alphaspirit - stock.adobe.com
Wichtige Gründe für ein kontinuierliches Security-Monitoring
Mit einem kontinuierlichen Security-Monitoring werden laufend Daten im gesamten Netzwerk eines Unternehmens gesammelt. Damit lassen sich Sicherheitsvorfälle schneller aufklären.
Ein kontinuierliches Monitoring des gesamten Netzwerks auf sicherheitsrelevante Ereignisse kann sehr nützlich sein, wenn es um die Erkennung von Bedrohungen und um angepasste Reaktionen auf sie geht. Die zusätzlichen Daten, die durch das fortlaufende Monitoring anfallen, erleichtern es Unternehmen vor allem, schneller Untersuchungen möglicher Sicherheitsvorfälle einzuleiten.
Ein CSM-Programm (Continuous Security Monitoring) läuft aber nicht nur rein automatisiert ab. Es sorgt auch für Echtzeit-Einblicke in das gesamte Netzwerk und in die Security-Umgebung eines Unternehmens. Es kann also eingesetzt werden, um fortwährend nach neuen Bedrohungen, Schwachstellen und fehlerhaften Konfigurationen zu suchen. So werden die Sicherheitsspezialisten des Unternehmens sofort gewarnt, wenn eine potentielle Gefahr für das Netzwerk entdeckt wurde.
Auch manche Regulierungsbehörden setzen zunehmend auf Continuous Security Monitoring. In den USA gibt es etwa den NYCRR 500 Standard des New Yorker Departments of Financial Services. Er schreibt bestimmte Penetrationstests und Schwachstellenscans vor, wenn in einem Unternehmen noch kein CSM-Programm aufgebaut wurde. Damit sollen Penetrationstests und Schwachstellen-Management aber nicht als weniger wichtig dargestellt werden. Die Initiative zeigt vielmehr das Interesse einiger staatlicher Behörden, kontinuierliches Monitoring als essentiellen Teil der Cybersicherheit zu etablieren. Hierzulande ist das jedoch noch nicht der Fall. Aber das kann nicht nur in Anbetracht der Datenschutz-Grundverordnung (DSGVO) noch kommen.
Aufbau eines CSM-Programms
Continuous Monitoring beschäftigt sich mit Prozessen, die laufend in Bewegung sind. Nehmen wir als Beispiel den Bereich Risikotoleranz, der Auswirkungen auf ein zu errichtendes Programm hat. Wenn einem Unternehmen nicht bekannt ist, welche Risiken für seine Umgebung bestehen oder welches seine kritischen Besitztümer sind, wird es äußerst schwierig, Prozesse zu definieren, mit denen sich Gefahren abwehren lassen.
Bevor mit der Erstellung eines Security-Programms begonnen wird, sollten deswegen immer zuerst die tatsächlichen Risiken erkannt und verstanden werden, die für eine Umgebung bestehen. Das Gleiche gilt für alle Maßnahmen im Bereich Continuous Monitoring. Legen Sie beispielsweise fest, wie Alarme ausgelöst werden sollen und wie Ihre Maßnahmen zur Threat Intelligence je nach Schwere, Auswirkung und Risiko einer Bedrohung erweitert werden können. Erstellen Sie auf dieser Basis einen strategischen Plan, der bei Sicherheitsvorfällen greifen kann. Ansonsten stehen einem Security-Tool oder auch einem Analysten nur begrenzte Informationen über den Kontext eines Vorfalls und über die generell erwünschte Vorgehensweise zur Verfügung.
Bei der Umsetzung eines Programms zum Continuous Monitoring können Sie nicht auf geeignete Tools und Techniken verzichten. Dabei geht es aber nicht darum, ob sich ein Unternehmen auf Open-Source-Lösungen, proprietäre Software oder eine Kombination aus beidem festlegt. Viel wichtiger ist, wie damit Daten gesammelt werden und wie sie sich in Anbetracht ihres individuellen Risikoprofils nutzen lassen. Außerdem ist wichtig, wie Alarme ausgelöst werden, welche Eskalationsstufen zur Verfügung stehen und wie Berichte erstellt werden können. Die am häufigsten für diese Governance-Prozesse eingesetzten Werkzeuge stammen aus dem SIEM-Umfeld (Security Information and Event Management). Außerdem werden Schwachstellenscanner, Patch-Management-Systeme, Inventarisierungs-Software und eventuell weitere Netzwerk-Sicherheits-Tools benötigt.
Das Ziel ist dabei, sicherheitsrelevante Daten in der gesamten Umgebung zu erfassen, so dass die Administratoren und Analysten ihre Aufgaben erfüllen und die Systeme wirksam überwachen können. Ein CSM-Programm nimmt erst dann konkrete Formen an, wenn automatisch ausgelöste Alerts und ein Priorisieren der auftretenden Vorfälle einen Pool mit Informationen aus den betroffenen Systemen gebildet haben.
Ohne die Fähigkeit, schnelle Entscheidungen auf Basis dieser zusammengeführten, miteinander abgeglichenen und orchestrierten Daten zu treffen, kann es leicht zu Fehlern durch die damit befassten Menschen kommen.
CSM-Systeme sind dagegen in der Lage, viele grundlegende Aufgaben zu erfüllen, die erfahrene Analysten bislang selbst erledigen müssten. Ansonsten müssten sie sich eigenhändig die für ihre Aufgaben benötigten Informationen zusammensuchen und auswerten, um fundierte Entscheidungen treffen zu können. Ein Programm zum Continuous Security Monitoring ist allerdings niemals ein vollwertiger Ersatz für einen gut ausgebildeten und erfahrenen Security-Analysten, sondern nur ein äußerst nützliches Werkzeug, mit dem er seine Aufgaben besser und schneller erfüllen kann.
Prozeduren zur Eskalation der Maßnahmen
Die Eskalation der erforderlichen Maßnahmen ist die nächste Stufe in einem CSM-Programm. Es geht nicht ohne diese vordefinierten Eskalationsschritte, um ein sicheres Management der in einem Unternehmen vorhandenen Ressourcen dauerhaft garantieren zu können. Sicherheitsspezialisten, die sich um die exponierten Systeme eines Unternehmens kümmern, sind aber meist nicht die Personen, die hier Maßnahmen ergreifen können. Wenn eine Automatisierung eingeführt wurde, dann kann das Security-Team möglicherweise die Isolierung eines Systems oder andere Maßnahmen zur Begrenzung eines Vorfalls einleiten. Nicht selten müssen sie diese Aufgabe aber an andere Abteilungen übergeben.
Die Richtlinien zu Sicherheitsvorfällen sollten deswegen genau festlegen, wer in einem Notfall informiert werden muss und was dann geschehen soll. Praktische Übungen sind ein probates Mittel, um solche Situationen zusammen mit allen betroffenen Mitarbeitern zu trainieren.
Beachten Sie aber, dass ein CSM-Programm keine statische Lösung ist. Laufend muss es angepasst und verbessert werden, um seine Wirksamkeit zu erhalten. Nur so bleibt es so dynamisch und agil, wie es zum Schutz der Systeme und Netzwerke in Ihrem Unternehmen benötigt wird. Auch die Angreifer passen ihre Methoden laufend an. Deswegen müssen auch die Monitoring-Programme kontinuierlich optimiert werden, so dass sie auch in Zukunft flexibel auf Vorfälle reagieren können.