Cyberbedrohungen
RSA-Konferenz 2023: Erkenntnisse für die Zukunft
Auf der RSA-Konferenz ließen sich anhand der Themen Blicke in die Zukunft der Cybersicherheit werfen: Generative KI und LLM waren die deutlichsten Trends auf der Messe, aber auch das Potenzial von Zero Trust gehört zu den Strategien der Zukunft.
Die RSA-Konferenz zeigte sich in diesem Jahr wieder in alter Stärke und lockte Zehntausende aus der gesamten Sicherheits-Community nach San Francisco. Die Ausstellungsfläche im Moscone widerspiegelte die wichtigsten Trends, Herausforderungen und Themen der Branche - von der Beschaffung von Ressourcen und Talenten über die Umsetzung von Zero Trust-Architekturen bis hin zum Aufkommen von generativer KI (künstliche Intelligenz) und LLM (Large Language Model).
Die Vereinfachung von Sicherheitsabläufen durch eine einzige Benutzeroberfläche, Plattformansätze und Managed Services waren weitere wichtige Themen. Es war zu beobachten, dass Sicherheitsteams danach streben, Tools zu konsolidieren, Arbeitsabläufe und Prozesse zu rationalisieren, das Umschalten zwischen verschiedenen Kontexten und Alarme zu reduzieren sowie das Fehlen von Fachkräften mit Plattformtechnologien und 24/7-Bedrohungsüberwachung, Cyber-Risikomanagement und Unterstützung bei der Reaktion auf Vorfälle zu kompensieren.
Wichtige Trends
Generative KI übernimmt
Generative KI und LLM waren die deutlichsten Trends auf der Messe -- als Reaktion auf die Leistung von OpenAIs ChatGPT. Während KI bereits seit einiger Zeit einen erheblichen Einfluss auf die Vereitelung von Phishing- und Ransomware-Angriffen hatte, schafft diese Innovation neue Möglichkeiten zur Verbesserung der Cybersecurity-Ergebnisse und Analysen. Die neue Technologiewelle wirft auch die Frage auf, wie KI den Verteidigern noch besser helfen kann - und natürlich, wie Angreifer sie missbrauchen werden.
Generalisten und spezialisierte Funktionen im gesamten SOC haben allen Grund, sich über die neuen Potenziale und Wege für den Threat Response in Echtzeit, die Entwicklung im Bereich der Bedrohungssuche, die Übersetzung von Abfragen und Skripts sowie die Unterstützung bei der Recherche zu freuen.
Für die Führungsebene sind neben den bereits erwähnten Sicherheitsvorteilen auch Transparenz und Kontrolle der Nutzung von ChatGPT und anderen KI-Tools zur Vermeidung von Datenverlusten von Vorteil. KI zeigt auch immer mehr Akzeptanz bei dem Umgang mit Insider-Risiken sowie bei der Erkennung von und Reaktion auf Identitätsbedrohungen. KI zur Überwachung der KI-Nutzung!
Unter Praktikern und Sicherheitsverantwortlichen sehen wir das Cyber-Risikomanagement als einen wachsenden Bereich, der reif für den KI-Einsatz ist. Die Kombination von großen Datensätzen, Angriffspfadkartierung und integrierter Bedrohungsanalyse mit neuen KI-Entwicklungen hat das Potenzial, Sicherheitsteams dabei zu unterstützen:
- Wohl informierte proaktive Sicherheitsentscheidungen zu treffen,
- Anpassung und Priorisierung von Maßnahmen zur Risikominderung zu verbessern,
- Angriffe schneller und genauer vorherzusehen sowie
- Automatisierte Reaktionen und Abhilfemaßnahmen durchzuführen.
Natürlich wäre all dies ohne die richtigen Datensätze nicht möglich. Sicherheitsabteilungen, die KI erst kurz auf ihrer Checkliste haben, sollten nach Plattformen Ausschau halten, die in der Lage sind, auf große Datenmengen aus der gesamten digitalen Umgebung zuzugreifen und diese zu verarbeiten.
Und obwohl einige Anbieter vor und auf der RSA Conference allgemeine Verfügbarkeitstermine für In-App-Assistenten ankündigten, ist es klar, dass kein einzelner Technologieentwickler heute einen Wettbewerbsvorteil hat und das Rennen um die effektivste - und sicherste - KI-Erfahrung gerade erst begonnen hat.
Zero Trust überall
Zero Trust, der Denkansatz, niemals zu vertrauen und immer zu überprüfen, gibt es schon seit über einem Jahrzehnt, hat aber in letzter Zeit als Reaktion auf die schwerwiegenden Ransomware-Angriffe in der Branche, wieder an Momentum gewonnen. Auch sind neue Frameworks und Richtlinien von Bundes- und Regulierungsbehörden veröffentlicht worden.
Die Zero-Trust-Philosophie ist solide, und herstellerneutrale Richtlinien zur ihrer Umsetzung unterstützen Sicherheitsteams dabei, von der traditionellen und nicht mehr adäquaten Perimeter-basierten Verteidigung wegzukommen, um sich schneller an die zunehmende Geschwindigkeit von Angriffen anzupassen und gleichzeitig mehr Flexibilität und Mobilität innerhalb der Belegschaft zu ermöglichen. Die Vorteile sind erwiesen: Unternehmen, die auf Zero Trust umstellen, verzeichnen einen deutlichen Rückgang der durch Cyberangriffe verursachten Ausfallzeiten und eine Verbesserung der allgemeinen Sicherheitslage. Aber damit Zero Trust effektiv ist, muss es „überall“ vorhanden sein. Konkret bedeutet dies, dass es in fünf wichtigen Säulen verankert sein muss - Endgeräte, Netzwerke, Identität, Daten und Arbeitslasten/Anwendungen - mit Analysen, Transparenz, Automatisierung und Orchestrierung, die in jede Säule integriert sind.
Auf der Messe gab es die ganze Zero-Trust-Palette zu sehen - überall. Dennoch kann heute kein einziger Anbieter ein durchgängiges Zero-Trust-Erlebnis bieten. Deshalb ist Vorsicht geboten mit „einheitlichen“, „zentralisierten“ oder „Einheitslösungen“. Interessenten sollten stattdessen der Identifizierung ihrer Anwendungsfälle Priorität einräumen. Welche Risiken müssen angegangen werden, was haben sie heute im Einsatz, an welcher Transparenz fehlt es, und welche Plattformlösungen gibt es, die mehrere Punkte abdecken und durch spezielle Integrationen nahtlos mit Einzellösungen zusammenarbeiten können?
Risiko und Widerstandskraft
Auf der Makroebene wurden Angriffsflächenmanagement, Management der Exponiertheit und Angriffsflächenkartierung von führenden Unternehmensanbietern bis hin zu kleineren Herstellern vorgestellt. Dabei wurde deutlich, wie wichtig es ist, sowohl interne als auch dem Internet zugewandte Cyber-Assets zu finden und zu inventarisieren, um das Risiko zu mindern, bevor Bedrohungsakteure die Chance haben, aus den Schwachstellen Kapital zu schlagen.
Angesichts d der Schlagzeilen über die Nutzung von ChatGPT durch Mitarbeiter und Entwickler waren Insider-Risiken und die Vermeidung von Datenverlusten äußerst beliebte Themen, der die Teilnehmer auch zu Diskussionen anregte.
Aus der Sicht der Nachbereitung eines Sicherheitsvorfalls (Post-Incident) waren digitale Forensik- und Incident-Response-Lösungen und -Services ein wichtiger und seltener abgedeckter Schritt im Planungsprozess für eine widerstandsfähige Strategie. Es geht darum, Risiken zu entdecken, zu bewerten, abzumildern - und für den Fall von Bedrohungsaktivitäten die Wiederherstellung durchzuführen.
XDR eXplosion
Auf der RSA gab es mehrere wichtige Ankündigungen von Anbietern und Partnerschaften für XDR und Managed XDR. Unter anderem gab es spannende Diskussionen über Innovationen in der Cloud-Erkennung und -Reaktion, die Konvergenz von Cloud-Native mit XDR und Anwendungsfälle für maschinelles Lernen für Identitäts- und Benutzer- und Entitätsverhalten sowie Analysen. Es hat den Anschein, dass Identität, Cloud- und Daten-Detection und -reaktion als nächster wichtiger Sicherheitsvektor konkurrieren, über den Unternehmen nachdenken. Auch Anbieter sollten diesen Themen Priorität einräumen. Die Gewinner in der XDR-Schlacht werden diejenigen sein, die native Telemetrie über diese Kategorien und andere Sicherheitsvektoren für eine erweiterte Korrelation mit Endpunkt-Erkennungs- und Reaktionsaktivitätsdaten liefern können.
Nächste Schritte
Setzen von Prioritäten
Die Priorisierung ist ein wichtiger Punkt, denn immer mehr Sicherheitsteams fordern transparente Risikobewertungen, Empfehlungen zur Risikominderung durch den Anbieter und mehr Automatisierungsoptionen, um risikobehaftete Anlagen zu erkennen. Anbieter, die in aussagekräftige Priorisierungsmodelle investieren, helfen Unternehmen dabei, Silos mit umgebungsübergreifenden Analysen zu reduzieren, Warnmeldungen zu minimieren, Risiken effektiver zu verwalten und die Anstrengungen auf die Sicherheitsteams zu konzentrieren. Angesichts der Tatsache, dass KI die Gespräche dominiert, bietet sich eine große Chance für diejenigen, die eine KI/ML-gestützte und nutzerorientierte Priorisierung und Automatisierung anbieten, um die Qualifikationslücke zu schließen.
Quantifizierung von Cyberrisiken
Sicherheitsverantwortliche suchen nach neuen Möglichkeiten, um Sicherheit auch außerhalb der IT- und Sicherheitsorganisation auf Vorstandsebene und im Aufsichtsrat mit Leistungsindikatoren jenseits von MTTD, MTTR (Reagieren oder Abhilfe schaffen) und MTTP, die sich gut auf andere Arten von Geschäftsrisiken übertragen lassen, erlebbar zu machen.
Das größte Problem bei den meisten Messungen besteht darin, dass wir - die Branche - derzeit nicht über das Fachwissen verfügen, um Sicherheitsaktivitäten in quantifizierbare Kennzahlen zu übersetzen, die für die Geschäftsinteressenten wirklich wichtig sind. Denn was ist die universelle Sprache des Risikos? Konkretes Geld.
Da sich die Rolle der Cybersecurity-Führungskräfte immer weiter entwickelt, versuchen Anbieter, den Code mit aussagekräftigen SOC-Metriken, verständlichen Berichten und Datenvisualisierungen zu knacken, um die Sicherheitsergebnisse und Risikomanagementstrategien mit den Unternehmenszielen zu verbinden und andere Initiativen wie die Senkung der Cyberversicherungsprämien durch den Nachweis einer starken Sicherheitslage zu unterstützen.
Obwohl dieses Thema in diesem Jahr nicht in die Top Five der Trendthemen aufgestiegen ist, gehe ich davon aus, dass dies im nächsten Jahr der Fall sein wird, wenn die Nachfrage steigt.
Governance für generative KI
Bedrohungsforscher sind sich des potenziellen Missbrauchs von KI-Modellen bewusst, und die Governance für generative KI wird eine der wichtigsten Fragen für Sicherheitsteams sein, die an der Einführung dieser Technologie interessiert sind. Angesichts der Bedenken im Zusammenhang mit der jüngsten ChatGPT-Panne sollten Technologieanbieter der KI-Governance Priorität einräumen und gleichzeitig Lösungen für die wichtigsten Sicherheitsanwendungen entwickeln.
Partnerschaften und potenzielles Akquisitionsvolumen
Auf der RSA wurde viel über die Konsolidierung innerhalb der Branche gesprochen. Mehrere Faktoren beeinflussten diese Diskussion, darunter:
- Sicherheitsteams streben nach Plattformlösungen, weniger Tools und einer stärkeren Konsolidierung der Anbieter
- Ein hohes Volumen an Partnerschaftsankündigungen zwischen Unternehmensriesen und kleineren Anbietern
- Stärkere Betonung von Ökosystem-Integrationen mit ISVs
- Wirtschaftlicher Gegenwind für die Start-up-Community
Ist 2023 das Jahr, in dem wir eine größere Konvergenz zwischen den Anbietern sehen? Wird die Ausstellung der RSAC 2024 anders aussehen?