Security Monitoring was ist das?

100 Tage befinden sich Angreifer durchschnittlich im Unternehmen, bevor sie entdeckt werden. Wie kann man das verhindern und wie kann man Cyberangriffe frühzeitig erkennen und darauf reagieren, bevor der Schaden zu groß wird? Die Antwort auf diese Fragen lautet „Security Monitoring“.
Wie das funktioniert, erklärt Julia Jaeger in diesem Video.

Juli 1, 2021 by Julia Jaeger

Security Monitoring was ist das?

100 Tage befinden sich Angreifer durchschnittlich im Unternehmen, bevor sie entdeckt werden. Wie kann man das Verhindern und wie kann man Cyberangriffe frühzeitig erkennen und darauf reagieren, bevor der Schaden zu groß wird? Die Antwort auf diese Fragen lautet „Security Monitoring“.

Wie das funktioniert, erkläre ich in diesem Video.

Laut einer Studie von Fireeye befindet sich ein Angreifer im Durchschnitt 100 Tage im Netzwerk des Unternehmens, bevor dieser erkannt wird. Und jetzt kommt etwas, womit man nicht rechnen würde. Der Angreifer wird in den meisten Fällen durch externe Stellen erkannt. „Wie kann das sein“ fragt man sich jetzt.

Oft ist es so, dass Unternehmen A einen Angreifer in der IT-Infrastruktur hat und dies nicht bemerkt. Unternehmen B, welches über eine bessere IT-Security verfügt, stellt fest, dass es eine E-Mail mit Malware von dem infizierten Unternehmen A erhalten hat. Daraufhin kontaktiert Unternehmen B das Unternehmen A. Nun weiß Unternehmen A, dass es einen Angreifer in der IT-Infrastruktur hat. Daraufhin beginnt die Analyse, um die betroffenen Systeme zu finden.

Dadurch, dass der Angreifer nur entdeckt wurde, weil er Malware an ein anderes Unternehmen schickte, kann sich ja denken, wie viele Angreifer unentdeckt bleiben, wenn sie sich ruhig verhalten.

Hier kommt nun Security Monitoring ins Spiel.

Security Monitoring: Unter Security Monitoring versteht man alle Aktivitäten, die darauf ausgerichtet sind, die IT-Umgebung im Unternehmen aus Sicht der IT-Security zu beobachten. Es wird hierbei darauf geachtet, ob potenzielle Bedrohungen erkannt werden können. Als zentrales Tool wird für Security Monitoring meistens ein SIEM verwendet. Was ein solches SIEM ist, dazu verlinke ich hier ein anderes Video. SIEM was ist das?

Ein SIEM kann man sich als eine große Datenbank vorstellen. Diese speichert Log-Informationen von verschiedenen Systemen. Das bedeutet, dass Logs von Endpunkten wie Laptops oder Servern in dem SIEM gespeichert werden. Außerdem ist es auch möglich die Logs von Netzwerkgeräten wie Routern und Switches in dem SIEM zu speichern und zu verarbeiten.

Im Unternehmen existieren oft eine große Menge an unterschiedlichen Tools für IT-Security. Hier möchte ich die zum Beispiel AntiViren Scanner, IDS/IPS-Systeme oder Firewalls nennen. Diese Tools verfolge eine ganz bestimmte Aufgabe und sie erzeugen Alarme, wenn etwas Auffälliges passiert. Diese Alarme können auch im SIEM gespeichert werden, damit sie zur weiteren Analyse bereitstehen.

100 Tage befinden sich Angreifer durchschnittlich im Unternehmen, bevor sie entdeckt werden. Wie kann man das verhindern und wie kann man Cyberangriffe frühzeitig erkennen und darauf reagieren, bevor der Schaden zu groß wird? Die Antwort auf diese Fragen lautet „Security Monitoring“. Wie das funktioniert, erkläre ich in diesem Video.

Security Monitoring

Das Security Monitoring wird oft in einem Unternehmensbereich betrieben, der sich Security Operations Center oder kurz SOC nennt. Hierzu verlinke ich hier ein Video in dem SOC näher erklärt wird. Wie baut der vCISO ein SOC auf? (Security Operation Center)

Im SOC arbeiten Security Analysten, welche die IT-Infrastruktur des Unternehmens überwachen. Dazu nutzen sie die Informationen, die im SIEM gespeichert sind. Dadurch, dass ein SIEM Informationen aus unterschiedlichen Quellen enthält, kann man diese Informationen miteinander in Verbindung setzen. Das wird auch als Korrelation bezeichnet. Durch die Korrelation von Informationen ist es für die Security Analysten möglich, Zusammenhänge über mögliche Cyber-Angriffe zu erkennen. Eine Erkennung von Cyber-Angriffen kann aber nur erfolgen, wenn es vordefinierte SIEM Use Cases gibt. Ein Video über SIEM Use Cases und deren Nutzen, verlinke ich hier. SIEM Use Case was sind das?

SIEM Use Cases beschreiben bestimmte Angriffsmuster, die man mithilfe eines SIEM erkennen will. Ein Beispiel hierfür ist ein Brute-Force Angriff auf einen internen Server Login. Der Use Case würde nun darauf achten, ob jemand eine große Anzahl an Passwörtern für einen bestimmten Benutzer testet, um sich auf dem Server einloggen zu können. Wenn es in dem SIEM diesen Use Case gibt, dann kann man für den Fall, dass ein solches Ereignis eintritt, einen Alarm generieren. So erkennt der Security Analyst, dass etwas Auffälliges in der IT-Umgebung stattfindet und kann direkt mit seinen Nachforschungen beginnen. Er würde zunächst einmal schauen, ob es sich hierbei um einen Fehlalarm handelt. Hierbei spricht man auch von „false positives“. Fehlalarme entstehen, wenn SIEM Use-Case-Regeln nicht ausreichend getunt wurden. Es ist bei internen Ereignissen manchmal nicht einfach zwischen einem Angreifer und einem Admin zu unterscheiden. Beide führen unter Umständen die gleichen auffälligen Aktionen aus, die ein normaler Benutzer nicht machen würde. Daher muss der gesamten Kontext betrachtet werden, um entscheiden zu können, ob die gefundene Auffälligkeit eine normale Admin Tätigkeit war oder, ob es sich hierbei um einen möglichen Angreifer handelt.

Security Monitoring ist ein komplexes Gebiet, welches Schnittstellen zu sehr vielen Bereichen im Unternehmen hat. Es muss darauf geachtet werden, dass die gespeicherten Informationen Datenschutz-konform sind. Außerdem ist es wichtig bei der Beurteilung der SIEM Use Cases den Betriebsrat mit einzubinden. Durch die Analyse der internen IT-Infrastruktur kann es schnell passieren, dass man ungewollt Mitarbeiter überwacht. Dies versucht der Betriebsrat zu verhindern. Daher ist es wichtig, den Betriebsrat frühzeitig bei der Erstellung der SIEM Use Cases mit einzubinden, denn sonst kann das Security Monitoring ganz schnell zu Ende sein.

Security Monitoring ist also wichtig, um herauszufinden, welche Cyber-Angriffe stattfinden. Wenn es nun zu einem Cyber-Angriff kommt und die Security Analysten herausgefunden haben, dass es kein Fehlalarm war, dann muss dieser Spur nachgegangen werden. Hierfür ist das Security Incident Management zuständig. Was genau Security Incident Management ist, dazu verlinkte ich hier ein anderes Video. Incident Response was ist das? (Incident Response Management leicht erklärt)

Das Security Incident Management übernimmt nun den aufgetretenen Sicherheitsvorfall und beginnt mit der Analyse. Hierzu wird geschaut, was überhaupt passiert ist, welche Systeme betroffen sind, wer informiert werden muss und wie mit dem Sicherheitsvorfall umzugehen ist.

Nachdem der Sicherheitsvorfall bearbeitet wurde und dessen vollständige Analyse abgeschlossen ist, kann ein sogenanntes „Lessons Learned“ durchgeführt werden. Hierbei setzen sich alle, an der Analyse beteiligten Unternehmensteile, zusammen und besprechen, wie die IT-Security verbessert werden kann, damit es nicht erneut zu einem solchen Sicherheitsvorfall kommt. Die gewonnen Erkenntnisse können dazu führen, dass neue Maßnahmen eingeführt werden müssen, dass bestehende Maßnahmen verbessert werden, oder dass die Regeln für die SIEM Use Cases im Security Monitoring optimiert werden. Alle getroffenen Entscheidungen haben das Ziel bei einem ähnlichen Angriff in der Zukunft schneller reagieren zu können und die Erkennung und den Schutz des Unternehmens zu verbessern.

Wenn Ihn dieses Video gefallen hat, dann hinterlassen Sie einen like und abonnieren Sie meinen Kanal: Dr. Michael Gorski – IT-Sicherheit

Author: Julia Jaeger

Schreibe einen Kommentar