CDM-bezogene Tipps für eine bessere Überwachung und Bewältigung von Cyberbedrohungen

Im November 2018 verabschiedete der Kongress ein Gesetz zur Gründung der Cybersecurity and Infrastructure Security Agency (CISA). CISA, ein Teil des Heimatschutzministeriums, bot eine Antwort der Bundesregierung auf die wachsende Bedrohung durch Cyberangriffe – eine Bedrohung, die nach dem massiven Datendiebstahl beim Office of Personnel Management (OPM) im Jahr 2015 ins Rampenlicht gerückt war, bei dem die persönlichen Daten von 22 Millionen Bundesangestellten kompromittiert wurden.

Eine Schlüsselkomponente der verbesserten Cybersicherheit auf Bundesebene ist die Sichtbarkeit, die durch das Continuous Diagnostics and Mitigation (CDM)-Programm des CISA angegangen wird. Im vergangenen Jahr erhöhte der Kongress die CDM-Finanzierung um 53,5 Millionen US-Dollar und stellte insgesamt 213,5 Millionen US-Dollar für das Programm bereit.

Zu den Zielen des Programms gehören die Reduzierung der Bedrohungsfläche der Behörden, die Erhöhung der Transparenz ihrer Cyber-Haltung, die Verbesserung ihrer Reaktionsfähigkeit und die Rationalisierung der Berichterstattung. Da diese Mittel tatsächlich in Technologieinvestitionen fließen, müssen die Agenturen die Tatsache erkennen, dass kein einzelner Anbieter in der Lage ist, das gesamte CDM-Puzzle zu lösen.

Vor diesem Hintergrund wollen wir uns einige Technologien genauer ansehen, die dazu beitragen können, Sichtbarkeit zu erreichen, und uns überlegen, in welcher Beziehung sie zueinander stehen.

SSL-Sichtbarkeit

Um mit etwas scheinbar Offensichtlichem zu beginnen: Bundesbehörden müssen Einblick in den ein- und ausgehenden Datenverkehr in ihren Netzwerken haben, um sicherzustellen, dass dieser nicht böswilliger Natur ist. Zwar können viele Sicherheitsgeräte den Datenverkehr überwachen und Bedrohungen erkennen. Dies ist jedoch nicht möglich, wenn der Datenverkehr verschlüsselt ist, was bei 90 % der Internetdaten der Fall ist.

Dies stellt eine Art Zwickmühle dar. Zwar kann die Verschlüsselung die Privatsphäre der Daten schützen, doch kann sie auch Schadsoftware verbergen. Dieses Problem lässt sich durch SSL-Sichtbarkeitsprodukte lösen, die den Datenverkehr basierend auf Kontext wie IP-Reputation, Port/Protokoll und URL-Kategorisierung entschlüsseln und neu verschlüsseln, bevor er an Sicherheitstools weitergeleitet wird.

Mithilfe von SSL-Sichtbarkeitstools können Sicherheitsgeräte das tun, was sie am besten können – nämlich den Datenverkehr analysieren –, statt wertvolle Ressourcen für den aufwändigen Entschlüsselungs-/Neuverschlüsselungsprozess zu verschwenden. Ohne diesen entscheidenden Schritt kann keine vollständige Transparenz hinsichtlich Cyberbedrohungen erreicht werden.

Verbesserung der Überwachung

Wenn die Agenturen den ein- und ausgehenden Datenverkehr in ihrem Netzwerk nicht offenlegen können, können sie ihn nicht richtig protokollieren – und Protokollierung und Berichterstellung sind zentrale Komponenten der CDM-Anforderungen. Nur durch die ordnungsgemäße Entschlüsselung des Datenverkehrs können die Behörden ihn an einen zentralen Ort senden, wo er protokolliert, überwacht, gemeldet und weiter analysiert wird.

Mit der entsprechenden Entschlüsselung und Protokollierung können Behörden dann beispielsweise Verhaltensanalysen, Künstliche Intelligenz und maschinelles Lernen nutzen, um eine Verhaltensanalyse des Datenverkehrs durchzuführen. Derzeit nutzen 88 Prozent der zivilen Bundesbehörden zu diesem Zweck ein Tool namens Einstein.

Aber auch diese Puzzleteile müssen wieder alle zusammenpassen. Ohne die oben erwähnte Entschlüsselung ist eine erweiterte Analyse nicht möglich.

Schutz von Vermögenswerten

Durch SSL-Sichtbarkeit werden verschlüsselte Streams geknackt, damit Sicherheitsgeräte beim Protokollieren und Schützen dieser Assets helfen können. Es gibt jedoch viele Möglichkeiten, sich dem Schutz zu nähern. Zunächst müssen sich die Behörden vor den zehn größten Bedrohungen des OWASP und neuen Zero-Day-Angriffen schützen. Eine weitere Minderungsstrategie besteht darin, den Datenverkehr zu protokollieren und zu überwachen, damit er analysiert werden kann. Dadurch wird die Vernetzung dieser verschiedenen Komponenten der Cybersicherheit noch deutlicher.

In ähnlicher Weise können und müssen viele Multiservice- Application auch vor bösartigem Bot-Verkehr schützen. Jede Branche ist automatisierten Angriffen wie der Übernahme von Konten, der Aufklärung von Schwachstellen oder der Dienstverweigerung ausgesetzt, und die Bundesregierung bildet hier keine Ausnahme.

Alles zusammenfügen

Das CDM-Programm von CISA stellt ein komplexes, aber wichtiges Puzzle dar, das die Agenturen nicht mit einem einzigen Anbieter lösen können. Der Vermögensschutz selbst erfordert mehrere Lösungen, da sich die Behörden gegen eine wachsende Zahl von Angriffen verteidigen müssen. Dieser Schutz kann jedoch nicht ohne die Aktivierung anderer Kontrollkästchen, wie etwa der Entschlüsselung und Protokollierung des Datenverkehrs, gewährleistet werden.

Letztendlich können Behörden nicht schützen, was sie nicht sehen. Obwohl dies die treibende Kraft hinter dem CDM-Programm ist, müssen die Agenturen sicherstellen, dass sie über die richtigen Tools verfügen, um die Transparenz zu gewährleisten. Ein guter Ausgangspunkt besteht darin, verschlüsselten Datenverkehr zu knacken, ihn an ein zentrales Protokoll zu senden, Verhaltensanalysen durchzuführen und einen angemessenen Schutz der Vermögenswerte einzurichten.

Von Ryan Johnson, Federal Solution Engineering Leader, F5