IT-Security-Daten sinnvoll verknüpfen
Abwehrbereite IT
Unternehmensnetze sind täglich Cyberangriffen ausgesetzt, Ransomware-Erpressung und Identitätsdiebstal gehören inzwischen zum Alltag. Dennoch erschöpfen sich die Abwehrmaßnahmen meist nach dem Aufbau umfangreicher Security-Sensorik. Die Herausforderung liegt aber gerade darin, die daraus generierten Sicherheitsdaten auf einer Metaebene zusammenzuführen. SOAR (Security Orchestration, Automation, and Response) und MDR (Managed Detection and Response) bieten eine effiziente Lösung.
Mittlerweile stellen sogar technisch unbedarfte Kriminelle ein großes Problem dar. Der Grund sind Ransomware-Kits. Dabei handelt es sich um im Darknet gehandelte Bündel von Softwarepaketen und professionell technischen Dienstleistungen, die es selbst technisch Unbedarften erlauben, erfolgreiche Angriffe auf Unternehmen auszuführen. Die Anzahl der Angriffe steigt dementsprechend. Im Visier der Verbrecher stehen dabei alle Branchen und Betriebsgrößen. Das setzt Unternehmen zunehmend in Zugzwang, mehr für die Sicherheit ihrer Netzwerke zu tun.
Oft sind Firewalls, Zwei-Faktor-Authentifizierung oder Identity-Management bereits in Betrieb. Bei Auffälligkeiten erzeugen die Sensoriksysteme sofort Meldung, können jedoch nicht unterscheiden, ob es sich bei der gemeldeten Auffälligkeit um einen tatsächlichen Angriff oder nur einen falschen Alarm handelt. Meldet das Identity-Management-System beispielsweise einen auffälligen Login-Versuch aus dem Ausland, ist es durchaus möglich, dass es sich dabei lediglich um einen Beschäftigten auf Auslandsreise handelt. Dennoch kommt es zu einem Alarm.
Aktive und passive Security-Sensorik
Es gibt verschiedene Arten von Sensoriksystemen. Passive Sensorik identifiziert und meldet einzelne Anomalien innerhalb des Systems. Aktive Sensorik ermöglicht es, verdächtige Vorgänge zu unterbinden. Sie fängt beispielsweise eine E-Mail mit potenziell gefährlichen Dateien im Anhang vor der Inbox ab und „sperrt“ sie in eine Sandbox. Dort können Fachleute die Dateien näher untersuchen und ausführen, ohne dass diese das Unternehmensnetzwerk bedrohen. Allerdings ist es auch mit aktiver Sensorik nicht möglich zu ermitteln, ob es im selben Netzwerk bereits zu ähnlichen Auffälligkeiten gekommen ist und die Wahrscheinlichkeit für einen gezielten Angriffsversuch steigt.
Erforderlich ist also ein System, mit dem sich die Logdaten aller eingesetzten Sensoriksysteme zentral sammeln und korrelieren lassen – kurz: SIEM (Security-Incident- und Event-Management). An ein SIEM-System schließt das Security-Team alle Sicherheitssysteme an, die es im Unternehmen einsetzt, und korreliert die erhobenen Analysedaten an zentraler Stelle – ein Fortschritt zum singulären Einsatz von Sensoriksystemen. Jedoch ist auch einer SIEM-Lösung nur möglich, Auffälligkeiten im System zu erkennen und zu melden. Die Einschätzung der Sicherheitsrelevanz verbleibt bei den IT-Fachleuten. Die Konsequenz davon ist eine massive Flut von Alerts und in der Folge oft eine Überlastung der IT-Abteilung.
Somit steigt die Gefahr, in der Masse der Alerts tatsächliche Gefahrenhinweise zu übersehen. Dieses Problem vergrößert sich dadurch, dass viele Unternehmen annehmen, viel helfe viel, und deshalb alle erdenklichen Security-Sensoriklösungen kombinieren. Im Grunde ist das keine falsche Vorgehensweise, immerhin bedeutet mehr Sensorik auch mehr Hinweise auf potenziell gefährliche Vorgänge. Solange man aber die verschiedenen Logdaten nicht in Verbindung bringt, kann es passieren, dass sich Cyberkriminelle in der Masse der Alerts verstecken und Unternehmen so das Gegenteil von dem erreichen, was sie eigentlich bezwecken wollten.
Um dies zu verhindern, ist es notwendig, die gesammelten Daten aus allen Security-Sensoriklösungen auf einer Metaebene auszuwerten. Im obigen Beispiel wäre eine solche Lösung imstande, aus einem vorher in der Sandbox als bösartig verifizierten E-Mail-Anhang Rückschlüsse für weitere Aktionen zu ziehen. Erhält ein Angestellter etwa eine E-Mail mit einem solch bösartigen Anhang, leitet das System diese sofort in die Sandbox um. Bekommt erneut jemand eine solche E-Mail, unterbindet das System sofort im laufenden Betrieb die Ausführung des schädlichen Anhangs, da die Analysedaten aus der Sandbox bereits vorliegen. Jede verifizierte Gefahr macht also das System für zukünftige Angriffe sicherer.
Eine solche intelligente und proaktiv reagierende Software bezeichnet man als SOAR-Lösung. Der Vorteil dieses Systems liegt besonders darin, riesige Datenmengen zu verarbeiten und gleichzeitig miteinander in Verbindung zu setzen. Es greift dabei auf verschiedene externe und interne Threat-Intelligence-Quellen (Threat Intelligence: Informationen über Bedrohungen) zurück und eliminiert so einen Großteil der Fehlalarme. So erhalten Security-Mitarbeiter schnell das komplette Bild eines Angriffsvektors. Dadurch kann das System das Netzwerk im aktiven Betrieb auf ähnliche Angriffe scannen und die Reaktionen auf ähnliche Vorfallsmuster mittels sogenannter Playbooks automatisieren. Externe Dienstleister liefern diese entweder vordefiniert mit oder aber das Unternehmen erstellt sie selbst. SOAR reduziert somit die Anzahl der Alerts massiv. Dies entlastet die IT-Abteilung und beschleunigt die Reaktion auf Vorfälle.
Dem IT-Fachkräftemangel begegnen
Warum zögern aber so viele Unternehmen bei der SOAR-Einführung? Der ausschlaggebende Grund ist meist der Fachkräftemangel: Oft fehlt ein dediziertes Team, das Daten aus SIEM und SOAR nach der Implementierung analysiert und Maßnahmen ableitet. Wenn IT-Abteilungen diese Aufgabe nicht stemmen können, empfiehlt sich die Zusammenarbeit mit einem MDR-Provider, der hier Entlastung bietet: Er bindet Logquellen und Datenbanken an und kümmert sich darum, das SOAR-System stets aktuell zu halten. Zudem beobachtet er das Bedrohungsgeschehen, informiert bei Handlungsbedarf das Anwenderunternehmen und liefert nicht zuletzt wirksame Unterstützung für Gegenmaßnahmen.
Die Verpflichtung eines MDR-Providers zieht das Unternehmen aber nicht vollkommen aus der Verantwortung. Denn der Provider benötigt einen Ansprechpartner, mit dem er eng zusammenarbeitet, um die Reaktion auf Angriffe sowie Verantwortlichkeiten für den Ernstfall zu definieren. Nur wenn diese Schnittstelle reibungslos funktioniert, gelingt es, Angriffe zu stoppen, bevor sie Schaden anrichten.
Den Unternehmen ist längst klar, dass die Abwehr von Cyberkriminalität absolut geschäftskritisch ist. Doch eine Installation von verschiedenen Sicherheitssystemen, die per Autopilot laufen, während die IT-Abteilung mühsam hinterherschnauft, ist kaum zweckdienlich. Für eine erfolgreiche Abwehr müssen Unternehmen die Logs aus den verschiedenen Security-Sensoren intelligent korrelieren und analysieren. In Anbetracht des Fachkräftemangels in der IT-Welt ist es ratsam, auf externe Partner und Anbieter von Managed Detection and Response (MDR) zurückzugreifen. Die Security-Fachleute implementieren Schnittstellen und integrieren die Logfiles vorhandener Sensoriksysteme als Logquellen auf einer zentralen MDR-Plattform, von der aus SOC-Teams (Security Operations Center) alles mittels aktueller SOAR-Technik auswerten. Dieser umfangreiche Schutz macht es Cyberkriminellen – gleichgültig ob mit oder ohne Sturmhaube – schwer, in das Unternehmensnetzwerk einzudringen.
Wolfgang Kurz ist Geschäftsführer und Gründer von Indevis.
Lesen Sie mehr zum Thema
