Gorodenkoff - stock.adobe.com
Sicherheitsdaten sammeln, korrelieren und nutzen
Mittelständische Firmen nutzen häufig eine Reihe von Security-Lösungen wie Firewalls, Identity Management oder 2FA. Meist hapert es aber an der übergreifenden Analyse der Daten.
Wenn im Mittelalter auf einer Burg Alarm geschlagen wurde, war es wichtig, so schnell wie möglich zu erfahren, von wo ein Angriff drohte und wie man sich dagegen wehren konnte. Was früher galt, lässt sich auch auf moderne IT-Security übertragen. So verwenden die meisten mittelständischen Unternehmen in vorbildlichem Ausmaß verschiedenste Sicherheits-Sensorik-Systeme wie Firewalls, Zwei-Faktor-Authentifizierung oder Identity Management, um Anomalien und Angriffe frühzeitig zu erkennen. Doch all diese Sicherheitsdaten aus den verschiedenen Quellen zu analysieren und die daraus resultierende Bedrohungslage zu ermitteln, ist in den meisten IT-Abteilungen noch ein arbeitsintensiver manueller Prozess – für den obendrein oft die Zeit fehlt. Es kann also passieren, dass zu dem Zeitpunkt, zu dem der Alarm endlich richtig untersucht wurde, der Angreifer schon längst durch das Tor gestürmt ist.
Verdächtige Vorgänge erkennen und blockieren
Um das zu verhindern, gibt es als ersten Wall für die Angreifer zwei verschiedene Security-Sensorik-Methoden. Die passive Sensorik ist dafür zuständig, Sicherheitsauffälligkeiten zu identifizieren und zu melden. Aktive Sensorik kann ein verdächtiges Element auch blockieren – eine E-Mail mit einem auffälligen Anhang wird beispielsweise gar nicht erst in die Inbox, sondern in eine Sandbox weitergeleitet. Das moderne Sandboxing, eine Erweiterung von gängigen Firewalls, erlaubt, zwielichtige Dateien aus E-Mail-Anhängen in isolierten Bereichen auszuführen. Somit kann in einer sicheren Umgebung ermittelt werden, ob Inhalte tatsächlich schadhaft sind. Ein solches System allein kann jedoch noch nicht die Frage beantworten, ob es im Netzwerk insgesamt bereits zu ähnlichen Auffälligkeiten gekommen ist und man es mit einem systematischen Angriff an verschiedenen Stellen zu tun hat.
Was benötigt wird, ist also ein System, mit dem sich die Erkenntnisse aller Sensorikeinheiten auf einer Plattform zentral sammeln und korrelieren lassen. Zahlreiche Unternehmen implementieren dafür bereits SIEM-Lösungen (Security Incident and Event Management). An ein SIEM werden alle Sicherheitssysteme, die das Unternehmen im Einsatz hat, angeschlossen und deren Logdaten an einer Stelle zusammengeführt. Ein SIEM kann potenzielle Sicherheitsvorfälle identifizieren, jedoch nicht feststellen, ob diese tatsächlich sicherheitsrelevant sind. Es neigt also dazu, die meist sowieso schon voll ausgelasteten IT-Security-Mitarbeiter mit Alerts zu überfluten. In der Theorie müssten diese nun manuell jeden einzelnen der gemeldeten Alerts untersuchen, um festzustellen, ob tatsächlich Handlungsbedarf besteht, oder es sich nur um ein False Positive handelt – verursacht etwa durch die Installation einer neuen Software.
In dieser Meldungsflut können tatsächliche Angriffe leicht übersehen werden. Was die Sache weiter erschwert, ist die Tendenz der Unternehmen, viele verschiedene Security-Sensorik-Lösungen einzusetzen. Doch viel hilft nicht immer viel, stattdessen wird meistens nur die Anzahl der Alerts noch zusätzlich erhöht. Die Intention dahinter ist dabei verständlich: Mehr Systeme bedeuten auch mehr Hinweise auf Sicherheitsverstöße. Doch das führt noch lange nicht zu erhöhter Sicherheit. Um das Netzwerk tatsächlich sicherer zu machen, müssen Unternehmen all diese Meldungen konsequent zusammenführen und intelligent in Beziehung zueinander setzen.
Security-Daten miteinander in Verbindung bringen
Als wirkungsvolle Lösung bietet sich hier SOAR (Security Orchestration, Automation and Response) an. Dieses System kann riesige Datenmengen innerhalb kürzester Zeit verarbeiten und korrelieren. Durch die Auswertung der gesammelten Daten aller Security-Sensorik-Systeme auf einer Metaebene, werden die vorhandenen Maßnahmen mit maximaler Effizienz aufeinander abgestimmt. Die Lösung greift dabei auf unterschiedliche interne und externe Threat-Intelligence-Quellen zurück. Somit lassen sich False-Positive-Meldungen größtenteils herausfiltern. Zusätzlich ist es möglich, den Security-Mitarbeitern im Ernstfall ein vollständiges Bild des Angriffsvektors zu liefern.
„Ein SIEM kann potenzielle Sicherheitsvorfälle identifizieren, jedoch nicht feststellen, ob diese tatsächlich sicherheitsrelevant sind.“
Wolfgang Kurz, indevis
Um die Security weiter zu erhöhen, können die Logs nach dem Aufspüren einer schädlichen Datei oder eines bösartigen Codes auch nach ähnlichen Vorfällen gescannt werden. Mittels SOAR lassen sich hierfür auch Sicherheitsreaktionen auf sich wiederholende Vorfälle vollständig automatisieren. Dazu werden sogenannte Playbooks eingesetzt, die entweder bereits vordefiniert sind oder individuell erstellt werden. Ein SOAR kann die Anzahl an Alerts somit erheblich reduzieren, was der IT-Abteilung viel manuelle Fleißarbeit bei der Identifikation von False Positives erspart. Beschleunigte Reaktionen auf tatsächliche Vorfälle sind die positive Folge.
Cyberangriffe abwehren
Der effektive Schutz vor Cyberangriffen ist heute geschäftskritisch – vor allem im Hinblick auf grassierende Ransomware-Attacken und regelmäßigen Diebstahl von Unternehmens-Know-how. Dessen sind sich auch mittelständische Unternehmen bewusst. Die Installation von verschiedenen Security-Systemen allein ist angesichts der aktuellen Bedrohungslage aber nicht ausreichend. Stattdessen müssen die Informationen aus den verschiedenen Sensorik-Lösungen im Unternehmensnetzwerk intelligent korreliert werden.
Für Mittelständler ist dabei – vor allem im Hinblick auf den Fachkräftemangel – die Option interessant, auf externe Anbieter von Managed Detection & Response (MDR) zurückzugreifen. Ein guter MDR-Anbieter verfügt über die aktuellen Sicherheitslösungen in Form passender Soft- und Hardware und hält sie stets auf dem neuesten Stand. Er analysiert die Bedrohungssituation, informiert den Kunden bei Handlungsbedarf und unterstützt in konkreten Angriffssituationen. Eine gute Burgverteidigung braucht eben nicht nur Wälle und Gräben, sondern auch kluge, reaktionsstarke Wächter, die zusammenarbeiten. So sind die Netzwerke von mittelständischen Unternehmen genauso gut geschützt wie die der großen Konzerne.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.