Fünf Trends und Vorhersagen für die Cybersicherheit in 2025
Cybersicherheit wird im nächsten Jahr eine Reihe von technologischen wie aus Compliance-Sicht organisatorischen Entwicklungen erleben. Die wichtigsten fünf werden aus Sicht eines SIEM-Anbieters im Folgenden vorgestellt: Zero Trust Network Architecture, Hypergraphen, KI-Apathie, der menschliche Faktor und die geopolitische Situation.
Zero Trust wird die Erkennungsraten und die Anzahl der Warnmeldungen erhöhen
Das Mandat von Zero Trust Network Architectures (ZTNA) unter der US-Regierung hat das Bewusstsein und die Akzeptanz der Methodik drastisch erhöht. Es handelt sich um ein erfrischend einfaches Konzept, bei dem sich die Definitionen auf die Grundlagen der Implementierung einer guten Cyber-Hygiene und die Schaffung solider Grundlagen durch die Praxis des „never trust, always verify“ konzentrieren. ZTNAs erzeugen eine Fülle von Telemetriedaten. Wenn die Sicherheitsteams ihre Arbeit aufnehmen, werden die Telemetriedaten für die Fehlerbehebung benötigt. Die expliziten Berechtigungen zeigen deutlich, was im Netzwerk vor sich geht. Tatsächlich funktioniert ZTNA wie eine Sandbox-Umgebung. „Deny-All“-Regeln von Firewalls oder unerwartete Authentifizierungen liefern eindeutige Hinweise auf Sicherheitsprobleme. Sicherheitsexperten werden feststellen, dass die Instrumentierung der Protokollierung und die Erstellung eindeutigerer Erkennungsregeln für alles, was außerhalb der Norm liegt, die Anzahl der Telemetrie- und Erkennungsdaten erhöht.
Hypergraphen werden zu einer leistungsfähigen Methode, um Entdeckungen zu nutzen
Das nächste Jahr wird das Jahr der Hypergraphen und Graphen im Allgemeinen sein. Die Verwendung von Hypergraphen im Kontext von Sicherheitserkennungen ermöglicht es Sicherheitsanalysten, unterschiedliche Erkennungen miteinander zu verbinden. Sie weisen ein gemeinsames Merkmal auf, wie einen Benutzer, eine Transaktions-ID oder eine CTI, die auf dieselbe Malware-Gruppe hinweisen. Hypergraphen können verschiedene Parameter verwenden, um diese Informationen zu kombinieren, was eine visuelle Darstellung und, was noch wichtiger ist, die Analyse und Korrelation von Ereignissen ermöglicht.
Angreifer sind zunehmend auf Binärdateien und Skripten aus, was im Wesentlichen bedeutet, dass sie die Tools und Funktionen des Betriebssystems des Opfers nutzen, um den Angriff durchzuführen. Diese Verhaltensweisen lassen sich nur schwer als böswillig einstufen. Erst wenn man sie in einem größeren Zusammenhang mit Hilfe von Diagrammen betrachtet, ist dies möglich. Mehrere ungleiche Ereignisse können zu einem einzigen Ereignisobjekt korreliert werden. Um der Flut von Erkennungen einen Sinn zu geben, muss der Sicherheitsanalytiker anders über die Korrelation, Verknüpfung und Analyse dieser Daten nachdenken. Diagramme sind dafür eine unglaublich leistungsfähige Methode.
KI-Apathie wird durch breitere Anwendung beseitigt
Die Enttäuschung über KI im Cyberspace ist groß. Viele Sicherheitsexperten fragen sich, ob sie im Security Operations Centre (SOC) wirklich Verwendung findet. KI ist jedoch viel mehr als nur große Sprachmodelle (Large Language Modells, LLMs). KI wird (wieder einmal) als Oberbegriff für Lernalgorithmen, Agenten, Graphen und viele andere Ansätze betrachtet, die alle ihre Anwendung im SOC finden können. Anstatt dem Hype zu folgen, müssen sich CISOs mit den grundlegenden Problemen des SOC befassen. Trotz des Einsatzes von 30-40 Tools in einem durchschnittlichen Unternehmen und einer hohen Anzahl von Warnmeldungen kommt es immer noch zu Sicherheitsverletzungen. Ein Teil des Problems ist, dass es für jedes dieser Tools ein Dashboard gibt, das um Aufmerksamkeit ringt. SOAR-Technologien haben versäumt, Signale zu bündeln und die Untersuchung von Sicherheitsvorfällen zu automatisieren. Diagramme werden dazu beitragen, dieses Problem zu lösen. Sie konstruieren sinnvolle Beziehungen aus der Sicherheitsperspektive. Sie werden Daten von ausreichender Qualität liefern, damit LLMs und generative KI diese Daten in sinnvolle Informationen umwandeln können.
Cybersicherheit: Der Benutzer bleibt das schwächste Glied
Menschen sind unglaublich gut in der Mustererkennung und erkennen schnell, wenn sie an einer Phishing-Aktion teilnehmen. Die schlechte Nachricht ist, dass das Phishing-Training nach Mustern abläuft, die Angriffe jedoch nicht. In dem Moment, in dem es den Menschen gelingt, die Muster zu erkennen, funktioniert das Sensibilisierungstraining nicht mehr. Die Branche wird diese Tatsache erkennen, anstatt pflichtbewusst diese Übungen durchzuführen, die keinen wirklichen Nutzen bringen. Sicherheitsbudgets werden im nächsten Jahr stärker unter Druck stehen als je zuvor, und die Verantwortlichen werden diese Ausgaben sinnvoll einsetzen müssen.
Der Benutzer wird das schwächste Glied bleiben. Anstatt zu versuchen, den Menschen als Schuldigen zu sehen, sind CISOs gefordert robustere und widerstandsfähigere Systeme aufzubauen. Der erste Schritt auf diesem Weg besteht darin, der Alarm-Fatigue entgegenzuwirken. Stattdessen sollten die Analysten auf lange Ketten von Warnmeldungen reagieren, die aneinandergereiht ein vollständiges Bild ergeben. Mit diesem Ansatz kann die Anzahl der Warnmeldungen, mit denen sich ein Analyst befassen muss, um 90 Prozent reduziert werden.
Geopolitische Kräfte werden die Entwicklung der Cybersicherheit beeinflussen
Sicherheitsvorfälle wie die von Microsoft und CrowdStrike haben das Risiko von „Walled Gardens“ und Monokulturen im Bereich der Cybersicherheit verdeutlicht. Die USA beispielsweise isolieren sich zunehmend, um ihre eigenen Interessen zu schützen, die jedoch nicht immer mit denen anderer Länder übereinstimmen. Die zweijährige Verlängerung des FISA-Abkommens gibt den USA die Befugnis, Unternehmen mit Sitz in den USA zur Herausgabe von Daten zu zwingen. Europa muss seine Cybersicherheit stärken, indem es Lösungen innerhalb des Kontinents bezieht. Nur dann wird es Souveränität im Bereich der Cybersicherheit erreichen.
Im Zusammenhang mit dem Konflikt in der Ukraine haben sich physische Angriffe auf die Kommunikationsinfrastruktur in der Ostsee ereignet, ganz zu schweigen von der Cyber-Kriegsführung, die immer häufiger auf europäische Einrichtungen abzielt. Dieser Trend stellt eine enorme Herausforderung für Verteidigungshersteller und Zulieferer im KMU-Markt dar, die oft nur über einen geringen Reifegrad in Sachen Cybersicherheit verfügen. Russische Bedrohungsakteure haben ihre Fähigkeiten über Jahre hinweg verfeinert, und selbst wenn der Krieg morgen zu Ende wäre, ist es aufgrund der erlernten Fähigkeiten unwahrscheinlich, dass sie ihre cyberkriminellen Aktivitäten einstellen. Es ist schlichtweg zu lukrativ, deshalb wird der Krieg im Cyberspace niemals enden.
