Anzeige: consistec plädiert für Security durch Monitoring und Analyse

Der Weg zu Sicherheit beginnt mit Transparenz

26. Februar 2021, 13:00 Uhr   |  Dr.-Ing. Thomas Sinnwell

Der Weg zu Sicherheit beginnt mit Transparenz
© Consistec

Der Weg zu Sicherheit beginnt mit Transparenz.

Für Unternehmen stellen Cyber-Attacken, neben technischen Problemen, eine immer größer werdende Bedrohung mit dem Risiko des kompletten Ausfalls von IT- und OT-Systemen dar. Meist wiegen sich gerade jene Unternehmen in Sicherheit, die bislang noch nicht zum Ziel einer Cyber-Attacke wurden, Virenschutzsoftware einsetzen und den Unternehmensperimeter mit einer leistungsfähigen und gut konfigurierten Firewall schützen. Wenn diese Maßnahmen auch dazu dienen, ein Gefühl der Sicherheit zu etablieren, so ist dieses Gefühl doch leider trügerisch.

Auch in Unternehmen, die beim Thema IT-/OT-Sicherheit schon weiter fortgeschritten agieren, kommt die Frage nach dem hinreichenden Maß an Sicherheit auf. Doch diese Frage ist nicht leicht zu beantworten. Das Ziel hundertprozentiger Sicherheit erscheint zu Recht naiv, denn es ist für Unternehmen, die einen Zugang zum Internet benötigen und Mitarbeiter beschäftigen, schlicht nicht erreichbar. Um ein ausgewogenes Maß an Sicherheit zu definieren, müssen Faktoren wie die genaue Kenntnis der IT-/OT-Infrastruktur und ihrer Schwachstellen in die Bewertung einfließen. Nicht zuletzt spielt auch der menschliche Faktor im Sinne einer Schwachstelle eine wichtige Rolle. Schließlich müssen die bestehenden Risiken bewertet und daraus geeignete Maßnahmen abgeleitet werden, bei denen es sich sowohl um organisatorische als auch um technische Maßnahmen handeln kann.

Diese Themen lassen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) oder beim National Institute of Standards and Technology (NIST) erschöpfend recherchieren. Beide Institutionen bieten umfassende Informationen, konkrete Anleitungen und praktikable Ansätze zur Risikobewertung. Doch weder das BSI, noch das NIST beantworten die Frage nach dem richtigen Maß an Sicherheit.

Wie sicher ist sicher genug?

Aktuell wird in vielen Web-Security-Konferenzen und Webinaren die plakative Aussage verbreitet: „80% ist das neue 100 %“. Im Sinne des Pareto-Prinzips trifft diese Aussage auch grob auf die Realität zu. Lassen sich die ersten 80 % Sicherheit noch mit begrenztem Aufwand erreichen, so benötigen die restlichen 20 % überproportional viele Ressourcen. Doch was wird für die 80 % Sicherheit überhaupt benötigt?

Hilfreich zur individuellen Beantwortung der Frage ist der Umstand, dass Angreifer in der Regel ökonomisch vorgehen. Letztendlich geht es bei einem Großteil der Angriffe darum, durch Erpressung oder Datendiebstahl finanzielle Forderungen an das Unternehmen zu erheben bzw. Geld zu verdienen. Insofern muss es Ziel sein, für Angreifer unattraktiv zu werden. Erreichen lässt sich dies durch ganz unterschiedliche Maßnahmen wie Awareness-Training für Mitarbeiter, sichere Passwörter, Perimeterschutz mit Firewall und ggf. Intrusion Detection/Prevention, Virenschutz, Patch-Management, Schutz und Überwachung von Fernwartungszugängen, Netzwerk-Segmentierung und ggf. Endpoint-Protection. Da nahezu kein CISO oder IT-Security-Beauftragter über dehnbare Budgets verfügt, müssen die zu ergreifenden Maßnahmen an die jeweiligen Risiken angepasst werden, wenn ein finanzierbares Gesamtkonzept umgesetzt werden soll.
 
Hilfreich ist es in diesem Kontext, die aktuellen Angriffsszenarien zu kennen. Diese finden sich beim BSI in den jährlichen Top-10-Listen oder detaillierter, und ggf. auch auf die eigene Branche zugeschnitten, bei Thread Intelligence Anbietern.

Wissen Sie, was in Ihrem Netzwerk passiert?

Bei einer Umfrage von Forrester-Research unter 665 europäischen IT- und Security-Verantwortlichen im Februar 2020 haben 57 % der Befragten angegeben, eine durchgängige Ende-zu-Ende-Sichtbarkeit ihres Netzwerkes für unverzichtbar zu halten. Dahinter stecken zwei wichtige Aspekte bzw. Bedürfnisse: Zum einen lässt sich nur schützen, was bekannt ist (Funktion 1 der Sicherheitsempfehlungen des NIST: IDENTIFY), zum anderen sollen Vorgänge in der eigenen Infrastruktur transparent gemacht werden (NIST: DETECT). 

Die fünf Funktionen des Cyber Security Frameworks des NIST (National Institute of Standards and Technology),
© Consistec

Die fünf Funktionen des Cyber Security Frameworks des NIST (National Institute of Standards and Technology).

Durch die stetig wachsende Komplexität von IT- /OT-Infrastrukturen und steigende Datenraten wird es immer schwieriger, den Überblick darüber zu behalten, was im Netzwerk tatsächlich passiert. Da der Unternehmenserfolg schon seit langem direkt mit der Leistungsfähigkeit und Zuverlässigkeit der IT- und OT-Systeme zusammenhängt, ist ein umfassender Überblick, aber auch die Sicht auf relevante Details zur frühzeitigen Erkennung von technischen Störungen und Security-Vorfällen unverzichtbar.

Überprüfung ergriffener Maßnahmen

Seit der Einführung des IT-Sicherheitsgesetzes ist es für KRITIS-Betreiber Standard, die Wirksamkeit der ergriffenen Maßnahmen kontrollieren zu können. Doch ist es nicht nur für Betreiber kritischer Infrastrukturen sinnvoll, detektieren zu können, ob trotz der ergriffenen Security-Maßnahmen ein Angreifer aktiv ist. Für diese Kontrolle werden technische Hilfsmittel benötigt: Das Werkzeug der Wahl sind Monitoring-Systeme. Doch die Auswahl eines Monitoring-Systems ist alles andere als trivial, denn die technischen Konzepte, die Lizenzkosten, die Kosten für notwendige Dienstleistungen im Rahmen des Anlernens von KI-basierten Systemen oder für das Einrichten und die Pflege von Alarmierungsregeln, die Kosten zur Bearbeitung von sogenannten False-Positives, die Analysetiefe und der Analysefokus sowie die Unterstützung bzgl. der Interpretierbarkeit von Alarmen variieren bei verschiedenen Herstellern und Monitoring-Konzepten stark.

Beispiel für die Visualisierung der tatsächlichen Netzaktivitäten bei caplon©.
© Consistec

Beispiel für die Visualisierung der tatsächlichen Netzaktivitäten bei caplon©.

Sehen können, was tatsächlich passiert

caplon© network & service monitoring ermöglicht die Identifizierung aller kommunizierenden Geräte (NIST: IDENTIFY) und hilft durch die Analyse und Visualisierung der Kommunikationsbeziehungen (Timing, Protokolle, Datenvolumen, Fehler etc.), das normale Verhalten im Netzwerk zu verstehen und zu überwachen. Die einfache und interpretierbare konsolidierte Sicht für Operation und Security Teams 1 ermöglicht sowohl die Erkennung technischer Störungen als auch die Erkennung von Datenexfiltration, Steuerungskanälen und typischer Muster im Netzwerkverkehr bei Angriffen. Durch die Deep Packet Inspection (DPI)-Analyse und die Möglichkeit, Verhaltensweisen im Netz mit dem Verhalten vor einer Stunde, einem Tag oder auch einem Monat vergleichen zu können, unterstützt caplon© IT-Mitarbeiter bei der Beurteilung von Alarmen und der Abwehr von Angriffen (NIST: RESPOND). In Bezug auf die weitreichenden Analyse-Möglichkeiten durch DPI werden Vorgaben der DSGVO durch innovative Technologie zur Pseudonymisierung von Netzwerkverkehr umgesetzt.

Dr. Thomas Sinnwell ist Geschäftsführer von Consistec.
© Consistec

Dr.-Ing. Thomas Sinnwell ist CEO von consistec.

Durch das bereitgestellte und individuell erweiterbare Set an Überwachungsregeln kann schnell eine False-Postive-freie Überwachung der Kronjuwelen in der IT-Infrastruktur realisiert werden.

Mehr Infos unter: www.consistec.de.

[1] 37% der von Forrester im Februar 2020 befragten 665 IT- und Security-Verantwortlichen Teilnehmer sind der Meinung, dass die fehlende einheitliche Sicht auf Security und Operation zu einer Schieflage bei Sicherheitsteams führt.

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

Security-Report

Security-Management