Praktisch jede Sicherheit Profis sind irgendwann in ihrer Karriere auf das „Dilemma des Verteidigers“ gestoßen. Es geht so: „Verteidiger müssen immer Recht haben. Angreifer müssen nur einmal Recht haben.“
Die Idee, dass Angreifer alle Vorteile haben und dass Verteidiger passiv sein und warten müssen, bis etwas reagiert, ist praktisch ein Axiom der Cybersicherheit.
Es ist auch eine Lüge.
Eine Sicherheitsstrategie rund um das Dilemma des Verteidigers zu gründen, schadet Ihrem Sicherheitsprogramm. Mit einer falschen Prämisse zu beginnen führt zu schlechten Entscheidungen. Sie verschwenden möglicherweise Geld für Produkte, Dienstleistungen oder Fähigkeiten, die Sie nicht wirklich benötigen, oder investieren zu wenig in die, die Sie benötigen. Ihr Sicherheitspersonal ist überfordert, demoralisiert und hat Probleme, gute Ergebnisse zu erzielen.
Verteidiger erwarten zu Recht, dass Angreifer lügen und betrügen, um ihre Ziele zu erreichen, aber manchmal vergessen wir, dass Lügen und Betrügen in beide Richtungen funktionieren können.
Wenn Sie die Lüge des Verteidigerdilemmas glauben, müssen Sie auch andere Lügen glauben, weil das Verteidigerdilemma auf ihnen beruht. Lassen Sie uns jede dieser Lügen im Detail betrachten und Strategien diskutieren, mit denen Sie ihre schädlichen Auswirkungen negieren und sie in Vorteile für Ihr Team verwandeln können.
Lüge Nr. 1: Verteidigung und Angriff sind getrennt
Das Dilemma des Verteidigers impliziert, dass Ihr Sicherheitsteam rein passiv ist und herumsitzt und auf Angriffe wartet. Aber in Begriffen von „Verteidigung“ und „Angriff“ zu denken, ist eine falsche Dichotomie.
Der Pyramide des Schmerzes zeigt, dass Sie durch konsequentes Erkennen und schnelles Reagieren auf die Aktivitäten von Bedrohungsakteuren schnell genug darauf reagieren können, um Angriffe in ihren Spuren zu stoppen, Sie können diesem Akteur Kosten auferlegen und Verteidigung in Offensive verwandeln. Indem Sie Ihre Erkennungsentwicklungsbemühungen auf die obere Hälfte der Pyramide konzentrieren, können Sie Angriffe möglicherweise nicht vollständig verhindern, aber Sie werden die Akteure dazu bringen, härter zu arbeiten, um erfolgreich zu sein. Das ändert die Wirtschaftlichkeit ihrer Angriffe und verschafft Ihnen außerdem wertvolle Zeit, um zu reagieren.
Lüge Nr. 2: Verteidiger müssen rund um die Uhr im Dienst sein
Ihre Verteidigung muss rund um die Uhr funktionieren, während Angreifer den Zeitpunkt ihrer Angriffe sorgfältig wählen können, um abends, am Wochenende oder an Feiertagen zu erfolgen. Das heißt aber nicht, dass Menschen immer für alles eingesetzt werden müssen.
Automatisierungs- und SOAR-Technologie können IR-Playbooks in eine automatisierte Antwort umwandeln. Einen Vorfall innerhalb von Sekunden oder Minuten nach Erkennung einzudämmen und dabei grundlegende IR-Daten zu sammeln, verkürzt die Zeit bis zur Eindämmung und verringert die Abhängigkeit von Personal außerhalb der Geschäftszeiten erheblich.
Überlegen Sie auch, was jede Seite zwischen den Angriffen tut. Während Bedrohungsakteure ihre nächsten Angriffe planen, sollte Ihr Team nicht untätig herumsitzen. Nutzen Sie die Zeit zwischen den Vorfällen, um die Gruppenfähigkeiten und individuellen Fähigkeiten zu verbessern. Lernen Sie aus früheren Vorfällen, um die Erkennung und Playbooks zu verbessern. Nimm an Kursen teil oder lerne neue Fähigkeiten. Verwenden Sie die Bedrohungssuche, um neue Erkennungs- oder IR-Techniken zu identifizieren. Was Ihnen gestern vielleicht zum Opfer gefallen ist, könnte etwas sein, das Sie morgen entdecken und unterbinden können.