In der Natur beschreibt der Lotuseffekt eine Art Selbstreinigungseffekt der Lotuspflanze. Wasser perlt von der Oberfläche ab und nimmt auch noch Schmutzpartikel mit auf. Ähnlich der Wachsnoppen der Blätter, verhält sich Agentic Vulnerability Management. Die Angriffsoberfläche wird nachhaltig so präpariert, dass erst gar kein digitaler Schmutz haften und ein System infiziert werde kann. [...]
Erst wenige Monate alt und trotzdem schon gut gefüllt, wächst die zentrale Anlaufstelle zur Meldung von Schwachstellen in Europa Tag für Tag. Als Mitte Mai die EUVD, die European Vulnerability Database der ENISA startete, war die Aufmerksamkeit für das Projekt groß. Inzwischen (Stand 1.9.) umfasst sie 27 721 Seiten. Schwachstellen so scheint es, gibt es wie Sand am Meer. Daraus folgt die Erkenntnis, dass sich ebenso auch die Angriffsoberfläche eines jeden digitalisierten Unternehmens entwickelt. Bemerkenswert, wenn man bedenkt, dass Grace Hooper 1947 mit dem ersten „Bug“ der Welt tatsächlich ein Insekt als Fehler ausgemacht hatte. Kleine Momente, die die Geschichte verändern und sie doch nachhaltig prägen.
Tagtäglich werden inzwischen unzählige neue Schwachstellen entdeckt, analysiert und behoben. Sehr oft geschieht dies reaktiv, ähnlich wie Grace Hooper, die damals auf eine Fehlermeldung reagierte. Sie hatte damals die Zeit, Admins haben diese Zeit heute nicht mehr, zumal die meisten Schwachstellen unbemerkt bleiben, denn sie sind nicht kritisch für das Funktionieren einer Software. Angesichts von Zero-Klick-Schwachstellen in führenden KI-Modellen die mehrere Monate und mehrere kluge Köpfe mit der Behebung beschäftigen, erscheint die Methode manuell vorzugehen und nur auf Findings zu reagieren, geradezu antiquiert. Heutige Sicherheitstechnoligen, wie EDR, SIEM & SOAR, greifen diese Problematik zwar auf, sind aber langsam, spät und äußerst personalintensiv – vom benötigten Expertenwissen gar nicht zu sprechen. Die Frage stellt sich daher, was Unternehmen tun können, um aktiv und rechtzeitig dafür zu sorgen, dass sich mögliche Bedrohungen erst gar nicht ausbreiten können.
Die Renaissance der Prevention
Ein großer Teil des Budgets im Bereich IT-Sicherheit wird gebunden, um für Sichtbarkeit und das Auffinden von möglicherweise Bösartigem zu sorgen, ohne jedoch wirksam etwas mit der gewonnen Pixelschärfe tun zu können. Mit jeder neuen Anwendung, jedem neuen Tool erweitert sich zudem der operative Aufwand und die Menge der Daten wächst weiter ins Unendliche.
Dazu kommt die Herausforderung, dass heutige Sicherheits-Lösungen weitgehend darauf basieren, dass eine Schwachstelle, wie ein nicht gepatchtes oder korrekt konfiguriertes System, aktiv ausgenutzt werden muss, damit diese überhaupt erst über mögliche Monitoring-Systeme als Alarm gemeldet wird und die Security Analysten sich mit ihr auseinandersetzen können. Häufig erst, wenn es schon zu spät ist und der Angreifer sein Ziel bereits erreicht hat. Dies führt automatisch zu der Frage, ob sich Security Analysten weiter auf reaktive Technologien verlassen und erst dann reagieren wollten, wenn es eigentlich schon zu spät ist.
In diesem Kontext ist interessant, dass der Begriff der Prävention in den letzten Jahren nahezu komplett aus dem Cybersecurity Vokabular verschwunden ist. In der Branche wird hauptsächlich über „detect and respond“ gesprochen. Doch dieser Ansatz führt nachweislich nicht zum Ziel. Dabei ist es nach wie vor deutlich effektiver und günstiger einen Angriff zu vereiteln, bevor dieser überhaupt wirken kann, als die potentielle Bedrohung erst suchen, eliminieren und danach den entstandenen Schaden wieder reparieren zu müssen. IT-Sicherheit sollte wieder aktiv gedacht und betrieben werden.Zu sehr fokussiert sich die Branche auf die Frage, was zu tun ist, wenn der Dieb bereits im Haus ist und begonnen hat sein Werk zu verrichten.
Daraus folgt auch, dass die Erkenntnis allein, ohne die Möglichkeit, direkt und nachhaltig zu reagieren, letztlich ebenso wertlos ist. Prävention bedeutet in diesem Zusammenhang zu verhindern, dass eine mögliche Schwachstelle, wie ein gekipptes Fenster im Firmengebäude, überhaupt erst ausgenutzt werden kann.
Ein digitaler Lotuseffekt für Schwachstellen
Hier kommt der Begriff des „Agentic Vulnerability Managements“ ins Spiel. Diese Herangehensweise ist nicht weniger als ein Paradigmenwechsel, der die Leistungsfähigkeit der Agentic AI nutzt, um der Größe, Geschwindigkeit und Komplexität moderner Cyber-Bedrohungen zu begegnen. Im Gegensatz zum traditionellen Schwachstellen Management, das stark auf menschliche Intervention und lineare Arbeitsabläufe angewiesen ist, führt der Agentic AI Ansatz zur autonom denkenden und handelnden Lösung. Sie monitoren die Systeme autonom, verstehen die Anforderungen des Unternehmens bzw. der Abteilungen – auch hinsichtlich Compliance – , ergreifen Maßnahmen und überprüfen außerdem, ob das Problem letztlich behoben wurde. Diese regelmäßigen automatisierten Überprüfungen und schnelle Behebungen sind dabei die Grundvoraussetzungen, genauso wie sicherzustellen, dass sämtliche Assets erfasst werden – egal ob Cloud, On-Premises oder SaaS.
In der Natur beschreibt der Lotuseffekt eine Art Selbstreinigungseffekt der Lotuspflanze. Wasser perlt von der Oberfläche ab und nimmt auch noch Schmutzpartikel mit auf. Ähnlich der Wachsnoppen der Blätter, verhält sich Agentic Vulnerability Management. Die Angriffsoberfläche wird nachhaltig so präpariert, dass erst gar kein digitaler Schmutz haften und ein System infiziert werde kann.
Fazit
Dieses Prinzip des Schutzes vor unerwünschten Einflüssen macht sich auch die Software von Mondoo zu Nutze. Bevor eine Infektion stattfinden kann, wird die potentielle Schwachstelle nicht nur aktiv erkannt, sondern auch für immer geschlossen. Das Credo, dass dahinter steht, nennt sich „Fix Now. Fix Forever“. „Fix Now“ unterstreicht dabei die Wichtigkeit, direkt und unmittelbar agieren zu können, wenn eine kritische Schwachstelle entdeckt wurde. „Fix Forever“ geht noch einen Schritt weiter: Da ein nicht unbeträchtlicher Teil an Schwachstellen wiederholt auftaucht, muss eine einmal getroffene Entscheidung auch nachhaltig durchgesetzt werden und automatisch der zuvor definierten Lösung zugeführt werden – ganz ohne manuelles Zutun. Dafür steht „Fix Forever“.
* Matthias Canisius ist Head of Sales bei Mondoo.
Be the first to comment