„The quick and the dead“ ist ein englischer Satz aus der Übersetzung des Neuen Testaments von William Tyndale. Das englische Wort „quick“ kommt aus dem alten angelsächsischen Wort für lebendig, und nichts könnte zutreffender sein. Schnell zu sein, heißt am Leben sein, und nirgendwo trifft dies mehr zu als in der Sicherheit, wo wir uns buchstäblich in einem – wenn auch asymmetrischen – Wettlauf gegen einen intelligenten, anpassungsfähigen Gegner befinden.
Aus diesem Grund geht es bei Sicherheit letztlich immer um Geschwindigkeit. Der Gegner ist innovativ, motiviert, fundiert und genießt die Vorteile der Asymmetrie: Er muss nur einmal richtig liegen, um erfolgreich zu sein, während der Verteidiger ein durchweg perfektes Spiel abliefern muss. Angesichts dessen und der damit verbundenen Investitionen verbessert der Angreifer seine Fähigkeiten üblicherweise schneller als der Verteidiger.
Wer Zukunftssicherheit will, sollte als erstes prüfen wie die gegenwärtige Situation aussieht. Das Wesentliche dabei ist, schnell und anpassungsfähig zu sein sowie die schrittweisen Verbesserungen und das Tempo, mit dem man Fortschritte erzielt, zu maximieren. Mit einem Wort: Sicherheit muss agiler mit Menschen, Prozessen und Technologien umgehen.
DevOps-Revolution
Die Verwendung des Wortes „agil“ ist allerdings ein technologisch vorbelasteter Begriff. Er steht im Zentrum der DevOps-Revolution und bezeichnet üblicherweise, wer besseren, nachhaltigeren Code schreibt und sowohl in der Produktion als auch im BackOffice nutzt. Die agile F&E-Bewegung gilt denn auch vielen als revolutionär, mancherorts hat sie fast Kultstatus. Schließlich geht mit DevOps eine völlig veränderte Art und Weise einher wie Technik gemacht wird: Benutzerzentriert, im Besitz des Produktionscodes und eine pragmatische Sichtweise auf das, was wir heute DevOps nennen.
Das agile Manifest enthält aber einige grundsätzliche Lektionen, die hilfreich sind. Die darin ausgeführten Prinzipien könnten zu einer ähnlichen Revolution im Bereich SecOps führen. Jedenfalls, wenn man diese Prinzipien richtig anwendet: Nicht der Benutzer ist „schuld“, vielmehr sollten Richtlinien reales menschliches Verhalten berücksichtigen. Man konzentriert sich auf Prozesse und darauf, wem die Ergebnisse zuteilwerden, engagiert sich für inkrementelle Verbesserungen, Arbeitsrichtlinien, Zusammenarbeit im Unternehmen und reagiert auf Veränderungen. In dieser Welt ist Perfektion der natürliche Feind des Guten, frei nach Voltaire, und schrittweise Verbesserung das Herzstück von Sicherheitsoperationen, die schneller als bisher wirksam werden.
So sind beispielsweise die „Indicators of Comprise“ (IOC), also die Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen, nicht mehr länger der leuchtende Stern beim Aufdecken und Verhindern von fortgeschrittenen Angriffen. Das haben wir immer wieder lernen dürfen, zuletzt anhand von Operation SoftCell. In SoftCell hat jeder Malware-Fall, von China Chopper bis zum inzwischen ehrwürdigen Poison Ivy, eine einzigartige Signatur. Jedes einzelne Mal, wenn die Malware benutzt und in den Umgebungen der Opfer platziert wurde, verfügte sie über eine einzigartige Signatur. Die Signatur an einem Ort zu finden, trägt also rein gar nichts dazu bei, die Malware auch an anderer Stelle zu erkennen. Die Überprüfung öffentlicher Quellen mit dem „File Hash“ wurde im Gegenteil zu einer Rückkopplungsschleife. Und die hat den bösen Jungs tatsächlich zu dem Wissen verholfen, welche Systeme relevant und welche ein verlorener Aktivposten sein könnten. Mit anderen Worten, IOCs werden dann zur Belastung, wenn Angreifer bereits Wege gefunden haben, sie zu umgehen. Der IOC-Alarm schlägt nur an, wenn der Angreifer einen Fehler macht oder er Ablenkungstaktiken wählt, um beispielsweise das Grundrauschen zu erhöhen.
IOCs werden ihre Berechtigung trotzdem nie ganz verlieren, gerade was die „Low Hanging Fruits“ der Bedrohungswelt anbelangt und um das erwähnte Grundrauschen zu minimieren. Aber Sicherheit ist ein chaotisches System mit einem intelligenten Gegner. Egal, was wir tun – wenn es statisch und vorhersehbar ist, kann zu einer Belastung werden. Das mag wie das Gegenteil der üblichen Prozessverwaltung erscheinen, ist es aber nicht. Es ist einfach eine neue Realität, aber eine, an die wir uns anpassen können. Jedenfalls dann, wenn wir uns auf Anpassungsfähigkeit als Kernprinzip konzentrieren.
Fazit
Das Herzstück zukunftssicherer Sicherheitsoperationen ist eine schlanke, auf Aufdeckung ausgerichtete Denkweise, eine agile Methodik und der Versuch, Verbesserungen schrittweise umzusetzen. Das führt unweigerlich dazu, neue verhaltenstelemetrische Quellen wie EDR und seinen Nachfolger XDR zu nutzen. Damit verabschiedet man sich vom Prinzip des „Einfach alles erfassen“, welches wir aus den SIEM-dominierten Jahren kennen. Stattdessen konzentriert man sich darauf, automatisierte Angriffe zu erkennen, die als solche schwer zu prognostizieren sind.
Wir leben in einer Welt, in der Angreifer nur ein einziges Mal richtig liegen müssen. In einer Welt, in der wir umgekehrt mit der Erwartung leben müssen, auch scheitern zu können.
Sam Curry, CSO Cybereason, www.cybereason.com