Share
Beitragsbild zu Vier Schritte, die die Finanzbranche unternehmen kann, um mit ihrer wachsenden Angriffsfläche fertig zu werden

Vier Schritte, die die Finanzbranche unternehmen kann, um mit ihrer wachsenden Angriffsfläche fertig zu werden

Die Finanzdienstleistungsbranche war schon immer ein Vorreiter bei der Einführung von Technologien, aber die Pandemie 2020 beschleunigte die weit verbreitete Nutzung von mobilen Banking-Apps, Chat-basiertem Kundenservice und anderen digitalen Tools. Der FIS-Trends-Report 2022 von Adobe stellte beispielsweise fest, dass mehr als die Hälfte der befragten Finanzdienstleister und Versicherungsunternehmen in der ersten Hälfte des Jahres 2020 einen deutlichen Anstieg der digitalen/mobilen Besucher verzeichneten. Im selben Bericht wurde festgestellt, dass vier von zehn Führungskräften aus dem Finanzsektor angeben, dass digitale und mobile Kanäle mehr als die Hälfte ihres Umsatzes ausmachen – ein Trend, der sich in den nächsten Jahren voraussichtlich fortsetzen wird.

Mit der Ausweitung ihrer digitalen Präsenz haben Finanzinstitute mehr Möglichkeiten, ihre Kunden besser zu bedienen, sind aber auch mehr Sicherheitsbedrohungen ausgesetzt. Jedes neue Tool vergrößert die Angriffsfläche. Eine höhere Anzahl potenzieller Sicherheitslücken kann zu einer höheren Anzahl von Sicherheitsverstößen führen.

Laut der Cisco CISO Benchmark-Umfrage hatten 17 Prozent der Unternehmen im Jahr 2020 täglich 100.000 oder mehr Sicherheitswarnungen. Nach der Pandemie hat sich dieser Trend fortgesetzt. Im Jahr 2021 gab es die höchste Anzahl von Schwachstellen und Gefährdungen aller Zeiten: 20.141, was den Rekord von 18.325 aus dem Jahr 2020 übertraf.

Die wichtigste Erkenntnis ist, dass das digitale Wachstum in der Finanzbranche unaufhaltsam ist. Daher benötigen Cybersicherheitsteams Möglichkeiten, um einen genauen Einblick in ihre Angriffsfläche in Echtzeit zu erhalten. Von dort aus müssen die am stärksten ausnutzbaren Schwachstellen identifiziert und vorrangig gepatcht werden.

Traditionelle Ansätze zur Sicherheitsvalidierung

Traditionell haben Finanzinstitute mehrere verschiedene Techniken zur Bewertung ihrer Sicherheitslage eingesetzt.

Simulation von Sicherheitsverletzungen und Angriffen

Die Simulation von Sicherheitsverletzungen und Angriffen (Breach and Attack Simulation, BAS) hilft bei der Ermittlung von Schwachstellen, indem sie die potenziellen Angriffspfade simuliert, die ein böswilliger Akteur nutzen könnte. Dies ermöglicht eine dynamische Kontrollüberprüfung, ist jedoch agentenbasiert und schwer zu implementieren. Außerdem sind die Simulationen auf ein vordefiniertes Playbook beschränkt, was bedeutet, dass der Umfang nie vollständig ist.

Manuelle Penetrationstests

Mit manuellen Penetrationstests können Unternehmen feststellen, wie die Kontrollen einer Bank beispielsweise einem realen Angriff standhalten, wobei sie zusätzlich die Perspektive des Angreifers einbringen können. Dieser Prozess kann jedoch kostspielig sein und wird bestenfalls nur eine Handvoll Mal pro Jahr durchgeführt. Das bedeutet, dass es keinen Einblick in Echtzeit geben kann. Außerdem hängen die Ergebnisse immer von den Fähigkeiten und dem Umfang des externen Penetrationstesters ab. Wenn ein Mensch während eines Penetrationstests eine ausnutzbare Schwachstelle übersieht, kann diese unentdeckt bleiben, bis sie von einem Angreifer ausgenutzt wird.

Schwachstellen-Scans

Schwachstellen-Scans sind automatisierte Tests des Unternehmensnetzwerks. Sie können geplant und jederzeit durchgeführt werden – so oft wie gewünscht. Allerdings können sie nur einen begrenzten Kontext liefern. In den meisten Fällen erhält ein Cybersicherheitsteam nur eine CVSS-Schweregradeinstufung (keine, niedrig, mittel, hoch oder kritisch) für jedes durch den Scan entdeckte Problem. Das Team trägt die Verantwortung für die Erforschung und Behebung des Problems.

Schwachstellen-Scans werfen auch das Problem der Alarmmüdigkeit auf. Bei so vielen realen Bedrohungen müssen sich die Sicherheitsteams in der Finanzbranche auf die ausnutzbaren Schwachstellen konzentrieren können, die potenziell die größten Auswirkungen auf das Geschäft haben können.

Ein Lichtblick

Automated Security Validation, kurz ASV, bietet einen neuen – und präzisen – Ansatz. Sie kombiniert Schwachstellen-Scans, Kontroll-Validierung, reale Ausnutzung und risikobasierte Empfehlungen zur Abhilfe für ein umfassendes Angriffsflächen-Management.

ASV bietet eine kontinuierliche Abdeckung, die Finanzinstituten Echtzeiteinblicke in ihre Sicherheitslage verschafft. Durch die Kombination von interner und externer Abdeckung erhalten sie ein möglichst vollständiges Bild ihrer gesamten Risikoumgebung. Und da es das Verhalten eines realen Angreifers modelliert, geht es viel weiter als eine szenariobasierte Simulation.

Wie die Finanzbranche ASV einsetzt

Es versteht sich (fast) von selbst, dass Banken, Kreditgenossenschaften und Versicherungsunternehmen ein hohes Maß an Sicherheit benötigen, um die Daten ihrer Kunden zu schützen. Außerdem müssen sie bestimmte Compliance-Standards wie FINRA und PCI-DSS einhalten.

Und wie machen sie das? Viele investieren in automatisierte Sicherheitsvalidierungstools, die ihnen das tatsächliche Sicherheitsrisiko zu einem bestimmten Zeitpunkt aufzeigen, und nutzen diese Erkenntnisse, um einen Fahrplan für Abhilfemaßnahmen zu erstellen. Finanzinstitute wie Sander Capital Management gehen nach folgendem Schema vor:

Schritt 1 – Erkennen der Angriffsfläche

Mit Hilfe von Pentera wird die Angriffsfläche im Web kartiert, um ein vollständiges Verständnis der Domains, IPs, Netzwerke, Dienste und Websites zu erlangen.

Schritt 2 – Herausfordern der Angriffsfläche

Durch die sichere Ausnutzung der kartierten Ressourcen mit den neuesten Angriffstechniken werden vollständige Angriffsvektoren aufgedeckt – sowohl intern als auch extern. So erhalten sie das Wissen, das sie benötigen, um zu verstehen, was wirklich ausnutzbar ist – und was die Ressourcen zur Behebung wert ist.

Schritt 3 – Priorisierung der Abhilfemaßnahmen nach Auswirkung

Durch den Einsatz der Angriffspfad-Emulation können sie die geschäftlichen Auswirkungen jeder Sicherheitslücke genau bestimmen und der Ursache jedes verifizierten Angriffsvektors Bedeutung beimessen. Dadurch erhält das Team eine viel leichter zu befolgende Roadmap zum Schutz des Unternehmens.

Schritt 4 – Umsetzung des Plans zur Behebung von Sicherheitslücken

Anhand einer kosteneffizienten Liste von Abhilfemaßnahmen versetzen diese Finanzunternehmen ihre Sicherheitsteams in die Lage, Lücken zu schließen und die Auswirkungen ihrer Bemühungen auf die gesamte IT-Struktur zu messen.

Wenn es um Ihr Unternehmen geht: Wissen Sie, wo Ihre schwächsten Glieder sind, damit Sie sie beheben können, bevor ein Angreifer sie gegen Sie verwendet?

Wenn Sie bereit sind, Ihr Unternehmen auf die neuesten Bedrohungen zu überprüfen, fordern Sie einen kostenlosen Security Health Check an.

Quelle: Pentera-Blog


Ihr Kontakt zu uns:

Matan Katz, Regional Development

Hier direkt einen Termin buchen:

https://pentera.oramalthea.com/c/MatanKatz

Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera

Hanspeter Karl, Area Vice President DACH, Pentera

Firma zum Thema

pentera

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden