verbreiteten historisch gewachsenen und folglich oft unübersichtlichen Landschaften punktueller Security-Tools damit überfordert. Die Konsolidierung von Security-Lösungen ist deshalb laut den großen Security-Playern das Gebot der Stunde.
„Wir sehen einen massiven Konsolidierungsschub bei unseren größten Anwenderunternehmen und auch bei den kleinen“, so Epp, „lediglich der Mittelstand tut sich dabei noch etwas schwer. Bei unseren Umfragen sagen uns 77 Prozent der Unternehmen, dass sie ihre Security-Lösungen konsolidieren wollen.“ Insbesondere das veränderte Arbeiten aufgrund der Corona-Pandemie und die aktuelle Marktlage hätten viele Unternehmen zur Konsolidierung bewegt.
Will man das vorhandene Sammelsurium an Sicherheitswerkzeugen durch einen „Best of Breed“-Ansatz – sprich: eine Komplettlösung – ersetzen, dann ist es natürlich wünschenswert, dass die Bausteine für Zugriffs-, Endpoint-, Netzwerk-, Cloud-, E-Mail- oder auch Daten- und Informationssicherheit nahtlos integriert sind. Dies ist aber, wie Epp anmahnt, längst nicht immer der Fall: „Viele Security-Anbieter haben in den letzten Jahren Startups aufgekauft, deren Lösungen aber aus technischer Perspektive nicht integriert.“
Die Probleme der Cybersecurity könne man aber nur durch den Einsatz vernetzter Cybersecurity-Tools lösen: „Nur so lassen sich Angreifer stoppen, selbst wenn sie einen zweiten, dritten oder vierten Angriffskanal nutzen“, erläutert Epp. Die gute Nachricht: „Immer mehr Unternehmen haben verstanden: Ich kann es mir nicht leisten, für jedes Security-Problem einen eigenen Prozess aufzubauen.“
Lücken schließen, Risiken priorisieren
Sergej Epp sieht deshalb die Vertriebspartner von Resellern bis MSSPs (Managed Security Service Provider) gefordert, den Weg zum umfassenden und durchgängigen Schutz zu ebnen: „2023 ist das Jahr des Channels“, betont er. Es gelte, den Security-Architekturansatz so zu gestalten, dass die Nutzer keine Lücken haben. „Dazu müssen wir unseren Channel stärker enabeln, da das Verständnis, wie alle Lösungen zusammenspielen, in den Unternehmen oft fehlt. Denn bei Cybersecurity sieht man den Mehrwert in der Regel nicht – oder zumindest nicht sofort.“
Das Verständnis, was gute Cybersecurity ausmacht, können laut dem Security-Fachmann deshalb die wenigstens Marktteilnehmer etablieren. „Die namhaften Hersteller und die MSSPs müssen dieses Verständnis viel besser in den Markt bringen“, fordert er.
Angesichts der Vielfalt und teils auch Komplexität der Risiken sieht er zudem das Risiko, bei der Gewichtung einer Fata Morgana aufzusitzen: „Ein Problem der Angriffsabwehr besteht darin, die Security-Maßnahmen zu priorisieren und ihre Effektivität zu messen“, sagt Epp und nennt ein Beispiel: „Schäden durch Business E-Mail Compromise (betrügerischer Geschäfts-E-Mails, d.Red.) sind vier bis fünf Mal größer als jene durch Ransomware. Aber Ransomware ist eben offensichtlicher und medienwirksamer, weshalb sie mehr im Fokus steht.“
Vor diesem Hintergrund hat Palo Alto Networks kürzlich seine Cortex-XSIAM-Plattform um das neue Modul ITDR (Identity Threat Detection and Response) erweitert. ITDR soll es ermöglichen, Identitäts- und Verhaltensdaten von Nutzern zu erfassen und identitätsbasierte Angriffe mittels KI in Sekundenschnelle zu erkennen. Das Modul verbessert laut Hersteller die Fähigkeit von XSIAM, Sicherheitsfunktionen in einer einheitlichen, KI-gesteuerten SOC-Plattform (Security Operations Center) zu konsolidieren.
Kurz zuvor hatte der US-Anbieter eine Zero-Trust-Lösung für industrielle Umgebungen vorgestellt. Diese Lösung, aus der Cloud heraus bereitgestellt, vereine die Hardware und Software der hauseigenen Next-Generation Firewalls (NGFW) mit Prisma SASE (Secure Access Service Edge) für OT-Umgebungen (Operational Technology, industrielle Betriebstechnik). Und natürlich soll auch hier KI-Technik für ein hohes Sicherheitsniveau sorgen.
Zur RSA Conference kündigte der Anbieter die Erweiterung seines Unit 42 Digital Forensics and Incident Response Service an. Der Service kombiniere Palo Altos umfassende Erfahrung bei der Reaktion auf Vorfälle mit KI-gestützten Lösungen wie Cortex XDR und Xpanse sowie Prisma Cloud. Ziel ist es, dass Unternehmen auf Vorfälle sofort reagieren und sich damit schneller wieder davon erholen können.
Unter dem Strich geht es für die Security-Branche somit heute nicht nur darum, größere Steine ins Rollen zu bringen, sondern vor allem auch die richtigen. Sonst werden die Anwender in Zeiten zunehmend KI-gestützter Angriffsweisen auf dem steinigen Weg zur rundum soliden Security doch noch von einer Incident-Lawine überrollt.
(Dieser Beitrag erschien erstmals in LANline 06/2023.)
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
Bild: Palo Alto Networks
IT Info 2 Go 