Wer das NIST-Framework versteht, erkennt den Wert von Machine Learning für Cybersicherheit

  • Aktualisiert vor1 Monat 
  • 6Minuten Lesezeit
  • 1249Wörter
  • 36Leser

Vectra erläutert Funktion und Bedeutung automatisierter Bedrohungserkennung

München, den 12.08.2022 – Das NIST-Framework für Cybersicherheit (National Institute of Standards and Technology taucht in zahlreichen Gesprächen und Artikeln auf – ob es dabei immer richtig verstanden wird, ist unklar. Das NIST ist ein Organisationsprinzip für Führungskräfte, um Strategien für die Cyberdefense zu entwerfen. Wenn es mit einem solchen Rahmen gelingt, eine klare Sicht auf Konzepte und Ziele zu schaffen, kann er ein ganzes Technologie-Team dazu bringen, nach dem gleichen Konzept vorzugehen. So lassen sich Aufgaben vereinfachen und beschleunigen, die zuvor anfällig für Komplikationen und Verzögerungen waren.

 

Andreas Riepen, Head Zentral- und Osteuropa beim IT-Sicherheitsanbieter Vectra AI, erläutert:

„Im März dieses Jahres berichteten Dr. Keri Pearson, Research Director für Cybersecurity am MIT, und Nelson Novaes Neto, Forscher an der Sloan School of Management des MIT, in der Harvard Business Review über einige besorgniserregende Ergebnisse ihrer jüngsten Umfrage zum Bewusstsein für Cybersecurity in Vorstandsetagen. Nur 68 Prozent der Unternehmensleiter gaben an, dass sie regelmäßig über Cybersecurity diskutieren, und 23 Prozent sagten, dass sie keinen Plan oder keine Strategie für Cybersecurity auf Vorstandsebene haben. Das Schlimmste Ergebnis: 9 Prozent dieser Vorstandsmitglieder gaben gegenüber Pearson und Neto an, dass sie überhaupt nicht über Cybersecurity sprechen.

Die Kunden dieser Unternehmen erwarten zweifellos etwas Besseres. Unternehmen, die es versäumen, Risiken vorherzusehen, können im Falle eines Sicherheitsvorfalls Vertrauen und Markenwert verlieren. Die Umfrage deutet auf eine Verständniskrise hin: Vielen nicht-technischen Einflussnehmern fehlen die Mittel, um eine existenzielle Bedrohung der Stufe 1 zu verstehen. Mit anderen Worten, es wird ein "Rahmen" benötigt, um das Security Picture lesbarer zu machen.

Was haben Pearson und Neto also vorgeschlagen?

"Uns gefällt das NIST Cybersecurity Framework … Es ist einfach und bietet Führungskräften und Direktoren eine gute Struktur, um die wichtigen Aspekte der Cybersecurity zu durchdenken. Aber es verfügt auch über viele Detailniveaus, die Cyber-Experten nutzen können, um Kontrollen, Prozesse und Verfahren zu installieren."[1]

Das NIST-Framework: Ein Fahrplan für eine Cybersecurity-Strategie 

Man sollte das NIST Framework als einen flexiblen Fahrplan für die Cybersecurity-Strategie begreifen.

Das Framework wurde vor fast einem Jahrzehnt vom National Institute of Standards and Technology des U.S. Department of Commerce entwickelt und basiert auf den Erfahrungen von ausgewiesenen Praktikern seit den frühen 2000er Jahren. Es wurde 2018 aktualisiert und bleibt ein lebendiges Dokument: Das NIST hat im Frühjahr 2022 um Vorschläge für die nächste Version gebeten [2]. Es verwendet eine einfache Sprache – Identify, Protect, Detect, Respond, Recover –, um Laien eine Orientierung für Herausforderungen bei der Security zu geben.

Bei der Nennung der bevorzugten Technologielösungen spielt das NIST Framework keine Rolle. Vielmehr geht es um Standards, nicht um Sponsoring. Die Entscheidung darüber, wie das Framework tatsächlich genutzt wird, bleibt den einzelnen Organisationen überlassen.

Aber die absichtliche Neutralität verleiht dem Framework zusätzliche Macht und Einfluss. Ein Teil der Absicht, die hinter dem Rahmenwerk steht, besteht darin, dass es „als Modell für die internationale Zusammenarbeit bei der Stärkung der Cybersecurity dienen soll … ein flexibler Weg, um Sicherheitsbedürfnisse zu adressieren"[3]. Tatsächlich hat das NIST-Framework „Übersetzungen, Anpassungen und andere Referenzen weltweit inspiriert"[4] – einschließlich des NIS der Europäischen Union und der nachfolgenden Aktualisierung, dem NIS2.

Je bekannter das NIST-Framework und seine weltweiten Nachbildungen sind, desto besser sind die Möglichkeiten für Unternehmensleiter, Cyber Risks zu verstehen und zu bewältigen. Wenn sie der Roadmap des Frameworks folgen wollen – Identify, Protect, Detect, Respond, Recover – ist das ein guter Anfang. Der nächste logische Schritt ist die Frage: Wie gehen wir vor? Und mit welchem Partner?

Wie sich Vectra mit seiner ML-Plattform für Cybersicherheit in das NIST-Framework einfügt

Zentral im Verhältnis der ML-basierten Plattform für Cybersicherheit und dem NIST-Framework sind vor allem zwei Punkte.

Erstens legt das Framework vier "Implementierungsebenen" für Sicherheitslösungen fest, mit aufsteigenden Stufen der Komplexität. Sie reichen von Stufe 1 ("partiell"), bei der ein Unternehmen dem Risiko aus dem Stegreif, reaktiv und ohne Schlüsselprozesse begegnet, über Stufe 2 ("risiko-informiert") und Stufe 3 ("wiederholbar") bis zu Stufe 4 ("adaptiv").

Stufe 4 ist eindeutig der beste Zustand. In Stufe 4 passt sich ein Unternehmen aktiv an eine sich verändernde Cybersecurity-Landschaft an. Risikomanagement durch einen flexiblen Informationsaustausch ist Teil der DNA des Unternehmens. Eine Implementierung von NIST Stufe 4 ist jedoch ohne Automatisierung schwierig, wenn nicht gar unmöglich. Das Durchsuchen riesiger Datensätze nach Anhaltspunkten für Angreifer ist eine monotone Arbeit für menschliche Augen und Köpfe, wenn sie manuelle Analysen durchführen müssen.

Die Vectra-Plattform automatisiert die Analyse von Sicherheitsereignissen und reduziert den Zeitaufwand für die Untersuchung von Bedrohungen um bis zu 90 Prozent. Dadurch können die Mitarbeiter mit höherem Potenzial arbeiten und sich dem wichtigsten Aspekt des Risikomanagements widmen: dem Verständnis des geschäftlichen Kontextes von Schwachstellen, eingehenden Bedrohungen und Sicherheitskontrollen.

Das maßgebliche Stufensystem des NIST Framework hilft Unternehmen, die Vorzüge einer adaptiven, intelligenten Cyberdefense zu verstehen. Wenn sie das begriffen haben, beweist die Vectra-Plattform ihren Wert, indem sie messbare Ergebnisse liefert und zu einem kontinuierlichen, langfristigen Verbesserungsprozess beiträgt.

Zweitens hat sich die einfache Fünf-Wörter-Prozess-Roadmap des Frameworks – Identify, Protect, Detect, Respond, Recover – als Standardmethode für die Cyberdefense durchgesetzt, und die Vectra-Plattform bietet vor allem bei den Kernelementen des Frameworks – Detect und Respond

einen erstklassigen Wert und eine hervorragende Leistung.

Man sollte folgendes bedenken:

  • Die automatisierte Erkennung von Bedrohungen ist das Herzstück der Plattform. Sie bietet kontinuierliche Überwachung und automatisierte Bedrohungsbeobachtung im gesamten Unternehmen.
  • Die Plattform nutzt maschinelles Lernen und Analysen des Verhaltens von Angreifern, um automatisch Bedrohungen im gesamten Unternehmen aufzuspüren, von Cloud- und Rechenzentrums-Workloads bis hin zu Benutzer- und IoT-Geräten.
  • Die Plattform bietet Echtzeiteinblicke in den Netzwerkverkehr, indem sie Metadaten aus Paketen extrahiert, anstatt eine Deep-Packet-Inspection durchzuführen, und ermöglicht so einen Schutz ohne Schnüffelei.
  • Die Plattform korreliert Netzwerk-Metadaten mit anderen Datenquellen und erstellt benutzerdefinierte Tools und Modelle, um Angriffe zu erkennen, zu untersuchen und zu verfolgen. Die Metadaten werden gespeichert, um nachträgliche Untersuchungen von Bedrohungen oder Vorfällen zu unterstützen.

Die Vectra-Plattform unterstützt die überwiegende Mehrheit der Detect and Respond-Funktionen und Unterfunktionen, die im NIST Framework als Prioritäten für den Schutz kritischer Infrastrukturen genannt werden. Das Framework wird wahrscheinlich herstellerneutral bleiben und Vectra nie namentlich erwähnen. Dennoch stellt Vectra im Kontext des Frameworks ein wichtiges Argument dar: die exponentielle Steigerung der Ausgereiftheit und Leistungsfähigkeit von Security Teams bei gleichzeitiger Reduzierung der mit Cyberangriffen verbundenen Risiken.

 

Das Framework und seine Varianten außerhalb der Vereinigten Staaten – die wichtigste ist die NIS2 der EU – entwickeln sich zu Standardwerken und tragen zu einem besseren Verständnis der Cyberdefense bei. Sie bringen Ordnung und Logik in eine unruhige, manchmal von Angst geprägte Landschaft.

Je bekannter das NIST Framework wird, desto überzeugender sind die Argumente für ML-basierte Plattformen für Threat Detection – davon bin ich überzeugt.“

 

# # # ENDE # # #

 

Anmerkungen 

[1] Dr. Keri Pearlson und Nelson Novaes Neto, "7 Pressing Cybersecurity Questions Boards Need to Ask", Harvard Business Review, 4. März 2022.

[2] "NIST Seeks Comments on Cybersecurity Framework Refresh", National Law Review, 10. März 2022. www.natlawreview.com/article/nist-seeks-comments-cybersecurity-framework-refresh

[3] NIST, "Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1", Executive Summary, 16. April 2018. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

[4] NIST PowerPoint-Präsentation, "The Cybersecurity Framework Version 1.1", Oktober 2019. www.nist.gov/cyberframework/framework

 

tech2com UG

Philipp Haberland 

Am Burgholz 18

D-73098 Rechberghausen

Festnetz: 07162/601400-1

Mobil: 0163/2722363

Mail: p.haberland(at)tech2com.de