Darwinismus im Bereich IT-Sicherheit: Anpassen oder sterben

„Nicht der Stärkste einer Spezies überlebt, sondern derjenige, der sich am besten an Veränderungen anpassen kann.“ — Charles Darwin

Es ist eine Weile her, dass ich zuletzt in diesem Blog meinen Standpunkt zu meinem Lieblingsthema vorgebracht habe — die Zukunft der IT-Sicherheitsbranche; das hole ich hiermit nach. Bereiten Sie sich auf viele Wörter vor — hoffentlich keine allzu belanglosen — über die neuesten Technologien im Bereich der Informationssicherheit und zu aktuellen Tendenzen, mit einer Beilage aus zusammengestellten Fakten und Überlegungen. Popcorn, fertig — los …!

Ich werde an dieser Stelle über ideale IT-Sicherheit schreiben und darüber, wie sich die Sicherheitsindustrie diesem Ideal annähert. Was geht dabei im Zuge dieser Entwicklung vonstatten und wie kann all das mithilfe von Darwins Evolutionstheorie erklärt werden? Wie führt natürliche Auswahl dazu, dass bestimmte Arten vorherrschen, während andere auf der Strecke bleiben, um von Paläontologen der kommenden Jahre untersucht zu werden? Und was ist Symbiose und was sind Parasiten?

ai_oil_1

Ich beginne mit einigen Definitionen …

Nahezu perfekt in einer fehlerhaften Welt

Perfekter Schutz — 100% Sicherheit — ist unmöglich. Die IT-Sicherheitsbranche kann und sollte natürlich nach Perfektion streben und dabei bestmögliche Schutzmechanismen entwickeln, aber jeder Millimeter mehr in Richtung 100% Sicherheit kostet exponentiell mehr — und zwar in einem Maße, dass die Kosten um diesen Schutz zu gewährleisten höher sind als die möglichen Schadenskosten im schlimmsten erfolgreichen Angriffsszenario.

Dementsprechend ist es nur logisch, realistischen idealen Schutz (unter dem Blickwinkel potenzieller Opfer) wie folgt zu definieren: Idealer Schutz ist dann gegeben, wenn die Kosten, um unser System zu hacken, größer sind als der mögliche Schaden, der erzielt werden könnte. Oder, aus anderer Perspektive gesehen: Idealer Schutz ist dann gegeben, wenn die Kosten für eine erfolgreiche Attacke größer sind, als der Gewinn, den die Angreifer machen würden.

Natürlich sind die Kosten einer Attacke mitunter irrelevant für die Angreifer; zum Beispiel für staatlich unterstützte Cyberkriegstreiber. Aber das heißt nicht, dass wir aufgeben.

Wie also entwickeln wir ein Sicherheitssystem, das realisierbaren idealen Schutz bietet?

Überleben des am besten an IT Angepassten — die Theorie

Eines der Kernprinzipien des Darwinismus ist die genetische Variation. Aufgrund der Neukombination von Genen, sowie aufgrund von Mutationen und anderen unbekannten Faktoren erhalten lebende Organismen neue Merkmale. Und im Laufe der Zeit vermehren sich die Glücklichen, die vorteilhafte Merkmale aufweisen (die am besten angepassten), wohingegen die Benachteiligten ausgegrenzt werden und letzten Endes aussterben. Aus diesem Grund sind Bären in der Arktis weiß und in Kamtschatka braun.

Etwas Ähnliches passiert im Bereich der IT-Sicherheit: Cyberkriminelle finden ständig neue Sicherheitsschwachstellen in Computersystemen und entwickeln neue Angriffsmethoden, um Daten oder Geld zu stehlen von Privatnutzern oder Unternehmen, die diese Computersysteme besitzen/verwenden.

Wer immer unter den Cyberkriminellen der Schlaueste und Schnellste ist — der am besten Angepasste — gewinnt viele Untergrundanhänger und hat Erfolg: er ist an der Spitze des Cyberuntergrund-Königreichs und wird reichlich entlohnt für sein „patentiertes“ kriminelles Know-how. Diese Gruppe wird immer größer und stärker, während andere schlichtweg verschwinden. Der einzige Unterschied zu Darwins biologischer Evolution ist die Geschwindigkeit der Veränderung — nicht Millennien, sondern einige wenige Monate bringen mehrere Malwaregenerationen hervor.

Um ein ausgezeichnetes Sicherheitssystem zu entwickeln, das idealen (maximalen) Schutz bietet, müssen sich Entwickler von Anfang die schlimmsten aller denkbaren Szenarien vor Augen halten — Szenarien, die so teuflisch sind, dass es sehr unwahrscheinlich ist, dass sie tatsächlich eintreten (es bleibt zu hoffen). Schutzsysteme zu entwickeln und dabei von geradezu apokalyptischen Angriffsszenarien auszugehen gewährleistet zwei Dinge: es verhindert naive Zuversicht und gefährlichen Optimismus. Darüber hinaus hilft die Vorgehensweise, von Anfang an vom Worst-Case-Szenario auszugehen, nicht nur bei der Problemerkennung, sondern auch dabei, das Ausmaß einzuschätzen und die optimale Gegenstrategie zu entwickeln. Wer seine Schwäche kennt, ist nicht länger der Gejagte, sondern der Jäger.

Theoretisch ist das ja alles schön und gut, aber kann es auch tatsächlich in die Praxis umgesetzt werden? Wie kann man Cyberkriminellen einen Schritt voraus sein und ihre nächsten Angriffsstrategien voraussehen?

Anpassen — oder sterben

Ein intelligenter Schachzug in einem Umfeld, in dem Entropie vorherrscht, ist die Entwicklung eines anpassungsfähigen Verfahrensmodells — ausgehend von der Analyse der vorherrschenden Situation/des Umfelds und basierend auf einer begrenzten Anzahl bestätigter Daten (oft in deren Abwesenheit) und einer Vielzahl an Hypothesen. Jeder Durchlauf des Zyklus aus Analyse—Aktion—Ergebnis verringert Unklarheiten und steigert die Rationalität von Verhalten, Leistungsfähigkeit und anderen unternehmensrelevanten Parametern.

Wir haben ein solches anpassungsfähiges IT-Sicherheitsmodell 2013 eingeführt. Im darauffolgenden Jahr stellten wir fest, dass diese Herangehensweise übernommen wurde für Gartners Vision einer „anpassungsfähigen Sicherheitsarchitektur“. Diese Architektur basiert auf der zyklischen Anwendung von Tools aus vier grundlegenden Cyberangriffsbereichen: vorbeugend, untersuchend, rückblickend und voraussagend. Ein solches Modell ermöglicht es, eine optimale Schutztechnologie zu entwickeln, die der Lebensdauer von Cyberattacken entspricht — ein Modell, dass in der Lage ist, sich schnell an sich verändernde interne und externe Bedingungen anzupassen.

1Quelle: Entwicklung einer anpassungsfähigen Sicherheitsarchitektur zum Schutz vor hochentwickelten Attacken, Gartner (Februar 2014)

Bereits seit mehreren Jahren ist die anpassungsfähige Sicherheitsarchitektur ein wichtiger Eckpfeiler unserer Produktstrategie. Obwohl wir mit einigen Anfangsschwierigkeiten zu kämpfen hatten, hielten wir durch; wir wussten, dass es der richtige Weg ist, um Netzwerke von Unternehmenskunden besser zu schützen und ihre Sicherheitsprobleme zu lösen. Ungeachtet dessen, dass noch nicht viel Zeit vergangen ist, haben wir bereits jetzt große Schritte zur Umsetzung unserer Pläne unternommen.

Houston, wir haben ein Problem

Wie sieht es jetzt aus in der Unternehmenswelt mit anpassungsfähiger Sicherheitsarchitektur?

Offen gesprochen nicht gerade rosig.

Auf der einen Seite sind nur sehr wenige Anbieter in der Lage, sich alle Elemente auszudenken, um die Entwicklung eines ununterbrochenen Zyklus aus anpassungsfähiger Sicherheit zu ermöglichen. Verschiedene Puzzleteile stellen sich als nicht kompatibel heraus und sind umso schwieriger in einem einzigen zentralen Kontrollsystem zusammenzufassen.

Auf der anderen Seite legen Kunden oftmals besonderen Wert auf bestimmte Bereiche des Zyklus (meistens Prävention), und neigen dazu, die Wichtigkeit anderer Bereiche sowie die des Gesamtkomplexes zu verkennen. Derart falsche Vorstellungen von Kunden werden von gewissen Sicherheitsanbietern, die die Entwicklung von magischen Wundermitteln gegen Cyberbedrohungen jeder Art ankündigen, zusätzlich angefacht.

Letzten Endes beschwören wir auf diese Weise die Illusion von Sicherheit herauf, eine Fassungslosigkeit nach dem letzten Vorfall und einen Teufelskreis aus Notfalllösungen und anhaltenden Unternehmensbedrohungen, was dazu führt, dass immer mehr Geld in IT-Sicherheit investiert wird (wobei sich die Effektivität allerdings nicht erhöht) und einen Wertverfall des IT-Systems mit sich bringt.

Im Darwinismus ist die Veränderung eine der treibenden Kräfte für die biologische Entwicklung. Und auch im Bereich der IT-Sicherheit ist Veränderung eine treibende Kraft — sie treibt die Entwicklungen voran, um den Kriminellen immer einen Schritt voraus zu sein, und wenn ein Paradigmenwechsel notwendig ist, dann soll es so sein. Dieser Wechsel ist in Arbeit: sowohl die IT-Sicherheitsindustrie als auch die Kunden erkennen das Problem (den notwendigen ersten Schritt) und sind auf dem richtigen Weg. Im Folgenden beschreibe ich unsere besondere Herangehensweise bei Kaspersky Lab, mit der wir diesen entscheidenden Wechsel in die Wege leiten.

Zeit für eine Kraftstoffeinspritzung und eine Turboaufladung

Zunächst einmal haben wir eine große Bandbreite an Services auf den Markt gebracht, um unsere Position in allen Bereichen des Modells zu stärken. Derzeit beinhaltet unser Portfolio: Mitarbeiterschulungen für alle Niveaustufen, Bedrohungsanalysen, Penetrationstests, Vorfallsanalysen, Empfehlungen zur Bereinigung und viele weitere Funktionen, um den kompletten Kreislauf aus Prävention—Erkennung—Reaktion—Vorhersage abzudecken.

Was unsere Produkte betrifft haben wir unsere seit jeher starke Position in der Prävention mit einer Lösung im Bereich der Erkennung zum Schutz vor gezielten Angriffen (Plattform „Kaspersky Anti Targeted Attack„) und der Integration mit SIEM-Systemen komplettiert. In Kürze werden wir eine voll funktionsfähige EDR-Lösung (Endpoint Detection and Response) auf den Markt bringen, die geräteübergreifend alle Vorfälle innerhalb eines Netzwerks in einem „Gesamtbild“ zusammenfasst.

2

Sehr bald schon werden wir also das volle Spektrum an Produkten und Services anbieten zur Erstellung sowie für die laufende Betreuung einer anpassungsfähigen Sicherheitsarchitektur. Die Hauptfunktion ist das äußerst sensible Bedrohungsanalysesystem: mit Sensoren überall im Netzwerk und an allen Knotenpunkten bieten wir dem Kunden eine Vielzahl an Daten, um fundierte Entscheidungen zu treffen. Hinzukommen sowohl unsere Fachkenntnisse als auch unsere computerbasierte Kompetenz, so dass die Effektivität im Kampf gegen komplexe gezielte Angriffe wesentlich höher sein wird.

Der wesentliche Vorteil davon: Kunden müssen — und sollten — nicht ins kalte Wasser geworfen werden, wenn sie sich überlegen ein solches System einzuführen. Es sollte stufenweise angegangen werden, stetig — evolutionär, entsprechend der Evolutionstheorie von Darwin — und so, wie es die Besonderheiten des Unternehmens, IT-Infrastruktur und andere spezifische Details verlangen. Die Erfahrung zeigt, dass Kunden es bevorzugen, zunächst mit Services anzufangen (Trainings und Erfahrungsberichten) und nach und nach weitere Elemente des umfassenden anpassungsfähigen Sicherheitspuzzles hinzuzufügen.

Fortsetzung folgt …

Ich mache keinen Hehl daraus, dass wir nicht die Einzigen sind, die fortwährend an neuen Generationen von anpassungsfähigen IT-Sicherheitssystemen arbeiten. Nichtsdestoweniger freue ich mich sehr, dass wir sind, was ermutigend und motivierend ist.

Für Kunden spielt es keine Rolle wie sich ein Produkt nennt oder wie gut es auf YouTube oder im Werbematerial aussieht. Das Einzige, was sie (unter sonst gleichen Bedingungen) interessiert, ist, dass sie den höchsten Schutz geboten bekommen, um Vorfälle abzuwehren und die finanziellen Schäden, die damit einhergehen. Und das bedeutet, dass wir weiterhin hart an anpassungsfähigen Sicherheitssystemen arbeiten werden — um dem Markt mehr zu bieten, als er erwartet.

So viel für heute. In Kürze werde ich in einem Folgeartikel über die natürliche Auslese und den Überlebenskampf schreiben — und die unvermeidlichen Mutationen …

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.