„Angesichts der Komplexität von Computer- und Netzwerkumgebungen und der schieren Anzahl von Schwachstellen, die in der heutigen Software entdeckt werden, ist kein Unternehmen in der Lage, sich vollständig gegen einen gezielten Angriff zu schützen“, behauptet Rainer M. Richter, Europa- und Asienchef des Sicherheitsunternehmens Horizon3.ai.
Abhilfe will er mit dem neuen „Rapid Response Service“ schaffen, der im Grunde ganz einfach funktioniert – mit einem Selbstangriff auf die eigene Firma unter Ausnutzung der aktuell aufgedeckten Schwachstellen. „So wird binnen weniger Minuten klar, ob das eigene Unternehmen betroffen ist und welche Abhilfemaßnahmen dringend angeraten sind“, sagt Sicherheitsexperte Rainer M. Richter.
Angriffsteam deckt kontinuierlich Schwachstellen auf
Horizon3.ai unterhält eigenen Angaben zufolge ein Angriffsteam, das sowohl selbst Software-Schwachstellen aufdeckt als auch kontinuierlich entsprechende Veröffentlichungen aus anderen Quellen im Auge behält. Jeder neue potenzielle Einstiegspunkt für Hacker wird auf seine Ausnutzbarkeit hin überprüft und bei Bedarf in die Penetration-Testplattform NodeZero von Horizon3.ai aufgenommen.
Unternehmen können von dieser Plattform aus einen autonomen Selbstangriff („Penetration“) auf ihre eigenen Computer und Netzwerke initiieren, um herauszufinden, von welchen aktuellen Schwachstellen sie betroffen sind.
„Statt fortdauernd vergeblich zu versuchen, alle potenziellen Sicherheitslücken zu schließen, können Unternehmen mittels NodeZero testen, über welche davon sie tatsächlich angreifbar sind, und sich auf diese konzentrieren“, erklärt Rainer M. Richter die Vorgehensweise.
Der neue Rapid Response Service sorgt dafür, dass Unternehmen sofort benachrichtigt werden, wenn das Angriffsteam eine neue Schwachstelle entdeckt und zu NodeZero hinzugefügt hat. So können Unternehmen ihre eigene IT-Infrastruktur in Bezug auf das aktuelle Einfallstor für Hacker testen und dieses gegebenenfalls schließen, oft noch, bevor die Schwachstelle öffentlich bekannt wird.
„Der Zeitvorteil von häufig mehreren Tagen kann darüber entscheiden, ob ein Unternehmen einer Hackerattacke mit allen Folgen zum Opfer fällt oder sich rechtzeitig davor zu schützen vermag“, sagt Rainer M. Richter. Er nennt den neuen Service einen „proaktiven Verteidigungsmechanismus zur präventiven Entschärfung von neu aufgedeckten Schwachstellen, bevor diese flächendeckend von Bedrohungsakteuren angegriffen werden.“
Im Branchenjargon spricht man von Zero-Day- und N-Day-Schwachstellen. Im ersten Fall handelt es sich um eine potenzielle Sicherheitslücke, für die noch keine Abhilfe (Patch) verfügbar ist. Der zweite Fall betrifft eine bekannte Schwachstelle, für die es zwar einen Patch gibt, der aber noch nicht angewendet wurde.
„Das Zeitfenster zwischen dem Bekanntwerden einer Sicherheitslücke und ihrer Ausnutzung durch Kriminelle wird immer kleiner. Daher wird es immer wichtiger, Schwachstellen, die von Bedrohungsakteuren aktiv ausgenutzt werden, so schnell wie möglich zu beheben“, verdeutlicht Rainer M. Richter den Nutzen des neuen Rapid Response Service.
Stärkt die Sicherheit, senkt die Kosten
Nach Ansicht von Horizon3.ai erhöht ein Selbstangriff zur Bewertung der Anfälligkeit eines Unternehmens nicht nur die Sicherheit, sondern kann auch die enormen Kosten senken, die Firmen heutzutage für den Schutz vor Cyberkriminalität aufwenden müssen.
In einer vom Unternehmen in Auftrag gegebenen Studie mit dem Titel „The Total Economic ImpactTM of the NodeZero Platform, October 2023“ kommt Forrester Consulting im Rahmen einer Musterkalkulation zu dem Ergebnis, dass eine Firma mit 2.000 Angestellten und 455 Millionen Euro Jahresumsatz binnen drei Jahren einen finanziellen Nutzen von NodeZero in Höhe von beinahe einer Million Euro erzielt. „Dabei sind die möglichen Schäden eines tatsächlichen Angriffs noch gar nicht mitgerechnet“, stellt Rainer M. Richter klar.
Der Sicherheitsexperte verweist darauf, dass Unternehmen angesichts einer sich ständig verschärfenden Bedrohungslage aus Angst „viel Zeit und Geld in die Hand nehmen, um alle möglichen Sicherheitslücken zu schließen, ohne überhaupt zu wissen, ob die eigene Firma konkret davon betroffen ist.“ Ob eine Softwareschwachstelle tatsächlich eine Gefahr darstellt oder nicht, hängt nämlich entscheidend von der jeweiligen Computer- und Netzwerkkonfiguration ab – und die ist bei jedem Unternehmen anders.
„Daher ist der Selbstangriff auf die eigene Infrastruktur im Grunde der einzige Weg, um herauszufinden, um welche der täglich rund 70 neu auftauchenden Softwareschwachstellen man sich so rasch wie möglich kümmern sollte, und welche man getrost ignorieren kann“, resümiert Rainer M. Richter.
