Anbieter sind heute produktiver, flexibler und profitieren von vereinfachter Zusammenarbeit. Durch die allgegenwärtige Vernetzung, die immer häufiger auch Produktionsanlagen umfasst – Stichwort Industrie 4.0 – sind IT-Umgebungen allerdings zunehmend durch Cyber-Bedrohungen gefährdet. Das gilt für Unternehmen aller Größen und aus allen Industriezweigen. Security Intelligence hilft, Angriffe aufzuspüren und schnell sowie effizient darauf zu reagieren.
Mobilität, Cloud-Services und private, geschäftlich genutzte Endgeräte haben die früher klaren Grenzen der Unternehmensnetzwerke perforiert. Die Folge: Herkömmliche, punktuell an neuralgischen Stellen eingesetzte Sicherheits-Tools wie Firewalls und Antivirus-Lösungen allein können die IT-Infrastrukturen nicht mehr umfassend schützen.
Hinzu kommt, dass Hacker heute über ein umfangreiches Wissen verfügen und häufig auf enorme technische und finanzielle Ressourcen zugreifen können. Hacker suchen bei potenziellen Opfern zunächst nach Schwachstellen, die sie dann gezielt ausnutzen – ohne dass herkömmliche Sicherheitsprodukte dies registrieren. Daher kommt es immer öfter vor, dass Systeme unbemerkt über längere Zeiträume kompromittiert werden.
In dieser Situation ist ein neuer Ansatz für die Cyber-Sicherheit gefragt, der einen größeren Fokus auf das Erkennen ungewöhnlicher Ereignisse und das zügige Einleiten effizienter Gegenmaßnahmen konzentriert, statt nur auf die Prävention.
Herkömmliche Security-Sensoren wie Firewalls suchen nach auffälligem Verhalten und bekannten Signaturen schädlicher Aktivitäten. Sie erzeugen einen kontinuierlichen Strom möglicherweise sicherheitsrelevanter Daten – der IT-Sicherheitsteams schnell überlasten kann. Oft ist nur schwer nachzuvollziehen, welche Ereignisse tatsächlich ein Risiko darstellen und eine nähere Untersuchung erfordern.
Durch eine Security-Intelligence-Plattform lässt sich die Zeit die für Entdeckung und Beseitigung von Sicherheitsbedrohungen deutlich verringern.
Security Intelligence – richtig auf Bedrohungen reagieren. Unternehmen benötigen eine Lösung, mit der sie die Unmengen sicherheitsrelevanter Daten schnell sichten und das Risikoniveau potenzieller Bedrohungen beurteilen können. Damit das Sicherheitsteam so effizient wie möglich agieren kann, müssen so viele Informationen wie möglich verfügbar sein.
Cyber-Bedrohungen hinterlassen ihre Spuren in Log- und Maschinendaten, die permanent in der IT-Umgebung generiert werden. Dieser Datenfundus lässt sich forensisch auswerten. Erster Schritt ist das Aufspüren möglicher Risiken. Hierbei kommen manuelle und automatisierte Analysen zum Einsatz. Danach erfolgt das Qualifizieren der auffälligen Ereignisse. Potenzielle Risiken werden einer weiteren Analyse zugeführt und erste Gegenmaßnahmen eingeleitet.
Der folgende Prozess umfasst tiefgehende Untersuchungen der Ereignisse und das Einleiten geeigneter Gegenmaßnahmen. Dabei geht es u.a. darum, mögliche Auswirkungen schnellstens zu unterdrücken. Das IT-Sicherheitsteam profitiert dabei von umfassender Visibility, dem übergreifenden Ansatz sowie automatisierten Antwortszenarien. Im letzten Schritt werden sämtliche Spuren des Angriffs getilgt und mögliche Schäden behoben. Durch weitere Analysen kann das Unternehmen zudem von der Attacke lernen.
Ein effizientes Security-Intelligence-Konzept etabliert einen klar gegliederten und weitgehend automatisierten Workflow über jeden dieser Prozesse hinweg. Es kann die Zeit, die ein Unternehmen benötigt, um einen Cyber-Angriff zu entdecken und geeignet darauf zu reagieren, von einigen Monaten auf wenige Minuten reduzieren.
Roland Messmer, Regional Director – Central EMEA von LogRhythm
Illustration: © frank_peters/shutterstock.com