Cybersecurity Experte David D’Aprile: Warum Defense-in-Depth-Lösungen nicht mehr ausreichen

von Katja Schmalen

Cyber-Bedrohungen werden sich weiterentwickeln und noch häufiger, schneller oder perfider werden. Welche Maßnahmen werden in Zukunft nötig sein und welche Verantwortungen müssen Security-Anbieter dabei übernehmen? Das wollten wir anlässlich der Vorstellung der neuen IDC Studie “Cybersecurity in Deutschland” von David D’Aprile, VP Product Marketing bei Onapsis wissen.

IDC: IT-Landschaften werden immer komplexer und verändern sich permanent. Welche Risiken betrachten Sie aktuell als kritisch und wie können Organisationen die IT-Security anpassungs- und zukunftsfähig gestalten?

David D'Aprile von OnapsisDavid D’Aprile: Mit der IT-Landschaft werden auch die Risiken zunehmend komplexer – die Verflechtung von On-Premises- und Cloud-Umgebungen, internen Systemen und denen von Drittanbietern, Partnern und anderen Auftragnehmern erhöhen sowohl die Komplexität als auch das Risiko. Unternehmen müssen ihre Denkweise in Bezug auf Sicherheit anpassen. Systeme, die bisher als sicher galten, sind nun viel mehr potenziellen externen Bedrohungen ausgesetzt. Bestehende Lösungen für das Schwachstellenmanagement, die sich weitgehend auf die Netzwerksicherheit konzentrieren, reichen nicht aus, um gezielt Schwachstellen in geschäftskritischen Anwendungen, beispielsweise in SAP-Systemen, zu identifizieren. Es erfordert einen kontinuierlichen Prozess des risikobasierten Schwachstellenmanagements mit Threat Intelligence, um Unternehmen in ihrem Kern zu schützen.

Das Thema Resilienz und IT-Security ist aktuell in aller Munde – insbesondere Ransomware hat in letzter Zeit für viel Furore gesorgt und kritische Prozesse in vielen Organisationen lahmgelegt. Welchen Beitrag können die IT-Security allgemein und Ihre Lösungen speziell zur Business Continuity leisten?

David D’Aprile: Ransomware hat weiterhin Auswirkungen auf Unternehmen. Zunehmend sind geschäftskritische Anwendungen betroffen, die zentrale Unternehmensfunktionen wie Lieferkettenprozesse und Finanzdaten steuern. Um die Geschäftskontinuität sicherzustellen, müssen Angriffe auf diese Systeme verhindert werden. Geschäftskritische Anwendungen befinden sich in hybriden Umgebungen, in denen Risiken von Drittanbietern, Lieferanten und Partnern miteinander verbunden sind. Defense-in-Depth-Sicherheitsmodelle und Schwachstellenmanagement-Programme können Schwachstellen auf Anwendungsebene oft nicht erkennen.

Um diese Anwendungen innerhalb der komplexen IT-Landschaft zu schützen, muss man spezifisch vorgehen. Onapsis kann Unternehmen dabei unterstützen, proaktive Maßnahmen zu ergreifen, um die kritischsten Systeme direkt zu schützen. Unsere Plattform hilft Unternehmen, sich auf Patch Management, Schwachstellenbewertung und Codesicherheit für ihre geschäftskritischen Anwendungen zu konzentrieren.

Damit zwischen IT-Security-Lösungen keine gefährlichen Lücken entstehen, sollten diese eng miteinander kommunizieren – beispielsweise durch die Integration der Lösung in proprietäre Security-Plattformen oder die Ermöglichung von herstellerunabhängigen Security Ecosystems. Sind Sie ähnlich aktiv?

David D’Aprile: Unsere Plattform verringert die Lücken zwischen der Informationssicherheit, den Sicherheitsabläufen und den Anwendungsverantwortlichen durch ihre Integrationen mit geschäftskritischen Anwendungen von beispielsweise SAP und Oracle sowie mit führenden ITSM- und SIEM-Anbietern. Wir arbeiten mit ITSM-Anbietern zusammen, um Workflows zu integrieren, damit Sicherheitsteams die Zeit bis zur Schadensbegrenzung verkürzen können.

Durch unsere Partnerschaft mit SIEMs können geschäftskritische Anwendungsprotokolle vor der Weitergabe gefiltert, normalisiert und miteinander verbunden werden, was eine tiefere Integration zwischen Sicherheits- und Anwendungsteams zur Erkennung von Bedrohungen ermöglicht. Wir sind das einzige Sicherheitsunternehmen, das von SAP premiumzertifiziert und anerkannt ist und als Teil der Prozesskontrolle eingesetzt wird. Außerdem arbeiten wir mit den größten globalen Systemintegratoren zusammen, um integrierte Sicherheitslösungen für geschäftskritische Anwendungen zu liefern.

Durch die Erweiterung des IT-Security-Portfolios werden IT-Umgebung paradoxerweise oft unsicherer, weil echte Bedrohungen in der Vielzahl von Alarmen untergehen. Welche Maßnahme ist aus Ihrer Sicht am erfolgversprechendsten: der Einsatz von neuen intelligenten Lösungen, neue Ansätze wie Zero Trust oder der grundsätzliche Aufbau neuer IT-Security-Architekturen?

David D’Aprile: IT-Sicherheitsportfolios entwickeln sich ständig weiter, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten, und auch die Ansätze müssen sich weiterentwickeln. Das Zero-Trust-Konzept ist so definiert, dass nichts Internes oder Externes im Netzwerk vertrauenswürdig ist und dass jeder Benutzer, jedes Gerät und jeder Datenfluss authentifiziert und autorisiert werden muss. Für die Umsetzung von Zero Trust ist ein Defense-in-Depth-Sicherheitsmodell erforderlich. Eine Schwachstelle kann jedoch immer noch in jeder dieser Verteidigungsschichten gefunden und von einem böswilligen Akteur ausgenutzt werden.

Unser Ansatz konzentriert sich auf diese miteinander verknüpften Risikoebenen. Geschäftskritische Anwendungen sind das Herzstück eines jeden Unternehmens und mit anderen Anwendungen sowie Benutzern, Geräten und Datenflüssen in hybriden und Cloud-Umgebungen verbunden. Diese Anwendungen waren früher vor Ort gesichert, aber die digitale Transformation und die schnelle Migration zu Hybrid- und Cloud-Infrastrukturen haben das Risiko für diese Systeme drastisch erhöht.

Cyber-Bedrohungen werden sich weiterentwickeln und noch häufiger, schneller oder perfider werden. Welche Maßnahmen werden in Zukunft nötig sein und welche Verantwortungen müssen Anwenderunternehmen und Security-Anbieter übernehmen?

David D’Aprile: Cyber-Bedrohungen entwickeln sich im Laufe der Zeit weiter, und der Schutz geschäftskritischer Anwendungen vor diesen Bedrohungen ist aufgrund der komplexen IT-Infrastrukturlandschaft eine noch größere Herausforderung. Die Einführung hybrider Umgebungen, einschließlich SaaS und Cloud, hat dazu geführt, dass Unternehmen die Verantwortung für den Schutz von Benutzern und Daten gemeinsam tragen.

Geschäftskritische Anwendungen sind auch Risiken ausgesetzt, die von Drittanbietern, Zulieferern und Auftragnehmern ausgehen. Breit angelegte Defense-in-Depth-Lösungen reichen nicht aus, um vor diesem neuen Paradigma zu schützen. Um geschäftskritische Anwendungen zu schützen, ist ein kontinuierlicher Prozess des gezielten, risikobasierten Schwachstellenmanagements mit integrierten Bedrohungsdaten erforderlich.

 


Case Study: Anonym

Die Hauptanforderung des Kunden war eine umfassende Sichtbarkeit und Kontrolle innerhalb der SAP-HEC-Betriebsumgebung, um die Einhaltung der Sicherheitsstandards und -grundlagen der vorhandenen Systemlandschaft zu gewährleisten. Der Kunde musste diese neue Cloud-Umgebung auf Sicherheitsschwachstellen in den geschäftskritischen Anwendungen überwachen, ohne dass dies Auswirkungen auf seine Fertigungs- und Lieferkettensysteme hatte. Dazu gehörte das Erkennen von fehlenden oder falsch angewandten Patches, Fehlkonfigurationen, übermäßig privilegierten Rollen und anderen potenziellen Bedrohungen. Wie das Unternehmen diese Herausforderung adressiert hat, lesen Sie in dieser Case Study.

IDC Studie Cybersecurity 2021

 

Das könnte Sie auch interessieren