Sophos hat kürzlich neue Kompatibilitäten zwischen Sicherheitstechnologien von Drittanbietern und seinem Service Sophos Managed Detection and Response (MDR) vorgestellt. Ziel dieser entscheidenden Neuerung innerhalb der IT-Sicherheitsbranche ist es, Angriffe in unterschiedlichen Kunden- und Betriebsumgebungen noch schneller und präziser zu erkennen und zu beheben.
Sophos MDR mit aktuell mehr als 12.000 Kunden integriert die Telemetrie von Endpoint-, Firewall-, Cloud-, Identitäts-, E-Mail- und weiteren Sicherheitstechnologien anderer Hersteller als Teil des Sophos Adaptive Cybersecurity Ecosystem.
So richtungsweisend diese Neuerung erscheint, so notwendig und folgerichtig ist sie. Denn wohin die Reise der Cybersicherheit geht, ist durch das unglaublich hohe kriminelle Potenzial der Cyberkriminellen klar definiert. Wie ernstzunehmend die Bedrohungslage ist, belege Zahlen des BSI: So wurden 2021 nicht weniger als rund 144 Millionen neue Schadprogramme identifiziert. Ein gutes Viertel der betroffenen Unternehmen und Organisationen bewerteten die Angriffe, mit denen sie konfrontiert waren, als eine schwerwiegende oder existenzbedrohende Gefahr. Und dieses Gefahrenpotenzial wiegt umso schwerer, wenn etwa kritische Infrastrukturen (Unternehmen oder Organisationen, etwa aus den Bereichen, Energie, Gesundheit, Wasser oder Ernährung) das Ziel cyberkrimineller Angriffe sind.
Klassische Sicherheitsmodelle scheitern
Die Gefahren für Unternehmen sind zum Teil hausgemacht und wie eine offene Einladung für Cybergangster. Unternehmen stehen unter dem kontinuierlichen Druck, Prozesse und Budgets zu optimieren. Nahezu jeder Bereich lässt sich dabei auslagern bzw. extern hinzukaufen. Die Nutzung der Cloud und das Zugreifen auf Fremd-Software findet aber nicht nur im eigenen Betrieb statt. Auch Partner und Kunden sind von außen an die Kernsysteme des Unternehmens angebunden. Auch die Entscheidung für Software-as-a-Service (SaaS) hat für Unternehmen zunächst einmal viele Vorteile. Ressourcen wie technische Ausstattungen, Räumlichkeiten, Know-how aber auch Personal müssen nicht vorgehalten werden. Die Verwendung extern gelagerter Software bedeutet aber oftmals auch, dass die Angriffsfläche für Cyberkriminelle steigt und diese immer mehr Möglichkeiten erhalten, in Geräte und Netzwerke eines Unternehmens einzudringen.
Im Ergebnis jedenfalls existiert zunehmend nicht mehr das eine Netzwerk, in dem alle eingebundenen Systeme sicher sind, sondern ein weit verzweigtes Netzwerk-Ökosystem, das mit klassischen Mitteln der Security nicht mehr effizient abgesichert werden kann.
Die IT-Sicherheitsbranche reagiert auf diese neuen Anforderungen mit immer intelligenteren Lösungen, die unter anderem auch auf Machine Learning und komplexen Algorithmen aufbauen. Je nach Unternehmensgröße, Budget und Mentalität lässt sich der existierende Schutz mit einer Strategie, Services und Technik inhouse oder mit externem Expertentum erweitern, ohne die individuellen Arbeitsprozesse maßgeblich zu tangieren.
Schlüsselrolle und zugleich Mangelware: Menschliche Expertise
In einem effektiven und modernen Security-Ökosystem werden zusätzlich immer mehr auch menschliche Fähigkeiten benötigt, um das zu ergänzen, was bis heute keine Schutztechnologie leisten kann. Dazu gehören beispielsweise Forensiker oder Task-Teams mit jahrelanger Expertise.
Die Rolle menschlicher Expertise beim Aufspüren, Identifizieren und Beseitigen von Cyberbedrohungen als Ergänzung zu Softwarelösungen hat vor dem Hintergrund hoch professionalisierter Cyberkrimineller und einer gestiegenen Bedrohungslage weltweit noch mehr an Bedeutung hinzugewonnen: Menschliche Bedrohungsjagd durch ausgewiesene Spezialisten ist für die Abwehr der immer komplexer werdenden Cybergefahren essenziell. ForensischeErkenntnisse in der Cybersecurity zeigen, dass eine rein automatisierte Bedrohungsjagd, -abwehr und -prävention den Herausforderungen, die die moderne Cyberkriminalität an die Verteidiger – Softwarelösungen, Strategien und das IT-Sicherheits-Personal – stellen, allein nicht mehr gewachsen ist. Angriffe erfolgen zunehmend anhand einer strategisch geplanten Dramaturgie, die sich die Zeit lässt, ihre Zerstörung ganz in Ruhe zu entfalten: Angreifer führen ihre Attacken oft über Wochen und Monate hinaus durch, und betreiben dabei teilweise manuelle Präzisionsarbeit. Genau das ist der Punkt, an dem automatisierte Sicherheitsmechanismen an ihre Grenzen stoßen. Hier bedarf es erfahrener Expertinnen und Experten, die die Strategien der Cyberkriminellen verstehen, entschlüsseln und abwehren können.
Die Sophos Expertenteams sind in der Lage, Bedrohungen in einer Vielzahl von Umgebungen zu erkennen und zu beseitigen – einschließlich komplexer Szenarien mit Lösungen mehrerer Anbieter.
Michael Veit
Ein Sicherheitsteam, das diese Disziplin vollständig beherrscht, setzt angemessenes Budget und verfügbare Fachkräfte voraus. Beides ist dieser Tage bekanntlich Mangelware. In einer aktuellen Management-Studie von Sophos nannten Geschäftsleitungen die Verfügbarkeit von qualifiziertem Personal als die größte Herausforderung bei der Umsetzung und Sicherstellung von IT-Sicherheit in ihren Unternehmen. In Deutschland antworteten 62,7 Prozent der Befragten entsprechend, in Österreich gar 69,8 Prozent und in der Schweiz 58,8 Prozent.
Da entsprechende Expertenteams also vor allem in kleineren und mittelständischen Unternehmen intern kaum aufgestellt werden können, wird auch hier ähnlich wie bei Großunternehmen zunehmend auf zusätzliche externe Expertise gesetzt. Der Sophos Management-Studie zufolge trägt die Hauptverantwortung für Cybersicherheit in größeren Unternehmen zu 49,1 Prozent die eigene IT-Abteilung, bei 36,5 Prozent der kleineren Unternehmen sind ebenfalls die eigenen IT-Teams in der Pflicht. Mit 35,8 Prozent bei den größeren sowie 33,1 Prozent bei den kleineren Unternehmen überträgt zudem jeweils ein gutes Drittel aller Unternehmen die Verantwortung für ihre IT-Sicherheit auf externe Dienstleister.
Vertrauen auf externe Expertise
Unternehmen können das Fachwissen ausgewiesener Spezialisten-Teams für Cybersicherheit hinzukaufen. Eine solche Expertise ist aber umso erfolgreicher, wenn die geballte Schlagkraft in ein sinnvolles System eingebunden ist, wie es zum Beispiel Sophos Adaptive Cybersecurity Ecosystem darstellt. Hier werden intelligente Automatisierung und Vernetzung der Security-Komponenten und die Einbeziehung menschlicher Kompetenz kombiniert, um Angriffen vorzubeugen. Von der Notfallplanung über den präventiven Schutz mit Security-Technologie und Künstlicher Intelligenz bis hin zu menschengeführter Erkennung und Bekämpfung werden in diesem System alle Maßnahmen zentral koordiniert. Das Ökosystem lernt dabei kontinuierlich. Es basiert auf den gesammelten Bedrohungsdaten von forensischen Laboren und Forschungsorganisationen und auf Künstlicher Intelligenz. Für Unternehmen ist der entscheidende Vorteil eines Cybersecurity-Ökosystems, dass innerhalb dieses Ansatzes nicht einzelne Komponenten eingerichtet und verwaltet werden müssen, sondern alles über eine zentrale Oberfläche vergleichsweise leicht intern vom eigenen IT-Team oder vom vertrauten externen Dienstleister administriert werden kann.
Dabei spielt neben technischer Innovation mit Künstlicher Intelligenz oder Anomalie-basierter, automatischer Reaktion die menschliche Expertise eine gewichtige Rolle. Durch Managed Detection and Response-Services (MDR) können raffinierte Angriffe, die den Software-basierten Schutzlösungen entgehen, frühzeitig entdeckt und eliminiert werden.
MDR-Services wie das von Sophos kombinieren technische Security-Lösungen mit einem Expertenteam, das auf Prävention, Früherkennung und Schadensbeseitigung fokussiert ist. Die Spezialisten ergreifen Maßnahmen, um nicht nur die klassischen Cyberbedrohungen, sondern vor allem die immer besser getarnten Schleichfahrten der Kriminellen im Netzwerk zu eliminieren und geben konkrete Ratschläge, um die Ursachen zu bekämpfen.
Und dies neuerdings auch unter Zugriff auf die Telemetriedaten anderer Hersteller: Sophos MDR integriert jetzt auch Telemetrie von Endpoint-, Firewall-, Cloud-, Identitäts-, E-Mail- und anderen Sicherheitslösungen von Drittanbietern in das Sophos Adaptive Cybersecurity Ecosystem.
Mehr Schlagkraft durch Kompatibilität mit anderen Lösungen
Die Sophos Expertenteams sind in der Lage, Bedrohungen in einer Vielzahl von Umgebungen zu erkennen und zu beseitigen – einschließlich komplexer Szenarien mit Lösungen mehrerer Anbieter. Und das, bevor weitreichender Schaden angerichtet werden kann, wie etwa das Aktivieren von Ransomware oder umfassende Datenverletzungen. MDR macht in der Praxis oft den Unterschied zwischen Erfolg und Misserfolg der Verteidigung.
Durch den Einsatz maßgeschneiderter Datenverarbeitungs- und Korrelationstechniken für die breite Palette an Telemetriedaten ist das Sophos MDR-Team in der Lage, das Wer, Was, Wann und Wie eines Angriffs schnell zu verstehen und innerhalb von Minuten auf Bedrohungen im gesamten Ökosystem der Kunden zu reagieren. Das Team kann hierbei auch Telemetriedaten von Drittanbietern nutzen, um Bedrohungen zu verfolgen und Angreifer zu identifizieren, die versuchen sich der Erkennung durch Verschleierungstechniken entziehen.
Sophos MDR ist mit Sicherheitstelemetrie von Anbietern wie Microsoft, Palo Alto Networks, CrowdStrike, Fortinet, Check Point, Rapid7, Amazon Web Services (AWS), Google, Okta, Darktrace und vielen anderen kompatibel. Telemetriedaten können automatisch konsolidiert, korreliert und mit Erkenntnissen aus dem Sophos Adaptive Cybersecurity Ecosystem und der Sophos X-Ops Threat Intelligence Unit priorisiert werden.
Kunden wählen, welchen Service sie in Anspruch nehmen
Sophos MDR ist mit verschiedenen Servicestufen und Threat-Response-Optionen anpassbar. Kunden können wählen, ob das Sophos-MDR-Team eine umfassende Reaktion auf einen Vorfall durchführen, bei bestätigten Bedrohungen Unterstützung leisten oder detaillierte Alert-Benachrichtigungen liefern soll, die ihre Security Operations Teams selbst verwalten und bearbeiten können.