Black Hat: Warum Prävention scheitert & Erkennung entscheidend ist

Die Cybersicherheitsbranche, wie sie auf großen Konferenzen wie der Black Hat präsentiert wird, zeigt oft eine geschlossene Front: Anbieter behaupten universal, digitale Assets zu sichern, zu schützen oder zu verteidigen, häufig unter Einsatz von künstlicher Intelligenz. Doch unter der Oberfläche ähnlicher Botschaften taucht für Organisationen, die echte Lösungen suchen, eine kritische Herausforderung auf: zu erkennen, welche Angebote der sich entwickelnden Bedrohungslandschaft wirklich gerecht werden. Eine tiefere Untersuchung zeigt, dass Prävention zwar ein dominantes Thema bleibt, ein dringlicheres Anliegen für moderne Unternehmen jedoch in ihrer Fähigkeit liegt, eine bereits erfolgte Kompromittierung zu erkennen.

Der vorherrschende Fokus darauf, „Angreifer fernzuhalten“, ist zweifellos notwendig, übersieht aber einen grundlegenden Wandel in der Arbeitsweise hochentwickelter Bedrohungsakteure heute. Zeitgenössische Angreifer umgehen zunehmend traditionelle Abwehrmaßnahmen, indem sie sich nicht auf störende Exploits oder bösartige Software verlassen. Stattdessen verschaffen sich Gruppen wie Scattered Spider, Volt Typhoon und Mango Sandstorm Zugang und eskalieren die Kontrolle durch scheinbar harmlose Methoden. Diese Angreifer machen legitime Tools und Anmeldeinformationen zur Waffe, indem sie gestohlene Sitzungstoken nutzen oder föderierte Identitätssysteme missbrauchen, um sich nahtlos in autorisierte Netzwerkaktivitäten einzufügen. Die anfängliche Kompromittierung beginnt oft mit einem Ereignis, das kein Sicherheitstool aufhalten soll: einer erfolgreichen Anmeldung mit gültigen Zugangsdaten.

Einmal im System, navigieren diese Eindringlinge Umgebungen mit nativen Systemtools, eskalieren ihre Privilegien über vertrauenswürdige Identitätspfade, etablieren Persistenz über scheinbar harmlose Anwendungen wie OAuth-Apps und exfiltrieren still und leise sensible Daten. Entscheidend ist, dass ihre Methoden keine offensichtlichen Exploits oder bösartige Binärdateien beinhalten. Ihr Verhalten scheint einfach „dazuzugehören“. Dies stellt eine erhebliche Herausforderung für konventionelle Sicherheitskontrollen dar, die typischerweise so konfiguriert sind, dass sie fremde oder offen bösartige Aktivitäten kennzeichnen. Da die Anmeldeinformationen gültig sind und die Zugriffspfade erlaubt sind, erzeugen diese Aktionen oft keine Warnungen. Darüber hinaus bieten kritische Protokolle, wenn sie nicht bereits von den Angreifern gelöscht oder geändert wurden, häufig eine unvollständige Darstellung. Die meisten bestehenden Abwehrmaßnahmen wurden entwickelt, um das Anomale oder offensichtlich Feindselige zu identifizieren, nicht das Legitime, das aber missbraucht wird. In zahlreichen realen Vorfällen, obwohl robuste Präventionstools vorhanden waren, suchten sie effektiv nach den falschen Indikatoren. Die heutigen Angriffe fallen nicht auffällig auf; sie fügen sich akribisch ein.

Diese sich entwickelnde Bedrohungslandschaft erfordert eine grundlegende Neukalibrierung der Sicherheitsstrategie, die im Prinzip der „Annahme einer Kompromittierung“ zusammengefasst ist. Dies ist nicht nur ein Mentalitätswandel; es sollte als praktischer Filter zur Bewertung von Cybersicherheitsanbietern dienen, insbesondere wenn jede Lösung behauptet, Angriffe zu verhindern. Organisationen müssen nicht Experten für jedes verfügbare Cybersicherheitsprodukt werden. Stattdessen sollte der Fokus darauf liegen, das Angreiferverhalten zu verstehen und dann Anbieter rigoros nach ihren Fähigkeiten zur Erkennung und Reaktion auf solche Aktivitäten zu befragen.

Wichtige Fragen an Anbieter sollten deren Fähigkeiten nach dem Erstzugriff sondieren. Wie erkennt eine Lösung Aktivitäten, nachdem ein Angreifer Fuß gefasst hat? Welche Mechanismen gibt es, um laterale Bewegungen zu identifizieren, wenn Angreifer gültige Zugangsdaten verwenden? Wie handhabt das Produkt Szenarien, in denen das Sitzungstoken eines Benutzers in einer Cloud-Anwendung gekapert wurde? Kann die Lösung verdächtiges Verhalten umfassend über verschiedene Schichten – Cloud-Umgebungen, Identitätssysteme und Netzwerkinfrastruktur – hinweg erkennen, oder ist ihre Sichtbarkeit auf einen einzigen Bereich beschränkt? Darüber hinaus, welche Erkennungs- und Reaktionsfähigkeiten bietet der Anbieter in Situationen, in denen kritische Protokolle kompromittiert oder gelöscht wurden? Wenn die Antwort eines Anbieters hauptsächlich eine Zunahme des Alarmrauschens verspricht oder sich ausschließlich auf Prävention und Protokollanalyse verlässt, deutet dies darauf hin, dass er möglicherweise nicht über die notwendigen Tools verfügt, um zu helfen, wenn eine Kompromittierung bereits stattgefunden hat.

Wenn ein Sicherheitsvorfall unvermeidlich eintritt, wird die Sichtbarkeit zum entscheidenden Faktor – nicht nur in rohe Systemtelemetriedaten, sondern in die nuancierten Muster des Angreiferverhaltens, nahtlos korreliert über unterschiedliche Umgebungen hinweg. Effektive Lösungen müssen die Fähigkeit demonstrieren, bösartige Aktivitäten zu erkennen, ohne sich ausschließlich auf Agenten oder Protokolle zu verlassen, die umgangen oder manipuliert werden können. Sie sollten wichtige Angreiferverhaltensweisen wie Aufklärung, Missbrauch von Anmeldeinformationen und Persistenz identifizieren und, entscheidend, diese Aktionen über Identitätssysteme, Netzwerkverkehr und Cloud-Umgebungen hinweg korrelieren, um ein umfassendes Bild zu erstellen. Solche Plattformen sollten auch eine umsetzbare Triage bieten, die die Alarmmüdigkeit reduziert, anstatt sie zu verschlimmern, und letztendlich den vollständigen Angriffspfad offenbart, anstatt nur isolierte Ereignisse. Dies sind keine Fähigkeiten, die oberflächlich demonstriert werden können; ihre Wirksamkeit wird deutlich, wie ein Produkt Vorfälle erklärt und kontextualisiert, indem es klar zwischen einem System unterscheidet, das lediglich Daten präsentiert, und einem, das die Absicht des Angreifers erkennt.

Während viele Anbieter weiterhin das Versprechen der absoluten Vorfallsprävention verkaufen, ist die Realität, dass moderne Angreifer nicht mehr versuchen, „einzubrechen“; sie „melden sich an“. Sie nutzen Vertrauen aus und sind im Wesentlichen bereits „drin“. Die kritische Frage für Cybersicherheitskäufer ist nicht länger, ob ein Angreifer am Perimeter gestoppt werden kann, sondern ob seine Aktionen erkannt und verstanden werden können, sobald er Zugang erhalten hat. Dieser Paradigmenwechsel erfordert einen neuen Fokus auf robuste, verhaltensbasierte Erkennung, die die subtilen Signale einer Kompromittierung erkennt und darauf reagiert.