Von der Erfüllung gesetzlicher Compliance-Regularien bis hin zum umfassenden Schutz vor Cybergefahren.

Ohne Frage ist die Bedeutung der IT-Security mittlerweile jedem IT-Verantwortlichen bewusst – sei es in Unternehmen oder öffentlichen Organisationen. Dazu tragen alleine schon die vielen Berichte über Cyberangriffe und Schäden durch Malware in den Medien bei. Allerdings ist das Thema Informationssicherheit äußerst komplex. IT-Verantwortliche sind sich daher oftmals gar nicht darüber im Klaren, ob sie ausreichend vorbereitet sind beziehungsweise welche überhaupt die richtige Herangehensweise ist.

Nachfolgend wird in drei Schritten aufgezeigt, wie eine strukturierte Vorgehensweise aussehen kann.

Schritt 1:
Verschaffen Sie sich einen Überblick und bewerten
Sie Ihre individuellen Infrastrukturgegebenheiten

Zunächst ist es wichtig, die eigenen Beweggründe ehrlich zu hinterfragen: Sind überwiegend externe Compliance-Anforderungen der Treiber, werden die geeigneten Maßnahmen – aber auch die dafür notwendigen Budgets – andere sein, als wenn Cyber Defense als strategisches Risiko für das Unternehmen betrachtet wird. Nach wie vor wird die IT-Security häufig als begleitende Maßnahme zur Erreichung von Zertifizierungen wie ISO 27001 oder TISAX gesehen oder dient der Erfüllung gesetzlicher Verordnungen, beispielsweise dem IT-Sicherheitsgesetz, der KRITIS-Verordnung oder MaRisk im Bankenumfeld. Ist dies der Fall, liegt der Fokus erfahrungsgemäß auf der Erfüllung der jeweiligen Mindestanforderungen. Zwangsläufig wird sich das Budget dann am Notwendigen und nicht am maximal Machbaren orientieren. In diesem Fall finden sich in Schritt 2 geeignete Hinweise
zur weiteren Vorgehensweise. Kommt dem Thema Cyber Defense aus Unternehmenssicht hingegen eine strategische Bedeutung zu und wird kurz- oder mittelfristig ein hohes oder sehr hohes Schutzniveau auf dem aktuellen Stand der Technik angestrebt, werden in der Regel auch die entsprechenden Budgets bereitgestellt. Hinweise auf geeignete Maßnahmen und Technologien sind in Schritt 3 zu finden.

Unabhängig von den Beweggründen geht es in Schritt 1 primär darum, bestehende Sicherheitskonzepte und Sicherheitsmaßnahmen zu dokumentieren und mit der individuellen Gefährdungslage und der Exposition zu vergleichen. Eine Reifegrad-Analyse zeigt momentane Stärken und Schwächen in der Cybersicherheit des Unternehmens auf. Auf dieser Basis kann ein Leitfaden mit Checkliste als eine valide Entscheidungsgrundlage für weiterführende Maßnahmen erstellt werden. Unterstützung bieten in dieser Phase Cyber-Security-Checks, Schwachstellen-Analysen oder sogenannte Compromise Assessments. Diese Leistungen liefern bei meist überschaubaren Kosten valide Informationen und Bewertungen zur Sicherheitslage des Unternehmens und helfen, geeignete Maßnahmen festzulegen und zu priorisieren.

Schritt 2:
Setzen Sie Mindestanforderungen um

Auf Basis der vorgenommenen Bewertungen können in Schritt 2 erste Maßnahmen zur Verbesserung des Sicherheitsniveaus durchgeführt werden. Sind externe Anforderungen der maßgebliche Treiber, haben sich zwei Maßnahmen als besonders geeignet erwiesen. Denn in praktisch allen Zertifizierungsanforderungen oder -vorgaben wird einerseits eine Sammlung und strukturierte Auswertung von Logdaten mit dem Ziel der Anomalie-Erkennung gefordert. Andererseits ist zudem eine regelmäßige Überprüfung auf vorhandene Schwachstellen unverzichtbar. Die genaue Ausgestaltung und der Detaillierungsgrad mögen unterschiedlich sein, aber diese beiden Vorgehensweisen zur aktiven Erkennung von Schwachstellen und Anomalien werden neben den bereits vorhandenen präventiven Schutzmaßnahmen grundsätzlich gefordert.

SIEM-Lösungen.
SIEM-Systeme verwenden üblicherweise sogenannte Use Cases als Grundlage zur Erkennung von Ereignissen. Bei einem Use Case handelt es sich einfach gesagt um eine permanente Suchabfrage, die erkennt, ob und wann ein zuvor definiertes Ereignis eingetreten ist.

Die Mindestanforderung bei der Einführung von SIEM-Lösungen besteht darin, Verstöße gegen Compliance-Richtlinien oder Auffälligkeiten im Benutzerverhalten zu erkennen, die auf Security Incidents hindeuten. Die Use Cases stellen eine Basisüberwachung sicher, eignen sich jedoch nicht zur vollständigen Erkennung möglicher Cybergefahren. Zur Einrichtung der Use Cases sind normalerweise Standard-Logquellen (Active Directory-, Firewall-, VPN-, Proxy-Logs) ausreichend. Professionelle »SIEM as a Service«-Anbieter verfügen erfahrungsgemäß über Use-Case-Kataloge, aus denen der Kunde die für seine Anforderungen geeigneten Use Cases auswählen kann. Hierunter fallen unter anderem fehlgeschlagene Logins, Logins zu unüblichen Zeiten, gleichzeitige Logins desselben Benutzers von unterschiedlichen Standorten, Anlage oder Veränderung privilegierter Konten sowie die Deaktivierung von Protokollierungen. Zusätzlich lassen sich meist auch kundenspezifische Use Cases abbilden.

Schwachstellen-Management/Vulnerability Management.
Schwachstellen-Management- beziehungsweise Vulnerability-Management-Lösungen überwachen die IT-Infrastruktur regelmäßig präventiv auf bekannte Schwachstellen. So wird eine transparente Sicht auf vorhandene Schwachstellen und damit verbundene Risiken erreicht und gleichzeitig die Grundlage für eine strukturierte Bearbeitung geschaffen. Mit dem Ergebnis eines kontinuierlich steigenden Sicherheitsniveaus. Schwachstellen-Management-Lösungen stellen somit einen wichtigen präventiven Ansatz auf dem Weg zum besseren Schutz vor Cybergefahren dar. Zusätzlich ermöglichen diese Lösungen aber auch eine schnelle Identifizierung von neu aufgetretenen Schwachstellen und damit eine unmittelbare Reaktion darauf.

Während sich SIEM-Lösungen – insbesondere solche, die den Compliance-getriebenen Ansatz verfolgen – noch mit vertretbarem Aufwand selbst betreiben lassen, scheitern Kunden häufig am Umgang mit Vulnerability-Management-Lösungen. Denn diese Lösungen liefern bereits bei kleineren oder mittleren Unternehmensgrößen eine sehr hohe Anzahl von Schwachstellen, deren Bearbeitung und Beseitigung die Kunden-IT oftmals vor unüberwindbare Hürden stellt. Aus diesem Grund ist ein Schwachstellen-Management als Managed Service zu empfehlen, wobei besonders darauf zu achten ist, dass der Anbieter neben dem Betrieb der Lösung auch die Bewertung und Priorisierung der Schwachstellen übernimmt. Optimalerweise sollte er die Ergebnisse regelmäßig mit dem Kunden abstimmen und diesen beim zielgerichteten Umgang mit den Schwachstellen unterstützen. Bei diesen Leistungen handelt es sich um Threat Advisory oder Schwachstellen-Review.

Schritt 3:
Schützen Sie sich umfassend

Der nächste große Schritt hin zu einem umfassenden Schutz vor Cybergefahren stellt zum einen die Erweiterung der Anomalie-Erkennungstechnologien in Richtung Cyber Defense dar, zum anderen die professionelle, kontinuierliche Bewertung und Priorisierung durch Security-Analysten im Security Operations Center (SOC).

Wurde in Schritt 2 eine SIEM-Plattform implementiert, lässt sich diese verhältnismäßig einfach um spezielle Use Cases erweitern, die die typischen Angreifertechniken in den unterschiedlichen Phasen der Cyberangriffe erkennen. Dies erfolgt über die Auswertung der entsprechenden Logdaten. Auch für diesen Typ von Use Case verfügen Managed-SIEM-Anbieter üblicherweise über einen Use-Case-Katalog, der sich in der Regl am MITRE-ATT&CK-Modell orientiert. Für die Erkennung sind jedoch erweiterte Logquellen wie Sysmon- oder Powershell-Logs erforderlich, die auch zu einem erhöhten Logvolumen führen.

Alternativ oder in Ergänzung ist es ratsam, auch KI-basierte Ansätze zur Anomalieerkennung zu berücksichtigen. Diese Lösungen basieren auf Untersuchungen des Netzwerkdatenverkehrs oder des Benutzerverhaltens, nicht auf der Auswertung von Logdaten. Durch die Zunahme der verschlüsselten Datenübertragung gestaltet sich diese Analyse aber immer schwieriger. Deutlich an Bedeutung gewinnen deshalb Endpoint-basierte Detection & Response-Lösungen. Diese Lösungen konzentrieren sich wie der Name schon sagt auf den Endpoint, da dort zum einen unverschlüsselter Datenverkehr analysiert werden kann. Zum anderen vereinfachen die am Endpoint vorliegenden Informationen zu aktiven Prozessen, Usern und ausgeführten Kommandos die Erkennung von Angreifern und Malware deutlich.

Unabhängig von den verwendeten Plattformen zur Risikoerkennung ist nun der Punkt erreicht, an dem eine qualifizierte Analyse, Bewertung und Priorisierung der generierten Events erforderlich wird. In der Regel ist der Betrieb eines SOC für Unternehmen sehr anspruchsvoll und in den meisten Fällen auch unwirtschaftlich. Daher ist es sinnvoll, qualifizierte Security-Analysten im Rahmen eines Managed Service einzusetzen. Diese verfügen über profundes Verständnis der Angreifertechniken und -vorgehensweisen und gleichzeitig über notwendige Erfahrungen in Bezug auf Angriffsreaktionen. SOC-Services werden überwiegend in Form von Managed Services angeboten. Ein weiterer Vorteil von Managed Services besteht darin, dass Service Provider – im Gegensatz zum Eigenbetrieb – zusätzlich auf Erkenntnisse aus anderen Kundenumgebungen zurückgreifen und die weltweite Bedrohungslage bei der Bewertung von Incidents berücksichtigen können. Somit sind sie in der Lage, erstens schneller auf Incidents zu reagieren und zweitens Maßnahmen vorzuschlagen, die sich in anderen Security-Vorfällen als sinnvoll erwiesen haben, um den Schadenseintritt bereits präventiv zu verhindern.

Entscheidet man sich für einen externen SOC-Anbieter, ist es sinnvoll, dies bereits bei der Auswahl der SIEM- oder Vulnerability-Management-Lösungen zu berücksichtigen. Ansonsten besteht die Gefahr, dass die vorhandene Plattform gegebenenfalls ausgetauscht werden muss, wenn diese vom Wunschanbieter nicht unterstützt wird.

Als Systemintegrator und Managed Services Provider verfügt Controlware im Bereich Cyber Defense über ein umfassendes und modulares Service-Portfolio. Die IT-Experten unterstützen von der Analyse der konkreten IT-Security-Anforderungen über die Auswahl und Realisierung der individuellen Lösung bis hin zum umfassenden SOC-Betrieb als Managed Service. Controlware ist daher der ideale Partner rund um Cyber Defense Services – gleichgültig von Unternehmensgröße und Branche.

Zusammenfassung

Die richtige Herangehensweise an Cyber Defense ist vom individuellen Motiv abhängig.

Cyber-Security-Checks, Schwachstellen-Analysen oder sogenannte Compromise Assessments helfen, den eigenen Reifegrad zu ermitteln und die weiteren Schritte zu planen.

Modulare Lösungen lassen sich sinnvoll erweitern und schützen bereits getätigte Investitionen.

Managed Services tragen dazu bei, den betrieblichen Aufwand zu minimieren und die Bewertung und Priorisierung von Security Incidents zu verbessern.

Christian Bohr,
Head of Managed Services,
Controlware GmbH

www.controlware.de
blog.controlware.de

Illustration: © patrimonio designs ltd/shutterstock.com

1081 Artikel zu „Cyber Security 2021“

TRENDS 2021 | NEWS | TRENDS SECURITY | IT-SECURITY

Die drängendsten Cybersecurity-Probleme 2021 – Darauf müssen CIOs achten

27. Januar 2021

Während die analoge Welt im Jahr 2020 durch eine Pandemie in Schach gehalten wurde, sorgten im digitalen Raum cyberkriminelle Aktivitäten und Angriffe für zusätzliche Belastungen. Ganz gleich, ob es sich um die Zunahme von einfachen Phishing-Attacken oder eine der bislang größten aufgezeichneten DDoS-Attacken handelt: 2020 war auch das Jahr, in dem die Bedrohungslage durch Cyberkriminelle…

Von der Erfüllung gesetzlicher Compliance-Regularien bis hin zum umfassenden Schutz vor Cybergefahren.

Christian Bohr, Head of Managed Services, Controlware GmbH

1081 Artikel zu „Cyber Security 2021“

Christian Bohr,
Head of Managed Services,
Controlware GmbH