Bedrohungsanalyse

    Bei der Cybersicherheit kommt es auf Geschwindigkeit an: Wie man die "OODA-Schleife" verkürzt

    Der CISO von Mimecast erklärt, wie die Integration von Sicherheitsprodukten über APIs einen entscheidenden Geschwindigkeitsvorteil im Kampf gegen Angreifer bietet.

    by Mark O’Hare  
    GettyImages-1266858245-1200px.jpg

    Wichtige Punkte

    • Unternehmen befinden sich in einem Wettlauf mit ihren Gegnern, um aufkommende und sich entwickelnde Bedrohungen zu erkennen und Maßnahmen zu ergreifen, bevor sie verheerende Schäden verursachen.
    • Manuelle Methoden zur Analyse und Reaktion auf Bedrohungen können nicht mit der immer schnelleren Fähigkeit der Angreifer mithalten, Sicherheitslücken zu finden und auszunutzen.
    • Ein integriertes Sicherheits-Ökosystem, das über APIs kommuniziert, kann beim Auftreten neuer Bedrohungen innerhalb von Millisekunden automatisch und produktübergreifend Schutzmaßnahmen ergreifen.

    Anmerkung der Redaktion: Dies ist der zweite Artikel einer 7-teiligen Serie über APIs. Die Serie untersucht das Wachstum von APIs und wie sie viele Möglichkeiten zur Verbesserung von Bedrohungsdaten, zur Ausweitung der Automatisierung und zur Beschleunigung der Reaktion bieten. Lesen Sie den ersten Artikel hier.

     

    Als CISO habe ich aus erster Hand erfahren, wie sich die Geschwindigkeit von Cyberangriffen in den letzten Jahren beschleunigt hat. Die ausgefeilten Angriffe von heute brauchen nicht mehr Wochen oder gar Tage, um erfolgreich zu sein, sondern richten innerhalb von Stunden oder Minuten großen Schaden an.

    Aus diesem Grund ist die Integration von Sicherheitsprodukten, die durch offene APIs erleichtert wird, für die Cyberabwehr so wichtig geworden. In einer Zeit, in der die zunehmende Komplexität von Computer- und Sicherheitsumgebungen die Sicherheitsteams vor immer größere Herausforderungen stellt, können Unternehmen durch die Integration von Sicherheitsprodukten effizienter und effektiver reagieren - in manchen Fällen innerhalb von Sekunden oder sogar Millisekunden.

    Wie viele CISOs denke ich bei der Sicherheit oft an den als OODA-Schleife bekannten gegnerischen Rahmen. Die OODA-Schleife (Observe, Orient, Decide, Act) ist ein Entscheidungsfindungsrahmen, der auf dem Prozess basiert, den Kampfpiloten durchlaufen, wenn sie auf Ereignisse in der Luft um sie herum reagieren. Stellen Sie sich zwei Kampfpiloten vor, die sich im Kampf gegenüberstehen: Die Verkürzung der einzelnen Schritte in der Schleife verschafft Ihnen einen entscheidenden Vorteil. Wenn Sie Ihren Gegner als Erster sehen, Ihre Waffen als Erster ausrichten und als Erster entscheiden, was zu tun ist, können Sie als Erster handeln - und das bedeutet, dass Sie den Kampf wahrscheinlich gewinnen werden.

    Den Wettlauf mit den Gegnern gewinnen

    Die OODA-Schleife beschreibt die heutige gegnerische Cybersicherheitsumgebung genau. Wir befinden uns in einem ständigen Wettlauf mit fortschrittlichen Gegnern. Angreifer sind immer schneller in der Lage, Schwachstellen ausfindig zu machen und auszunutzen, Waffen gegen diese Schwachstellen zu entwickeln und sie mit verheerender Wirkung einzusetzen. Wenn wir unsere Fähigkeit, auf neue Bedrohungen zu reagieren, nicht beschleunigen, verlieren wir.

    Dies bedeutet, dass ältere, manuelle Ansätze zur Reaktion auf Bedrohungen nicht mehr ausreichen. Wenn Sicherheitsanalysten Informationen in Tabellen heruntergeladen und manuell analysiert haben, um Muster und potenzielle Ursachen zu finden, und wenn sie in Meetings über die beste Vorgehensweise entscheiden, ist es oft schon zu spät.

    Ein API-gestütztes Ökosystem kooperierender Sicherheitsprodukte ermöglicht es uns, die OODA-Schleife durch die Automatisierung der einzelnen Prozessschritte zu unterbrechen. Mithilfe von APIs von Mimecast und unseren Partnern können wir Informationen zwischen Sicherheitstools in Maschinengeschwindigkeit austauschen und so die Reaktionszeit auf Millisekunden reduzieren. Die von einem Sicherheitstool gesammelten Informationen können sofort verwendet werden, um Schutzmaßnahmen durch andere Tools innerhalb des Ökosystems auszulösen.

    Dies ist mit der zunehmenden Komplexität der Technologieumgebungen von Unternehmen noch wichtiger geworden. Die Unternehmen haben immer mehr ihrer Abläufe digitalisiert und gleichzeitig auf die Cloud umgestellt. Diese miteinander verknüpften Umstellungen haben sowohl bei Sicherheitstools als auch bei anderen Anwendungen stattgefunden. Viele Unternehmen verwenden jetzt eine Mischung aus erstklassigen Cloud-basierten Sicherheitstools, die jeweils ausgewählt wurden, weil sie den besten Schutz vor einer bestimmten Art von Angriffen oder Bedrohungen bieten. Daher besteht die dringende Notwendigkeit, diese oft getrennten Tools miteinander zu verbinden, damit Daten schnell über das vernetzte Ökosystem ausgetauscht werden können.

    Gleichzeitig sind die Angriffe immer raffinierter geworden, was zum Teil darauf zurückzuführen ist, dass die Grenzen zwischen nationalstaatlichen Akteuren, organisierten kriminellen Gruppen und deren Stellvertretern immer mehr verschwimmen. Diese Angriffe zielen vielleicht nicht speziell auf kleinere Organisationen ab - aber jede Organisation kann zum Kollateralschaden werden, vor allem jene, die weniger Ressourcen haben, um sich zu verteidigen.

    Blockieren der Kill Chain

    Die gute Nachricht ist, dass das ständige Wettrüsten die Innovation in der Sicherheitsgemeinschaft und nicht nur bei unseren Gegnern fördert. APIs ermöglichen es uns, die Leistungsfähigkeit innovativer Sicherheitstools auf eine Weise zu kombinieren, die nur durch unsere Vorstellungskraft begrenzt ist.

    Einige Beispiele: Mit den APIs von Mimecast können wir Informationen über E-Mail- oder webbasierte Bedrohungen an Produkte wie CrowdStrike's Endpoint Protection Tools oder Palo Alto Networks' Firewall in nahezu Echtzeit weiterleiten und ihnen die Informationen liefern, die sie benötigen, um das Unternehmen sofort und automatisch vor diesen Bedrohungen zu schützen. Wenn sie die Bedrohungen als erste erkennen, können sie die Informationen ebenso schnell an Mimecast weitergeben. Organisationen, die einen Ökosystem-Ansatz gewählt haben, sind nun gegen die Bedrohung geschützt, unabhängig vom Angriffsvektor. Ein weiterer Ansatz, den viele Unternehmen verwenden, ist die Übertragung von Informationen aus mehreren Tools in ein SIEM, um ihre Daten anzureichern und über eine einzige Schnittstelle nach schwer zu findenden Bedrohungen in mehreren Produkten zu suchen.

    Hier ist ein weiteres Beispiel, diesmal basierend auf der Integration unserer eigenen Produkte. Angreifer imitieren heute häufig die Lieferanten eines Unternehmens, indem sie ähnlich aussehende Domains und Websites erstellen und diese für Angriffe nutzen, die die Benutzer des Unternehmens dazu verleiten, Phishing-E-Mails zu öffnen oder auf bösartige Links zu klicken. Mimecasts Brand Exploit Protect kann diese gefälschten Websites aufspüren und unsere Web- und E-Mail-Sicherheitsgateways schnell aktualisieren, so dass sie diese Websites blockieren. Dies ist ein großartiges Beispiel dafür, wie man die OODA-Schleife unterdrücken kann - die Zeit zwischen der ersten Beobachtung einer Bedrohung und dem Handeln zu ihrer Neutralisierung wird drastisch verkürzt. Anstatt darauf zu warten, dass Benutzer gephisht werden, und dann zu versuchen, den Schaden zu begrenzen, können wir die Kill Chain des Angreifers unterbrechen, indem wir die Bedrohung in freier Wildbahn aufspüren und sie blockieren, bevor sie sich auf das Unternehmen auswirkt.

    Die Quintessenz

    Die Unterdrückung der OODA-Schleife ist entscheidend, um den ständigen Wettlauf gegen Cyberangreifer zu gewinnen. Indem sie Sicherheits-Tools den Austausch von Informationen nahezu in Echtzeit ermöglichen, versetzen APIs Unternehmen in die Lage, die Zeit zwischen der Erkennung eines Cyberangriffs und der Abwehr des Angriffs zu verkürzen. Da es Angreifern immer schneller gelingt, Schwachstellen in komplexen Systemen zu finden und auszunutzen, ist schnelles Handeln unerlässlich, um Bedrohungen abzuwehren, bevor sie großen Schaden anrichten.

     

     

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang