Laut einer Studie von Fireeye befindet sich ein Angreifer im Durchschnitt 100 Tage im Netzwerk des Unternehmens, bevor dieser erkannt wird. Und jetzt kommt etwas, womit man nicht rechnen würde. Der Angreifer wird in den meisten Fällen durch externe Stellen erkannt. „Wie kann das sein“ fragt man sich jetzt.
Darum ist Security Monitoring so wichtig
Oft ist es so, dass Unternehmen A einen Angreifer
in der IT-Infrastruktur hat und dies nicht bemerkt. Unternehmen B, welches über eine bessere IT-Security verfügt, stellt fest, dass es eine E-Mail mit Malware von dem infizierten Unternehmen A erhalten hat. Daraufhin kontaktiert Unternehmen B das Unternehmen A. Nun weiß Unternehmen A, dass es einen Angreifer in der IT-Infrastruktur hat. Daraufhin beginnt die Analyse, um die betroffenen Systeme zu finden.
Dadurch, dass der Angreifer nur entdeckt wurde, weil er
Malware an ein anderes Unternehmen schickte, kann sich ja denken, wie viele Angreifer unentdeckt bleiben, wenn sie sich ruhig verhalten.
Hier kommt nun Security Monitoring ins Spiel.
So sieht Security Monitoring aus
Security Monitoring: Unter Security Monitoring versteht man alle Aktivitäten, die darauf ausgerichtet sind, die IT-Umgebung im Unternehmen aus Sicht der IT-Security zu beobachten. Es wird hierbei darauf geachtet, ob
potenzielle Bedrohungen erkannt werden können. Als zentrales Tool wird für Security Monitoring meistens ein SIEM verwendet.
Was ist ein SIEM?
Ein SIEM kann man sich als eine
große Datenbank vorstellen. Diese speichert Log-Informationen von verschiedenen Systemen. Das bedeutet, dass Logs von Endpunkten wie Laptops oder Servern in dem SIEM gespeichert werden. Außerdem ist es auch möglich die Logs von Netzwerkgeräten wie Routern und Switches in dem SIEM zu speichern und zu verarbeiten. Dabei steht SIEM für
Security Information and Event Management.
Welche weiteren Tools gibt es?
Im Unternehmen existieren oft eine große Menge an unterschiedlichen Tools für IT-Security. Hier möchte ich die zum Beispiel
AntiViren Scanner, IDS/IPS-Systeme oder Firewalls nennen. Diese Tools verfolge eine ganz bestimmte Aufgabe und sie erzeugen Alarme, wenn etwas Auffälliges passiert. Diese Alarme können auch im SIEM gespeichert werden, damit sie zur weiteren Analyse bereitstehen.
100 Tage befinden sich Angreifer durchschnittlich im Unternehmen, bevor sie entdeckt werden. Wie kann man das verhindern und wie kann man Cyberangriffe frühzeitig erkennen und darauf reagieren, bevor der Schaden zu groß wird? Die Antwort auf diese Fragen lautet „Security Monitoring“. Wie das funktioniert, erkläre ich in diesem Video.
Security Monitoring
Wessen Aufgabe ist das Security Monitoring?
Das Security Monitoring wird oft in einem Unternehmensbereich betrieben, der sich Security Operations Center oder kurz SOC nennt.
Im SOC arbeiten Security Analysten, welche
die IT-Infrastruktur des Unternehmens überwachen. Dazu nutzen sie die Informationen, die im SIEM gespeichert sind. Dadurch, dass ein SIEM Informationen aus unterschiedlichen Quellen enthält, kann man diese Informationen miteinander in Verbindung setzen. Das wird auch als Korrelation bezeichnet. Durch die Korrelation von Informationen ist es für die Security Analysten möglich, Zusammenhänge über mögliche Cyber-Angriffe zu erkennen. Eine Erkennung von Cyber-Angriffen kann aber nur erfolgen, wenn es vordefinierte
SIEM USE Cases gibt. Dafür ist es notwendig, dass das
SOC richtig aufgebaut und fortlaufend optimiert wird.
Wofür sind SIEM Use Cases nützlich?
SIEM Use Cases beschreiben bestimmte Angriffsmuster, die man mithilfe eines SIEM erkennen will. Ein Beispiel hierfür ist ein Brute-Force Angriff auf einen internen Server Login. Der Use Case würde nun darauf achten, ob jemand eine große Anzahl an Passwörtern für einen bestimmten Benutzer testet, um sich auf dem Server einloggen zu können. Wenn es in dem SIEM diesen Use Case gibt, dann kann man für den Fall, dass ein solches Ereignis eintritt,
einen Alarm generieren. So erkennt der Security Analyst, dass etwas Auffälliges in der IT-Umgebung stattfindet und kann direkt mit seinen Nachforschungen beginnen. Er würde zunächst einmal schauen, ob es sich hierbei um einen Fehlalarm handelt. Hierbei spricht man auch von „false positives“.
Fehlalarme entstehen, wenn SIEM Use-Case-Regeln nicht ausreichend getunt wurden. Es ist bei internen Ereignissen manchmal nicht einfach
zwischen einem Angreifer und einem Admin zu unterscheiden. Beide führen unter Umständen die gleichen auffälligen Aktionen aus, die ein normaler Benutzer nicht machen würde. Daher muss der gesamten Kontext betrachtet werden, um entscheiden zu können, ob die gefundene Auffälligkeit eine normale Admin Tätigkeit war oder, ob es sich hierbei um einen möglichen Angreifer handelt.
Was muss beachtet werden?
Security Monitoring ist ein komplexes Gebiet, welches Schnittstellen zu sehr vielen Bereichen im Unternehmen hat. Es muss darauf geachtet werden, dass die gespeicherten Informationen Datenschutz-konform sind. Außerdem ist es wichtig bei der Beurteilung der SIEM Use Cases
den Betriebsrat mit einzubinden. Durch die Analyse der internen IT-Infrastruktur kann es schnell passieren, dass man ungewollt Mitarbeiter überwacht. Dies versucht der Betriebsrat zu verhindern. Daher ist es wichtig, den Betriebsrat frühzeitig bei der Erstellung der SIEM Use Cases mit einzubinden, denn sonst kann das Security Monitoring ganz schnell zu Ende sein.Security Monitoring ist also wichtig, um herauszufinden, welche Cyber-Angriffe stattfinden.
Was passiert bei einem Vorfall?
Wenn es nun zu einem Cyber-Angriff kommt und die Security Analysten herausgefunden haben, dass es kein Fehlalarm war, dann muss dieser Spur nachgegangen werden. Hierfür ist das
Security Incident Management zuständig. Was genau Security Incident Management ist, dazu verlinkte ich hier ein anderes Video.
Das Security Incident Management übernimmt nun den aufgetretenen Sicherheitsvorfall und beginnt mit der Analyse. Hierzu wird geschaut, was überhaupt passiert ist, welche Systeme betroffen sind,
wer informiert werden muss und wie mit dem Sicherheitsvorfall umzugehen ist.
Nachdem der Sicherheitsvorfall bearbeitet wurde und dessen vollständige Analyse abgeschlossen ist, kann ein sogenanntes
„Lessons Learned“ durchgeführt werden. Hierbei setzen sich alle, an der Analyse beteiligten Unternehmensteile, zusammen und besprechen, wie die IT-Security verbessert werden kann, damit es nicht erneut zu einem solchen Sicherheitsvorfall kommt.
Die gewonnen Erkenntnisse können dazu führen, dass neue Maßnahmen eingeführt werden müssen, dass bestehende Maßnahmen verbessert werden, oder dass die Regeln für die SIEM Use Cases im Security Monitoring optimiert werden. Alle getroffenen Entscheidungen haben das Ziel,
bei einem ähnlichen Angriff in der Zukunft schneller reagieren zu können und die Erkennung und den Schutz des Unternehmens zu verbessern.
Wir sind für Sie da
Das war eine Menge an Informationen, gefüllt mit Abkürzungen und Fachbegriffen. Wir unterstützen Sie gerne bei Ihrem Security Monitoring und schaffen einen Prozess, der auf Ihre individuellen Bedürfnisse zugeschnitten ist.
Nehmen Sie gerne Kontakt zu uns auf für ein kostenloses und unverbindliches Erstgespräch.