alphaspirit - stock.adobe.com
Mehr Einblick in Netzwerke und Architekturen erhalten
IT-Architekturen werden immer komplexer und damit halten meist immer mehr Sicherheitslösungen Einzug. Eine übergreifende Zusammenarbeit und Kommunikation ist da von Bedeutung.
Die IT-Welt wird immer komplexer – soweit so bekannt, doch was auf den ersten Blick Assoziationen in Richtung mobiles Arbeiten, Cloud Computing und Virtualisierung auslöst, meint für den IT-Sicherheitsbeauftragten etwas ganz anderes. Neben immer mehr IT- haben auch immer mehr IT-Sicherheitslösungen in die Unternehmen Einzug gehalten. Auch diese Systeme gehören zur IT-Architektur dazu und müssen in ein Sicherheits-Monitoring-System einbezogen werden.
Dafür ist es jedoch nötig, dass die Systeme miteinander kommunizieren und nicht immer fällt diese sicherheitsübergreifende Zusammenarbeit so einfach wie gedacht. Sowohl technisch als auch organisatorisch sind hier einige Hürden zu meistern und nicht immer lassen sich diese Hindernisse auch nehmen.
Die Ausgaben für IT-Sicherheit werden auch in diesem Jahr wieder steigen, so viel steht bereits fest. Die Analysten der Sopra Steria Consulting haben in einer Umfrage herausgefunden, dass unter 350 befragten Entscheidern mehr als die Hälfte (56 Prozent) in den nächsten drei Jahren Budgetsteigerungen in der IT-Sicherheit erwartet. Dass diese Investitionen dringend notwendig sind, steht außer Frage. Nicht zuletzt der Risk Barometer Report 2019 der Allianz beschreibt sehr eindringlich, dass Cyberrisiken auf der Agenda von Unternehmen immer höher rücken. Das größte Risiko besteht jedoch nicht unbedingt in einem Cyberangriff, sondern darin, dass Geschäftsprozesse nicht mehr funktionieren oder gestört werden, 37 Prozent der Befragten gaben dies in der Umfrage zur Studie an.
Wenn aber der unterbrechungsfreie IT-Service der kritische Faktor für den Erfolg eines Unternehmens ist, dann gilt es umso mehr, den Wildwuchs an IT-basierte Soft- und Hardwaresicherheitslösungen in den Griff zu bekommen. Von Shadow IT wurde in diesem Zusammenhang noch gar nicht gesprochen, dies ist jedoch ebenfalls ein mitwachsendes Problem der IT.
Mitwachsende Bedrohungslage
Die Bedrohungslage wird durch die zunehmende Anzahl der Bedrohungen selbst bereits immer komplexer. Hinzu treten nun die neuen Geräte und Konzepte. Mit neuen Geräten, Anwendungen und Konzepten multipliziert sich die Gefährdung, denn Einfallstore, die bislang keine Rolle spielten, treten nun neu auf. Dies gilt auch für Sicherheitslösungen, die schlecht konfiguriert wurden. Wenn vorher wenig Vernetzung vorhanden war, müssen nun eine Vielzahl von völlig neuen Ports und Protokollen gemanagt werden. Neue Anwendungen bringen unbekannte Schwachstellen und neue Geräte eventuell sogar Hintertüren ab Werk. All das muss verwaltet werden, all das muss überhaupt erst übersehen werden.
Moderne Schadsoftware verbreitet sich darüber hinaus heute anders als noch vor wenigen Jahren. Cyberkriminelle und andere Angreifer haben durch die Malware-as-a-Service-Welle eine ganze Reihe von Werkzeugen für ihre Attacken zur Verfügung. Es gibt beispielsweise sich langsam im Netzwerk ausbreitende und lange Zeit inaktive Schadsoftware, die erst aktiv wird, wenn eine bestimmte Wartezeit verstrichen ist oder aber sie einen Befehl von außen bekommt.
Monitoring für Sicherheitssoft- und -hardware
Aus diesem Grund kann es sinnvoll sein, von vornherein auf Lösungen zu setzen, deren Sicherheitshersteller bereits diese Hürde genommen haben und sich gegenseitig ineinander integrieren und vernetzen lassen. Informationen, die dort durch die verschiedenen Systeme laufen, müssen genauso in Log-Files übertragen, gesammelt, korreliert und normalisiert werden, um in einem zentralen System ausgewertet zu werden.
Moderne Lösungen für das Sicherheits-Monitoring beschleunigen die Datenanalyse erheblich, zum Beispiel durch eine schnellere Erkennung und Reaktion auf Cybergefahren sowie die Reduzierung von False Positives. Diese Geschwindigkeit, befeuert durch das maschinelle Lernen, kann zu einer Reduzierung der Arbeitsbelastung der Security Analysten um 35 bis 50 Prozent führen. Unterstützung erhalten sie durch die Verwendung der Automatisierungs- und Orchestrierungsfunktionen dieser Lösungen. Natürlich erfordert dies, dass das System mit Log-Daten aus allen Sicherheitslösungen gespeist wird.
Mit einem verhaltensbasierten Ansatz zur automatisierten Analyse von Warnmeldungen lassen sich beispielsweise Rückschlüsse auf Bedrohungen wie Ransomware, APTs sowie Seitwärtsbewegungen (laterale Bewegungen im Netzwerk) ziehen. Darüber hinaus macht die Software auf Vorgänge wie:
- ungewöhnliche Host-Anmeldungen
- unübliche Uhrzeiten der Aktivitäten
- multiple-Host-Anmeldungen
- Missbrauch von Anmeldedaten
- Daten-Exfiltration
- ungewöhnliche Dateizugriffe
- abnormale Zugriffe auf Dokumente
- massierte Änderungen von Genehmigungen
- Änderungen am Management von Rechten und Genehmigungen
- Massenänderungen bei kritischen Unternehmensgruppen
- Statusänderungen sensibler Nutzer wie Administratoren
- und Rechteänderungen im Allgemeinen aufmerksam.
Fazit
Die Investitionen in IT-Sicherheit werden steigen, als Reaktion auf, die sich verändernden Sicherheitsbedrohungen ist dies ein logischer Schritt. Jedoch müssen auch die neuen Sicherheitslösungen in die Sicherheitsarchitektur eingebunden werden. Ein modernes, auf verhaltensbasierte Angriffe geschultes und sich durch maschinelles Lernen ständig weiterentwickelndes Sicherheits-Monitoring ist eine wertvolle Unterstützung. Security-Analysten profitieren dann davon, dass sie sich auf die wirklich wichtigen Gefahren konzentrieren können und sich nicht mehr selbst aus den verschiedenen Lösungen die Bausteine zusammensuchen müssen.