LogRhythm: Die Risiken durch Cyber-Bedrohungen gezielt reduzieren!

24.07.2015

Heute ist nahezu jedes Unternehmen von Cyber-Bedrohungen betroffen – ganz gleich, aus welcher Branche und ganz gleich welcher Größenordnung. Gemäß dem Weltwirtschaftsforum gehören der Diebstahl von Informationen sowie die a... (Read More)

von Roland Messmer, Director CEUR and EEUR, LogRhythm

Heute ist nahezu jedes Unternehmen von Cyber-Bedrohungen betroffen – ganz gleich, aus welcher Branche und ganz gleich welcher Größenordnung. Gemäß dem Weltwirtschaftsforum gehören der Diebstahl von Informationen sowie die absichtliche Unterbrechung von digitalen oder Online-Prozessen zu den bekanntesten Risiken, denen Unternehmen heute ausgesetzt sind. Fakt ist auch, dass ein Angreifer, der wirklich in ein Netzwerk eindringen will, dies auch schafft. Unternehmen sollten sich deshalb bewusst darüber sein, dass dies jederzeit passieren kann – wenn ihre Daten nicht schon kompromittiert wurden.

Viele Unternehmen konzentrieren sich darauf, Bedrohungen am Netzwerk-Perimeter zu aufzudecken und abzuwehren. Da die Grenzen des Netzwerks mehr und mehr verschwimmen werden diese Präventionsstrategien versagen – oder haben bereits versagt, wie die Hacker-Angriffe, die in jüngster Zeit Schlagzeilen machten, belegen. Hacker sind bekannt dafür, Unternehmen auszuspionieren bevor sie einen Angriff starten, um so die Schwächen in den Abwehrmechanismen aufzudecken. Obwohl es nach wie vor sehr wichtig ist, Angriffe zu verhindern, müssen Unternehmen erkennen, dass Hacker von Natur aus hinterhältig sind und ihre Präventivmaßnahmen umgehen können.

In den meisten Unternehmen liefern zahlreiche Sicherheitssensoren einen kontinuierlichen Strom an sicherheitsrelevanten Informationen und Ereignissen, wie beispielsweise Muster von Netzwerkaktivitäten, die für das Unternehmen untypisch sind. Auch haben die meisten Unternehmen in Erkennungstechnologien investiert, die Bedrohungen aufdecken und dabei Tausende von Events pro Stunde, in großen Unternehmen oftmals sogar pro Minute aufzeichnen. Dieser kontinuierliche Datenstrom schafft jedoch keine Transparenz und kann Sicherheitsverantwortliche überfordern. Zudem ist es eine große Herausforderung, die Bedrohungen, die ein echtes Risiko darstellen und eine weitere Untersuchung erfordern, zu erkennen. Hinzu kommt, dass sich viele Bedrohungen mit herkömmlichen Sicherheitssensoren gar nicht identifizieren lassen und eine andere Herangehensweise erfordern.

Um Transparenz zu schaffen und Bedrohungen, die ein erhebliches Risiko darstellen und eine schnelle Reaktion erfordern, zu erkennen, müssen Unternehmen einen Weg finden, diese Unmengen an Daten zu bewältigen. Security Intelligence kann dies leisten.

Die Bedeutung von Security Intelligence

Effektive IT-Sicherheit erfordert hochqualifizierte Fachkräfte, durchdachte Richtlinien und Prozesse sowie eine Reihe von integrierten Technologien. Da die Zahl der Cyber-Bedrohungen kontinuierlich steigt und die Angriffsmethoden immer raffinierter werden, sind Sicherheitstechnologien, die den menschlichen Sachverstand unterstützen und erweitern, geschäftskritisch, um möglicherweise schädliche Bedrohungen erfolgreich zu erkennen und darauf zu reagieren. Business Intelligence ermöglicht es Unternehmen seit vielen Jahren, scheinbar unzusammenhängende Daten in Beziehung zu setzen und so neue Geschäftschancen zu erkennen. Security Intelligence leistet dies für Bedrohungsinformationen und ermöglicht es, alle relevanten Bedrohungen zu erkennen und so schnell und effizient wie möglich darauf zu reagieren.

Cyber-Bedrohungen lassen sich üblicherweise in den zugrunde liegenden forensischen Daten nachweisen. Diese setzen sich aus Log- und Maschinendaten zusammen, die kontinuierlich von jedem Server, jedem Endgerät, jeder Anwendung, jeder Datenbank und jeder Sicherheitslösung in der gesamten IT-Umgebung generiert werden. Zusätzliche zielgerichtete, forensische Sensoren für alle Server, Endgeräte und für das gesamte Netzwerk schaffen einen Einblick in alle forensischen Aktivitäten. Sie erkennen in den Unmengen an generierten Daten klare Indikatoren für Bedrohungen und liefern Einblicke in diese Informationen. Dies ist der Schlüssel dazu, Bedrohungen zu erkennen, die einen Schaden anrichten können und Unternehmen einem Risiko aussetzen. Security Intelligence hat zum Ziel, diese Daten zu analysieren und den Verantwortlichen die richtigen Informationen zur richtigen Zeit und im richtigen Zusammenhang zu liefern, um so den Zeitaufwand, Bedrohungen aufzudecken und Gefahren zu beheben, erheblich zu reduzieren.

Auf Bedrohungen richtig reagieren

Es gibt zwei Schlüsselkennzahlen, die Unternehmen berücksichtigen müssen, wenn sie ihr Sicherheitsniveau einschätzen möchten – die Mean-Time-to-Detect (mittlere Zeit bis zur Entdeckung einer Bedrohung) sowie die Mean-Time-to-Respond (mittlere Zeit bis zur Reaktion auf eine Bedrohung). Im Moment betragen diese Zeitspannen in den meisten Unternehmen noch Wochen oder sogar auch Monate. Verizons Bericht “Data Breach Disclosure” zeigt, dass in nahezu 80 Prozent aller Fälle der Zeitaufwand für einen Angreifer, ein System zu kompromittieren, nur Tage oder Stunden dauerte, wohingegen Unternehmen nur 35 Prozent der Sicherheitsverstöße in diesem Zeitrahmen erkannt haben

Je länger sich ein Eindringling unerkannt in einer IT-Umgebung bewegen kann, desto größer ist natürlich auch der Schaden, den er anrichten kann, und das Unternehmen ist in zunehmendem Maße angreifbar. Unternehmen, die ihr Sicherheitsrisiko gezielt senken möchten, sollten deshalb auf Security Intelligence setzen, um so die Zeitspanne für die Erkennung und die Reaktion auf Bedrohungen deutlich zu senken – auf Tage, Stunden oder idealerweise Minuten.

Obgleich das Konzept von Security Intelligence sehr einfach erscheint müssen dennoch eine Reihe an Prozessen aufsetzt werden. Eine effektive Plattform für Security Intelligence ermöglicht es im Idealfall Workflows für die verschiedenen Prozesse aufzusetzen und einen möglichst hohen Automatisierungsgrad zu erzielen.

Die “Erkennung” ist der erste Schritt, um die Bedrohungen, die ein Risiko darstellen, aufzudecken und diejenigen Bedrohungen aus der Menge an forensischen Daten auszuwählen, die eine weitere Analyse erfordern. Grundsätzlich gibt es hier zwei Arten von Analysen: die User-Analyse, die Mitarbeiter aktiv ausführen, um Bedrohungen in der IT-Umgebung zu erkennen, und die Maschinen-Analyse, die durch Software erfolgt und die alle erfassten forensischen und Ereignis-Daten kontinuierlich überwacht und auswertet.

Der nächste Schritt die “Qualifizierung“ – ein wichtiger Schritt, der weiterführende Analysen der Bedrohungen umfasst, um festzustellen, welches Risiko diese darstellen. Korrekt ausgeführt, sollten hier alle echten Bedrohungen, die eine weitere Analyse oder eine Reaktion erfordern, erkannt werden. In diesem Schritt sollte auch die Zahl der False-Positives, also der Bedrohungen, die fälschlicherweise als solche identifiziert wurden, reduziert werden.

Falls in diesem Qualifizierungsprozess ein Risiko als solches eingestuft wird, können die Sicherheitsverantwortlichen weitere Untersuchungen durchführen und Maßnahmen einleiten. Das Ergebnis der Schritts „Analyse“ ist die abschließende Feststellung, ob die Bedrohung ein Risiko darstellt und – falls dem so ist – die Einleitung von Gegenmaßnahmen.

Der Schritt “Maßnahmenergreifung” ist in hohem Maße von dem Know-how über die eigentliche Ursache und über die Auswirkungen der Bedrohung abhängig. Ebenso wichtig ist es, zu wissen, was dann zu tun ist. Dieser Schritt ist sehr zeitkritisch. Deshalb müssen Sicherheitsverantwortliche einen tiefen Einblick in alle Aktivitäten haben, die mit dieser Bedrohung in Zusammenhang stehen, und über unternehmensweite Tools für die Zusammenarbeit, Wissensdatenbanken und automatisierte Funktionen für Reaktionsmaßnahmen verfügen.

Der letzte Schritt, die “Wiederherstellung”, ist essentiell. Dieser Schritt umfasst die Eliminierung der Bedrohung und die Bereinigung der Systeme. Zudem müssen Sicherheitsverantwortliche hierbei entsprechende Berichte zur den Ereignissen und Sicherheitsverstößen verfassen und eine Ursachenanalyse durchführen, um zu gewährleisten, dass diese Ereignisse in Zukunft nicht mehr auftreten können.

Der Security-Intelligence-Reifegrad

Mit den richtigen Systemen können Unternehmen ihren Security-Intelligence-Reifegrad erhöhen und eine Sicherheitsinfrastruktur aufbauen, die zielgerichteten, risikoreichen und komplexen Angriffen standhält und sie optimal schützt. Erhöhen Unternehmen ihren Security-Intelligence-Reifegrad, können sie die Zeitspanne, eine Bedrohung zu erkennen und diese abzuwehren, erheblich verkürzen und das Risiko einer Schädigung durch Cyber-Attacken enorm senken.

http://www.verizonenterprise.com/DBIR/2015/