Informationen zu Cisco
Wie Sie Cisco Lösungen kaufen
Was ist Bedrohungsmanagement?

Bedrohungsmanagement

Was ist Bedrohungsmanagement?

Unter Bedrohungsmanagement versteht man den gesamten Prozess der Erkennung, Verhinderung und Bekämpfung von Cyberbedrohungen. Das Risiko von Cyberangriffen lässt sich durch wirksame Bedrohungsmanagement-Tools und -Verfahren verringern.

Lösungen ansehen

    Weshalb ist Bedrohungsmanagement wichtig?

    Unternehmen sind auf ein gutes Bedrohungsmanagement und die Eindämmung von Bedrohungen angewiesen, da die Angreifer ständig ihre Taktik ändern, um die aktuellen Abwehrmaßnahmen zu umgehen. IT-SicherheitsexpertInnen benötigen Bedrohungsmanagement-Tools und -Verfahren, mit denen sich die folgenden wichtigen Anforderungen erfüllen lassen:

    • Schutz wichtiger Daten
    • Wahrung des Kundenvertrauens
    • Schutz betrieblicher Abläufe
    • Abwehr von kostspieligen Insider-Bedrohungen und raffinierten Cyberangriffen

    Vor welchen Herausforderungen steht das Bedrohungsmanagement?

    Zu den häufigsten Herausforderungen beim Bedrohungsmanagement zählen folgende Probleme:

    • Mangelnde Transparenz in den Sicherheitssystemen des Netzwerks
    • Begrenzte Einblicke in und Berichterstattung über wichtige Performanceindikatoren (KPI)
    • Fachkräftemangel im Bereich Cybersicherheit
    • Ständig neue Cyberbedrohungen wie Ransomware, Phishing und DDos-Angriffe (Distributed Denial of Service)
    • Böswillige oder fahrlässige Bedrohungen durch Insider

    Welche Beispiele für gängige Bedrohungsformen gibt es?

    Zu den wichtigsten Arten von Cyberbedrohungen gehören folgende:

    • Vorsätzliche Bedrohungen wie Phishing, Spyware und Malware, Viren oder Denial-of-Service-Angriffe (DoS), die von Kriminellen ausgehen
    • Unbeabsichtigte Bedrohungen, die häufig auf menschliches Versagen zurückzuführen sind, wie das Klicken auf einen schädlichen Link oder das Versäumnis, die Sicherheitssoftware zu aktualisieren

    Was ist ein Beispiel für Bedrohungsmanagement?

    Unified Threat Management (UTM) ist eine umfassende Lösung für das Management von Cyberbedrohungen. Hier sind mehrere Sicherheitsfunktionen oder -services zum Schutz von Netzwerken und Usern in einer Plattform vereint. Zu diesen Funktionen gehören Anwendungskontrolle, Malware-Schutz, URL-Filterung, Threat-Intelligence und vieles mehr.

    Produkt

    Cisco Umbrella

    Die Lösung Cisco Umbrella bündelt Internet-, Endpunkt- und E-Mail-Sicherheit in einer zentralen, Cloud-basierten Sicherheitsplattform.

    Cisco Umbrella-Produkte entdecken

    Webinar

    Optimierte Nachverfolgung von Bedrohungen dank einheitlicher Security-Tools

    Entdecken Sie, wie Sie das Bedrohungsmanagement skalieren und gleichzeitig die Sicherheitsverfahren vereinfachen können.

    Webinar ansehen (37:29 Min.)

    Demo

    Demo zu Cisco Umbrella

    In dieser On-Demand-Demo erfahren Sie, wie Sie mit der Cisco Umbrella-Lösung Bedrohungen abwehren, Risiken verringern und die Leistung verbessern können.

    Erleben Sie Cisco Umbrella in Aktion (07:19 Min.)

    Was ist der Unterschied zwischen einer Bedrohung, einem Risiko und einer Schwachstelle?

    Bedrohung

    In der Cybersicherheit gilt jede Möglichkeit, eine Schwachstelle auszunutzen und die Vertraulichkeit, Integrität oder Verfügbarkeit von Ressourcen zu gefährden, als Bedrohung. Ein versuchter Phishing-Angriff mittels einer gezielten E-Mail ist beispielsweise eine vorsätzliche Bedrohung. Der Zugriff von Angestellten auf Unternehmensdaten über ein ungesichertes, öffentliches Wi-Fi-Netzwerk ist hingegen eine unbeabsichtigte Bedrohung.

    Schwachstelle

    Eine Schwachstelle ist eine Sicherheitslücke in einem System, einer Software, Hardware, Anwendung oder einem Verfahren, die sich ein Angreifer zunutze machen kann. Im Rahmen des Schwachstellenmanagements werden bekannte Schwachstellen behoben, bevor sie ausgenutzt werden können. Eine nicht behobene Schwachstelle kann es einem Angreifer ermöglichen, Zugriff auf Ressourcen zu erhalten, Malware zu installieren, Daten zu beschädigen oder sensible Informationen publik zu machen.

    Risiko

    Unter einem Risiko versteht man im Bereich der Cybersicherheit die Wahrscheinlichkeit, dass sich eine Bedrohung eine Schwachstelle zunutze macht, und den potenziellen Schaden, den sie anrichten könnte. Da sich Risiken nicht vermeiden lassen, zielt das Risikomanagement darauf ab, das Cyberrisiko eines Unternehmens auf ein überschaubares Maß zu reduzieren. Das proaktive Patchen von Schwachstellen und die Eindämmung von Bedrohungen sind wichtige Schritte in diesem Prozess.

    Bedrohungs- und Schwachstellenmanagement in wenigen Worten

    Die Senkung des Risikos von Cyberangriffen auf Ihr Unternehmen beginnt mit dem Bedrohungs- und Schwachstellenmanagement. Das Bedrohungsmanagement konzentriert sich auf das Monitoring von Bedrohungen und die Reaktion darauf, während beim Schwachstellenmanagement Systemlücken geschlossen werden, bevor sie von einer Bedrohung ausgenutzt werden können. Beide Strategien spielen eine entscheidende Rolle bei der Eindämmung von Cyberrisiken in einer IT-Umgebung.

    Welche effektiven Methoden stehen für die Bedrohungserkennung zur Verfügung?

    Signaturbasierte Erkennung

    Die signaturbasierte Erkennung stützt sich auf vordefinierte Muster oder Signaturen von bereits bekannten Bedrohungen, um Bedrohungen aufzuspüren und eine entsprechende Warnung auszulösen. Mit dieser Methode lassen sich zwar bekannte Bedrohungen gut erkennen, aber bei unbekannten oder neuartigen Bedrohungen ohne passende Signaturen ist sie nicht sonderlich hilfreich.

    Früher wurden Viren in Antivirensoftware anhand von Signaturen erkannt, aber die Urheber von Malware vermeiden inzwischen die Verknüpfung von Signaturen mit Viren. Moderne Malware-Lösungen der nächsten Generation nutzen fortschrittliche Technologien wie Verhaltensanalyse, Machine Learning, Sandboxing und Threat-Intelligence, um Bedrohungen zu erkennen und abzuwehren.

    Indikatorbasierte Erkennung

    Bei der indikatorbasierten Erkennung werden Dateien oder Aktivitäten anhand von vordefinierten Indikatoren als sicher oder unsicher eingestuft. Indicators of Compromise (IOCs) sind übliche Regeln für die indikatorbasierte Bedrohungserkennung. Sie dienen als digitale Hinweise auf schädliche Handlungen. IOCs sind vor allem in Verbindung mit anderen Erkennungsmethoden effektiv.

    Beispiele für IOCs sind ungewöhnliche Standorte, Anomalien bei DNS-Anfragen (Domain Name System), viele Anforderungen derselben Datei und nicht-menschliches Verhalten beim Webdatenverkehr.

    Modellbasierte Erkennung

    Bei der Modellierung wird ein Normalzustand durch mathematische Modelle definiert und es werden etwaige Abweichungen im Laufe der Zeit ermittelt. Ein richtig trainiertes Modell kann unbekannte Bedrohungen zwar wirksam erkennen, allerdings erfordert dieser Ansatz eine ständige Anpassung.

    Die Analyse des User-Verhaltens (User Entity Behavior Analytics, UEBA) und die Erkennung von Verhaltensanomalien im Netzwerk (Network Behavioral Anomaly Detection, NBAD) sind beispielsweise Verfahren zur Bedrohungserkennung, die auf Modellierung beruhen.

    Verhaltensbasierte Bedrohungserkennung

    Bei der verhaltensbasierten Bedrohungserkennung werden Verhaltensmuster aufgespürt, die üblicherweise mit böswilligen Absichten verbunden sind. Die Methode kodifiziert die Vorgehensweise der Angreifer und geht über spezifische Indikatoren hinaus, um Aktionen zu erfassen, die mit bekannten Taktiken, Techniken und Verfahren (TTPs) von Angriffen vergleichbar sind. Mit der Analyse des Bedrohungsverhaltens kann ein breites Spektrum von Angriffstaktiken erfasst werden, auch wenn sie sich weiterentwickeln.

    Nehmen wir ein Beispiel: Wenn ein Angreifer versucht, Rechte auszuweiten und sich seitlich im Netzwerk zu bewegen, entspricht dies gängigen Angriffs-TTPs und löst eine Warnung zum Bedrohungsverhalten aus.

    Threat-Intelligence

    Im Rahmen der globalen Threat-Intelligence werden kontinuierlich Daten aus verschiedenen Quellen weltweit gesammelt und analysiert, um neuen Bedrohungen auf die Schliche zu kommen. Bei dieser Methode werden Bedrohungen durch den Vergleich der aktuellen Netzwerkaktivität mit historischen und globalen Mustern erkannt, was eine schnelle Erkennung von abnormalem Verhalten oder IOCs ermöglicht.

    So lassen sich beispielsweise durch die Nachverfolgung ungewöhnlicher Spitzen im Netzwerkverkehr aus mehreren Regionen koordinierte DDoS-Angriffe oder weit verbreitete Malware-Ausbrüche aufdecken.

    Wie funktioniert Bedrohungsmanagement?

    Viele umfassende Bedrohungsmanagement-Systeme orientieren sich am Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST), um Cyberbedrohungen proaktiv zu begegnen und Cyberrisiken zu verringern. Dieses umfasst folgende Hauptfunktionen: Identifizierung von Ressourcen, Schutz des Zugriffs, Erkennung von Bedrohungen, Reaktion auf Ereignisse und Wiederherstellungsaktivitäten. In den folgenden Abschnitten wird erläutert, wie die jeweiligen Schritte mit Bedrohungen umgehen.

    Identifizieren

    Der erste Schritt beim Management von Cyberbedrohungen erfordert eine gründliche Bestandsaufnahme der kritischen Vermögenswerte und Ressourcen des Unternehmens. Dadurch können Sie Ihre Geschäftsumgebung, Ihre Lieferkette, Ihr Governance-Modell und Ihr Ressourcen-Management besser einschätzen, um Schwachstellen, Bedrohungen und Risiken für Ihre Ressourcen zu erkennen.

    Schützen

    Die Schutzfunktion umfasst die Implementierung von Security-Tools, Prozessen und Lösungen zum Schutz sensibler Informationen und zum Umgang mit Bedrohungen und Schwachstellen. Dazu gehören Zugriffskontrollen, Identitätsmanagement, Datensicherung und -schutz, Behebung von Schwachstellen und Schulungen der User.

    Erkennen

    Die Erkennungsfunktion nutzt Tools für die Bedrohungserkennung für das das kontinuierliche Monitoring der Systeme auf potenzielle Bedrohungen, damit diese beseitigt werden können, bevor es zu einer Katastrophe kommt. Threat-Intelligence, Nachverfolgung von Bedrohungen, User- und Verhaltensanalyse, Network Monitoring und Endpunkt-Monitoring sind nur einige Beispiele für Tools zur Bedrohungserkennung, die potenzielle Bedrohungen aufdecken und schnelle Reaktionen ermöglichen.

    Reagieren

    Wenn ein Sicherheitsereignis erkannt wird, können die Teams mit der Reaktionsfunktion die richtigen Gegenmaßnahmen ergreifen. Es muss ein Incident Response-Plan (IRP) aufgestellt werden und das Verfahren muss getestet und verbessert werden. Auch die Kommunikation mit sämtlichen Beteiligten ist äußerst wichtig. Mit Lösungen für die Erkennung und Bekämpfung von Bedrohungen lässt sich der Prozess optimieren, da diese sowohl Bedrohungen erkennen als auch automatische Gegenmaßnahmen einleiten können.

    Wiederherstellen

    Der letzte Schritt des Bedrohungsmanagements ist die Wiederherstellung der Systeme nach einem Angriff, einer Sicherheitsverletzung oder einem sonstigen Vorfall im Bereich der Cybersicherheit. Die IRP sollte Maßnahmen zur umgehenden Wiederherstellung von Daten, Systemen und Abläufen enthalten, um die Business Continuity zu gewährleisten. Die gewonnenen Erkenntnisse können zur Aktualisierung des IRP im Hinblick auf ein verbessertes Bedrohungsmanagement und eine höhere Security Resilience genutzt werden.

    Welche Arten von Bedrohungsmanagement gibt es?

    Unified Threat Management (UTM)

    Die UTM-Sicherheit vereint mehrere Netzwerksicherheitsfunktionen oder -services in einer einheitlichen Plattform oder Appliance, die vor Ort oder über die Cloud gemanagt werden kann. Die UTM-Cybersicherheitsfunktionen variieren je nach Anbieter, umfassen jedoch häufig ein VPN, Transparenz und Kontrolle von Anwendungen, Malware-Schutz, Inhalts- und URL-Filterung, Threat-Intelligence und Intrusion Prevention-Systeme (IPS).

    Managed Detection and Response (MDR)

    MDR  ist ein Bedrohungsmanagement-Service, der von einem Team erfahrener SicherheitsexpertInnen geleitet wird und rund um die Uhr das Monitoring von Sicherheitsdaten übernimmt, um Bedrohungen schnell zu erkennen und darauf zu reagieren. MDR-Lösungen greifen auf fortschrittliche Threat-Intelligence-Tools und personenbezogene Untersuchungen zurück, um Bedrohungen für Unternehmen schneller zu erkennen und einzudämmen.

    Extended Detection and Response (XDR)

    XDR-Lösungen ermöglichen Einblicke in Daten aus sämtlichen Netzwerken, Clouds, Endgeräten und Anwendungen. Sie nutzen Analysen und Automatisierung, um unmittelbare und potenzielle Bedrohungen zu erkennen, zu analysieren, zu verfolgen und zu beheben.

    Security Information and Event Management (SIEM)

    SIEM ist ein Security-Tool, das Protokoll- und Ereignisdaten, Threat-Intelligence und Sicherheitswarnungen zusammenführt. Die SIEM-Software für Cybersicherheit wendet benutzerdefinierte Regeln an, um Bedrohungswarnungen zu priorisieren, damit SicherheitsexpertInnen Daten besser interpretieren und schneller auf Ereignisse reagieren können.

    Security Orchestration, Automation and Response (SOAR)

    SOAR ist ein Technologie-Stack zur Optimierung des Bedrohungsmanagements. Er automatisiert Prozesse, orchestriert Security-Tools und erleichtert Incident Response. SOAR steigert die Effizienz, da weniger manuelle Aufgaben anfallen, die Lösung von Vorfällen beschleunigt wird und eine bessere Collaboration zwischen den Sicherheitsteams möglich ist.

    Schwachstellenmanagement (Vulnerability Management, VM)

    VM ist eine proaktive Komponente des Bedrohungsmanagements, mit der das Risiko von Exploits verringert werden soll. VM-Lösungen erleichtern die Identifizierung, Nachverfolgung, Priorisierung und Behebung von Sicherheitslücken und Schwachpunkten in IT-Systemen und Software, um das Risiko der Ausnutzung, des Datenverlusts und von Cyberangriffen zu senken.

    Next-Generation Intrusion Prevention System (NGIPS)

    NGIPS zeichnet sich durch modernste Funktionen für den Schutz vor Bedrohungen aus. Das System analysiert User, Anwendungen, Geräte und Schwachstellen im gesamten Netzwerk, für Geräte vor Ort, in der Cloud-Infrastruktur und bei gängigen Hypervisoren. NGIPS unterstützt die Netzwerksegmentierung, setzt die Cloud-Security durch und priorisiert Schwachstellen, die am dringendsten gepatcht werden müssen.

    Cisco Advanced Malware Protection (AMP)

    AMP ist eine Antivirensoftware, die komplexe Malware-Bedrohungen abwehrt. Zum Schutz von Computersystemen identifiziert und blockiert AMP proaktiv gefährliche Softwareviren wie Spyware, Würmer, Ransomware, Trojaner und Adware.

    Next-Generation Firewall (NGFW)

    Eine NGFW ist eine Netzwerksicherheitsvorrichtung, die Sicherheitsrichtlinien für den Netzwerkverkehr durchsetzt, um Datenverkehr zuzulassen oder moderne Bedrohungen wie Angriffe auf der Anwendungsschicht und ausgefeilte Malware abzuwehren. Eine auf Bedrohungen ausgerichtete NGFW bietet zusätzliche kontextbezogene Informationen, dynamische Abhilfemaßnahmen und die Korrelation von Netzwerk- und Endpunktereignissen. Dadurch lassen sich die Erkennungs- und Wiederherstellungszeit verkürzen.

    Verwandte Sicherheitsthemen

    Was ist ein Cyberangriff?

    Bei einem Cyberangriff handelt es sich um den böswilligen Versuch, die Sicherheit des Informationssystems eines Unternehmens oder einer Person zu beeinträchtigen.

    Zu den gängigen Arten von Cyberangriffen

    Was ist Bedrohungsmodellierung?

    Die Bedrohungsmodellierung dient der Entwicklung von Verfahren zur Erkennung und Bekämpfung von Bedrohungen.

    Zu den Schritten der Bedrohungsmodellierung

    Was ist Bedrohungsabwehr?

    Im Bereich der Netzwerksicherheit bezieht sich die Bedrohungsabwehr auf die Richtlinien und Technologien zum Schutz des Netzwerks.

    Zur Bedrohungsabwehr

    Was ist Cyberthreat-Intelligence?

    Threat-Intelligence stützt sich auf den historischen Verlauf und die Analyse von Bedrohungen, um potenzielle Angriffe zu erkennen und abzuwehren.

    Threat-Intelligence entdecken

    Was ist Endpunktsicherheit?

    Endpunktsicherheit schützt Geräte, die mit dem Netzwerk verbunden sind (z. B. Desktops, Laptops und mobile Geräte).

    Funktionsweise von Endpunktsicherheit

    Was ist Managed Detection and Response (MDR)?

    MDR ist ein Cybersicherheitsservice, der rund um die Uhr das Monitoring von Sicherheitsdaten übernimmt, um Bedrohungen zu erkennen und entsprechend zu reagieren.

    Vorteile von MDR kennenlernen

    E-Book

    So bekämpfen moderne Sicherheitsteams aktuelle Cyberbedrohungen

    Da die Belegschaft immer weiter verstreut arbeitet, steht das Bedrohungsmanagement vor neuen Herausforderungen. Lesen Sie, wie Sie die Widerstandsfähigkeit Ihres Unternehmens stärken und moderne Angreifer überlisten können.

    E-Book lesen