CTI und Defense in Depth: Mit Wissen zum mehrschichtigen Schutz

(Source: Laurence Dutton / iStock.com)

(Source: Laurence Dutton / iStock.com)

In meiner vorherigen Kolumne haben wir gesehen, wie wichtig es ist, Cyberangriffe möglichst früh in der Kill Chain zu stoppen. Doch damit ein Unternehmen Angreifer effektiv abwehren kann, braucht es zunächst ein klares Bild der Bedrohungslage. Genau hier setzt Cyber Threat Intelligence (CTI) an; sie bildet die Grundlage für eine mehrschichtige Verteidigungsstrategie, auch "Defense in Depth" genannt.

CTI ist weit mehr als eine Sammlung von Indikatoren wie verdächtigen IP-Adressen oder Malware-Signaturen. Als wichtiger Bestandteil der Identify-Funktion des NIST Cybersecurity Framework liefert CTI strukturiertes Wissen über die Vorgehensweisen realer Angreifer - und deren Relevanz für eine spezifische Industrie oder geografische Region. Dieses Wissen hilft, um im MITRE ATT&CK Framework die für das eigene Unternehmen wichtigsten Techniken und Taktiken zu identifizieren. Das MITRE ATT&CK Framework - das ich in früheren Kolumnen bereits vorgestellt habe - dokumentiert systematisch beobachtete Techniken und Taktiken von Cyberakteuren weltweit. Die Kombination von Informationen aus der CTI und deren Mapping auf das MITRE ATT&CK Framework ermöglicht es, industriespezifische Bedrohungsmuster zu erkennen.

Das MITRE ATT&CK Framework ohne Untertechniken. Die komplette Übersicht mit Untertechniken finden Sie hier. (Source: Screenshot / https://attack.mitre.org)

Diese Erkenntnisse fliessen dann direkt in die Gestaltung der Sicherheitsarchitektur von Unternehmen ein. Statt blind in Sicherheitsmassnahmen zu investieren, können Firmen mithilfe von CTI ihre Ressourcen gezielt dort einsetzen, wo die Bedrohung am grössten ist. Ist beispielsweise bekannt, dass bestimmte Angreifergruppen vermehrt auf Supply-Chain-Angriffe setzen, lässt sich die Verteidigung entsprechend ausrichten.

Auf diesem Wissen aufbauend kommt das Konzept der "Defense in Depth" zum Tragen - die praktische Umsetzung der Protect-Funktion des NIST Framework. Die Grundidee: Niemals sollte die Sicherheit eines Systems von einer einzigen Schutzmassnahme abhängen. Stattdessen werden mehrere Verteidigungsebenen übereinandergelegt, ähnlich den Schichten einer Zwiebel. Dieses Prinzip schafft Redundanz: Versagt eine Sicherheitskontrolle oder wird eine Schwachstelle ausgenutzt, greifen weitere Schutzmechanismen.

Die Verteidigungsschichten lassen sich in drei Hauptkategorien unterteilen: Administrative Kontrollen bilden das organisatorische Fundament durch Richtlinien, Prozesse und Schulungen; technische Kontrollen umfassen die digitalen Schutzmechanismen von der Netzwerksegmentierung über "Endpoint Detection and Response" bis zur Applikationssicherheit; und physische Kontrollen schützen die Hardware vor unbefugter physischer Manipulation. Klicken also Mitarbeitende trotz Schulung auf einen Phishing-Link, verhindert die technische Ebene beispielsweise durch Multi-Faktor-Authentifizierung oder auch durch "Detection and Response", dass gestohlene Zugangsdaten leicht missbraucht werden können.

Die Kombination von CTI und Defense in Depth ermöglicht es Unternehmen, Sicherheitsinvestitionen ökonomisch und unter dem Gesichtspunkt der Geschäftsanforderungen zu steuern. Statt nach dem Giesskannen-Prinzip vorzugehen, entsteht ein massgeschneiderter Schutzwall, der genau dort verstärkt wird, wo die identifizierten Bedrohungen am wahrscheinlichsten angreifen werden und wo die Bedrohung für die Resilienz des Unternehmens am grössten ist.

In meiner nächsten Kolumne verlassen wir die Theorie und schauen uns konkrete Beispiele an, wie verschiedene Branchen ihre spezifischen Bedrohungen mit angepassten Defense-in-Depth-Strategien adressieren.

Alle bisher auf SwissCybersecurity.net erschienenen Kolumnen von Thomas Holderegger finden Sie hier.

Thomas Holderegger, Security Lead for Switzerland bei Accenture. (Source: zVg)

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.