Standardisierte Datenerfassungsmethoden können helfen, Cybercrime zu bekämpfen
Als Cybersecurity-Manager zu arbeiten ist keine leichte Aufgabe, denn selbst mit virtuellen Tresoren, Sensoren und Sicherheitskameras warnt der Alarm oft Monate zu spät, während die Schuldigen bereits Cocktails auf den Bahamas genießen. Cybercrime boomt und es ist Zeit, ihn mit soliden Datenpfaden zu stoppen, um die Verantwortlichen aufzuspüren.
Die Reaktion auf Cyberangriffe ist eine der schwierigsten Aufgaben. Technologien sind besser darin, Ereignisse zu verhindern und zu erkennen, aber um Cybercrime zu stoppen, müssen Cybersecurity-Manager besser darin werden, Beweise zu sammeln und Fälle schnell mit einer soliden Datenspeicherungsrichtlinie zu bearbeiten.
Jahrelang waren SIEM-Systeme die primäre Datenquelle, um den Ablauf von Ereignissen vor einem Angriff zu rekonstruieren. Während diese Systeme in der Lage sind, Daten automatisiert zu sammeln und zu speichern, erfolgt die Überprüfung von Protokollen in der Regel manuell oder mit begrenzter Automatisierung. Zur Auswertung ist menschliche Interpretation erforderlich.
Um eine ordnungsgemäße Beweissammlung zu gewährleisten, wenden sich Organisationen oft an Drittanbieter, um Unterstützung zu erhalten. Diese Untersuchungen können Wochen oder Monate dauern und sind kostspielig. Laut dem „Cost of a Data Breach Report 2022“ von IBM Security beträgt der typische Lebenszyklus eines Datenlecks etwa neun Monate. Die Täter bleiben oft unidentifiziert und wenn Beweise fehlen oder manipuliert wurden, ist eine Anklage nicht möglich.
Das Problem wird unüberschaubar, denn die University of Maryland schätzt, dass es durchschnittlich 2.244 Cyberangriffe täglich gibt. Angesichts der schieren Anzahl von Angriffen ist es unerlässlich, Mechanismen zur Datenerfassung und Analyse bei großen Datenmengen zu entwickeln. Die Strafverfolgung hat derzeit nicht die Ressourcen, um Cybercrime außer bei den spektakulärsten Fällen zu untersuchen. Trotz der steigenden Kosten für Cybersecurity bleiben die Folgen für Hacker minimal, und Organisationen sind auf sich allein gestellt, um Daten zu sichten.
Das Problem nicht strukturierter Daten
Die Fähigkeit eines Unternehmens, wertvolle Logdaten zu generieren, ist primitiv. Das Fehlen von Interoperabilitätsstandards für Software-Entwickler und die Strafverfolgungsbehörden führt dazu, dass es keine Einheitlichkeit, Kohärenz und Richtung gibt. Die meisten von Anwendungen generierten Protokolle sollen technische Probleme beheben, nicht die Arbeit von Strafverfolgungsbehörden unterstützen. Diese Protokolle werden oft als Textdump auf einer lokalen Festplatte gespeichert, sind nicht indiziert und können nicht abgefragt werden. Schlimmer noch, es gibt keinen etablierten Standard für die Speicherung von Informationen oder welches Format zu verwenden ist. Software-Entwickler verwenden Sprache und alphanumerische Hinweise, die nur von ihnen verstanden werden.
Umdenken bei der Frage, wer die Kunden sind und was sie wollen
Die Vorstellung, dass Organisationen begeisterte Mitarbeiter einstellen können, die sich dafür engagieren, die Organisationen unermüdlich zu schützen, ist fehlgeleitet. Software-Entwickler haben Cybersecurity-Anwendungen entwickelt und angenommen, dass die Hauptnutzer dieser Produkte Cybersecurity-Experten sind, was nur teilweise stimmt. Viele Fachleute müssen diese Anwendungen ebenfalls nutzen, aber nur diejenigen mit tiefgreifender Expertise im Bereich Cybersecurity können die fortgeschrittenen Funktionen von Sicherheitsanwendungen beherrschen. Die meisten dieser Mitarbeiter, die in kritischen Infrastrukturen oder anderen Bereichen arbeiten, haben diese Expertise nicht oder keine Zeit, sie zu entwickeln. Der Mangel an Experten und an leicht zu implementierenden Softwareprodukten beeinträchtigt die Fähigkeit einer Organisation erheblich, schnell auf Cyberangriffe zu reag
In Other News Around the World: