Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
36 LANline 10 2022 www lanline de Security IT-Security -Daten sinnvol l verknüpfen Abwehrbereite IT Unternehmensnetze sind täglich Cyberangriffen ausgesetzt Ransomware-Erpressung und Identitätsdiebstal gehören inzwischen zum Alltag Dennoch erschöpfen sich die Abwehrmaßnahmen meist nach dem Aufbau umfangreicher Security-Sensorik Die Herausforderung liegt aber gerade darin die daraus generierten Sicherheitsdaten auf einer Metaebene zusammenzuführen SOAR Security Orchestration Automation and Response und MDR Managed Detection and Response bieten eine effiziente Lösung Mittlerweile stellen sogar technisch unbedarfte Kriminelle ein großes Problem dar Der Grund sind Ransomware-Kits Dabei handelt es sich um im Darknet gehandelte Bündel von Softwarepaketen und professionell technischen Dienstleistungen die es selbst technisch Unbedarften erlauben erfolgreiche Angriffe auf Unternehmen auszuführen Die Anzahl der Angriffe steigt dementsprechend Im Visier der Verbrecher stehen dabei alle Branchen und Betriebsgrößen Das setzt Unternehmen zunehmend in Zugzwang mehr für die Sicherheit ihrer Netzwerke zu tun Oft sind Firewalls Zwei-Faktor-Authentifizierung oder Identity-Management bereits in Betrieb Bei Auffälligkeiten erzeugen die Sensoriksysteme sofort Meldung können jedoch nicht unterscheiden ob es sich bei der gemeldeten Auffälligkeit um einen tatsächlichen Angriff oder nur einen falschen Alarm handelt Meldet das Identity-Management-System beispielsweise einen auffälligen Login-Versuch aus dem Ausland ist es durchaus möglich dass es sich dabei lediglich um einen Beschäftigten auf Auslandsreise handelt Dennoch kommt es zu einem Alarm Aktive und passive Security-Sensorik Es gibt verschiedene Arten von Sensoriksystemen Passive Sensorik identifiziert und meldet einzelne Anomalien innerhalb des Systems Aktive Sensorik ermöglicht es verdächtige Vorgänge zu unterbinden Sie fängt beispielsweise eine E-Mail mit potenziell gefährlichen Dateien im Anhang vor der Inbox ab und „sperrt“ sie in eine Sandbox Dort können Fachleute die Dateien näher untersuchen und ausführen ohne dass diese das Unternehmensnetzwerk bedrohen Allerdings ist es auch mit aktiver Sensorik nicht möglich zu ermitteln ob es im selben Netzwerk bereits zu ähnlichen Auffälligkeiten gekommen ist und die Wahrscheinlichkeit für einen gezielten Angriffsversuch steigt Erforderlich ist also ein System mit dem sich die Logdaten aller eingesetzten Sensoriksysteme zentral sammeln und korrelieren lassen – kurz SIEM Security-Incidentund Event-Management An ein SIEM-System schließt das Security-Team alle Sicherheitssysteme an die es im Unternehmen einsetzt und korreliert die erhobenen Analysedaten an zentraler Stelle – ein Fortschritt zum singulären Einsatz von Sensoriksystemen Jedoch ist auch einer SIEM-Lösung nur möglich Auffälligkeiten im System zu erkennen und zu melden Die Einschätzung der Sicherheitsrelevanz verbleibt bei den IT-Fachleuten Die Konsequenz davon ist eine massive Flut von Alerts und in der Folge oft eine Überlastung der IT-Abteilung Somit steigt die Gefahr in der Masse der Alerts tatsächliche Gefahrenhinweise zu übersehen Dieses Problem vergrößert sich dadurch dass viele Unternehmen annehmen viel helfe viel und deshalb alle erdenklichen Security-Sensoriklösungen kombinieren Im Grunde ist das keine falsche Vorgehensweise immerhin bedeutet mehr Sensorik auch mehr Hinweise auf potenziell gefährliche Vorgänge Solange man aber die verschiedenen Logdaten nicht in Verbindung bringt kann es passie-Ein professioneller MDR-Dienstleister orchestriert die beim Anwenderunternehmen eingesetzte Sicherheitstechnik betreibt das SOAR-System und hält es stets auf dem neuesten Stand Bild Indevis