Als die Segelschiffe die Meere beherrschten, wurde immer ein Ausguck auf den Mast geschickt, um den Horizont mit einem Teleskop auf Anzeichen von Problemen zu beobachten. Der Ausguck beobachtete das Meer, eine bedrohliche Landschaft, die sich von Horizont zu Horizont erstreckte. Diese Praxis begleitet uns seit Anbeginn der Menschheit und lebt im Security Operations Center (SOC) weiter, wo moderne Ausgucke nach Gefahren Ausschau halten. Dies wird als Cyber-Sicherheitsüberwachung bezeichnet.
In diesem Artikel wird erläutert, was die Cyber-Sicherheitsüberwachung ist, wie sie funktioniert und warum sie für die Aufrechterhaltung eines starken Sicherheitsniveaus in der heutigen eskalierenden Bedrohungsumgebung wichtig ist. Die Cyber-Sicherheitsüberwachung spielt eine entscheidende Rolle bei der Erkennung von Bedrohungen und Angriffen, damit schnell und effektiv reagiert werden kann. Sie ist ein zentraler Bestandteil einer umfassenden IT-Sicherheitsstrategie für Unternehmen.
Was ist Cyber-Sicherheitsüberwachung?
Die Cyber-Sicherheitsüberwachung ist ein fortlaufender Prozess der Beobachtung von Netzwerken, Systemen und Anwendungen, um potenzielle Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Dabei werden spezialisierte Tools wie Intrusion Detection Systems (IDS), Firewalls und Security Information and Event Management (SIEM)-Lösungen eingesetzt, um Daten zu analysieren, Anomalien zu erkennen und Cyber-Risiken zu mindern, bevor sie eskalieren.
Hier kann das Ganze ein wenig komplizierter werden. Cyber-Bedrohungen sind vielfältig und gefährlich. Außerdem sind sie oft sehr unauffällig, wobei die kleinste Anomalie eine ernsthafte Bedrohung darstellen kann. Gleichzeitig können SOC-Teams durch False Positives und Probleme bei der Unterscheidung von Gefahrenindikatoren und unwichtigen Meldungen überfordert werden. Es ist unmöglich, jede Angriffsfläche mit der gleichen Sorgfalt zu überwachen. Ein besserer Ansatz ist die Festlegung einer Überwachungspriorität, wobei allerdings die Gefahr besteht, dass Bereiche vernachlässigt werden, die sich erst nach einem Angriff als anfällig erweisen.
Wie funktioniert die Cyber-Sicherheitsüberwachung?
Die Cyber-Sicherheitsüberwachung ist ein Prozess, der mit der Erfassung von Daten beginnt. Die Lösung für die Cyber-Sicherheitsüberwachung überprüft die Cloud und die lokale Infrastruktur und erfasst Daten zur Analyse und manchmal auch zur Reaktion. Die für die Überwachung der Cyber-Sicherheit verwendeten Datenquellen sind sehr unterschiedlich. Im Allgemeinen werden jedoch Daten aus den folgenden Quellen in den Sicherheitsüberwachungsprozess aufgenommen:
Geräteprotokolle, die z. B. von einer SIEM-Lösung (Security Incident and Event Management) erstellt und analysiert werden
Netzwerkverkehr, der in eine Lösung zur Überwachung der Netzwerksicherheit einfließen kann
Intrusion Detection- und Intrusion Prevention-Systeme
Firewalls
Eine Lösung für die Cyber-Sicherheitsüberwachung analysiert die Datenströme aus diesen Quellen. Wenn sie eine Bedrohung oder einen Angriff entdeckt, alarmiert sie das SOC. Wenn sie Ransomware-Bedrohungen schnell erkennen kann, kann sie neben anderen Vorteilen auch die Verbreitung von Ransomware verhindern.
Die Bedeutung der Sicherheitsüberwachung in der IT-Umgebung von Unternehmen
Die Cyber-Sicherheitsüberwachung ist ein „Muss“ für die Verteidigung einer IT-Umgebung in einem Unternehmen. Warum? Sie ist die erste Verteidigungslinie gegen Cyber-Bedrohungen. Man kann ein digitales Asset nämlich nicht schützen, wenn man nicht auf Bedrohungen achtet. Andernfalls können Sie nur noch im Nachhinein reagieren. Wir alle tun dies ohnehin schon oft genug, warum also das Problem noch verschlimmern?
Was sind die potenziellen Risiken und Folgen einer unzureichenden Sicherheitsüberwachung? Wenn Sie zu wenig in die Cyber-Sicherheitsüberwachung investieren, erhöht sich Ihr Risiko. Die negativen Auswirkungen praktisch aller Cyber-Angriffsvektoren werden weiter verstärkt, wenn die Bedrohungserkennung nicht optimiert wird. Das Risiko von Datenschutzverletzungen, Lauschangriffen, Ransomware, bösartigem Unfug, DoS-Angriffen (Denial of Service) und vielem mehr steigt.
Arten der Cyber-Sicherheitsüberwachung
Es gibt mehrere Arten der Cyber-Sicherheitsüberwachung. Dir drei prominentesten sind:
Überwachung der Netzwerksicherheit: Im Netzwerk lassen sich die Anzeichen eines Angriffs oft als Erstes erkennen. Aus diesem Grund kann es eine gute Gegenmaßnahme sein, den Netzwerkverkehr und die Aktivitäten im Auge zu behalten.
Überwachung von Sicherheitsrisiken: Die Bewertung und Verwaltung der Risikolandschaft ist eine Art der Überwachung, die sich von der aktiven Überwachung des Netzwerkverkehrs und der Geräteprotokolle unterscheidet. Hierbei handelt es sich um einen wiederkehrenden oder kontinuierlichen Prozess, bei dem ermittelt wird, wo die IT-Umgebung einem Risiko ausgesetzt ist. Ist zum Beispiel die E-Mail eine Schwachstelle, wie anfällig sind die Datenspeicher für Ransomware, usw. Mit der Überwachung von Sicherheitsrisiken können Sie den Schweregrad des Risikos einschätzen und Prioritäten für die Risikominderung setzen.
Aktive Überwachung von Bedrohungen: Oftmals halten sich Cyber-Bedrohungen in der IT-Umgebung auf, ohne ein digitales Signal auszusenden, das von Tools für die Cyber-Sicherheitsüberwachung erkannt werden könnte. Malware könnte sich beispielsweise in einer beschädigten Datei auf einem Speicher-Array befinden und auf ihre Aktivierung warten. Durch die Erkennung solcher Bedrohungen in Echtzeit, z. B. durch die Suche nach ihren „Signaturen“ im gespeicherten Code, ist es möglich, ihnen zuvorzukommen und ihre Auswirkungen abzuschwächen.
Hauptmerkmale einer wirksamen Cyber-Sicherheitsüberwachung
Ein wirksames System für die Cyber-Sicherheitsüberwachung ist ein wesentlicher Bestandteil jeder soliden Sicherheitsstrategie. Sie sollte eine Reihe von Funktionen umfassen, die darauf ausgelegt sind, Bedrohungen in Echtzeit zu erkennen, zu analysieren und darauf zu reagieren. Im Folgenden finden Sie einige wichtige Merkmale, die eine leistungsfähige Cyber-Sicherheitsüberwachung auszeichnen:
Umfassende Transparenz: Das System muss einen durchgängigen Einblick in den gesamten Netzwerkverkehr, die Benutzeraktivitäten, Anwendungen und Endpunkte, einschließlich Cloud-Umgebungen und Remote-Geräte, bieten, um Anomalien und potenzielle Bedrohungen effektiv zu erkennen.
Erkennung und Warnungen in Echtzeit: Das System sollte potenzielle Bedrohungen erkennen und das Sicherheitsteam benachrichtigen, sobald sie auftreten, sodass es sofort handeln kann. Die Alarmierungsmechanismen müssen fein abgestimmt sein, um durch False Positives verursachte Alarmmüdigkeit zu vermeiden.
Integration von Bedrohungsdaten: Ein effektives System integriert aktuelle Bedrohungsdaten, um bekannte Angriffsmuster und Gefahrenindikatoren zu erkennen und eine proaktive Verteidigung gegen neue Bedrohungen zu ermöglichen.
Verhaltensanalyse: Das System sollte Abweichungen vom Normalverhalten erkennen, die auf einen Sicherheitsvorfall hindeuten könnten. Dabei werden Verhaltensanalysen und maschinelle Lernverfahren eingesetzt, um subtile Hinweise auf bösartige Aktivitäten zu erkennen.
Automatisierte Reaktion: Wenn eine Bedrohung erkannt wird, sollte das System vordefinierte Reaktionsprotokolle einleiten, die die Isolierung betroffener Systeme, die Blockierung von verdächtigem Datenverkehr oder die Ausführung von Skripten zur Eindämmung der Bedrohung umfassen können.
Datenaufbewahrung und forensische Fähigkeiten: Die Aufbewahrung von Protokollen und Daten über einen längeren Zeitraum hinweg ist entscheidend für die Durchführung von Untersuchungen nach einem Vorfall und die Einhaltung von Data-Governance-Richtlinien. Diese Funktion hilft bei der Analyse der Abfolge von Ereignissen, die zu einem Verstoß führen.
Anpassbarkeit und Skalierbarkeit: Das System muss an die spezifischen Sicherheitsrichtlinien eines Unternehmens angepasst werden können und skalierbar sein, um Wachstum oder Änderungen in der IT-Infrastruktur zu ermöglichen.
Einhaltung von Vorschriften und Berichterstattung: Es sollte die Einhaltung gesetzlicher Normen durch die Erstellung von Berichten optimieren, die die Einhaltung der erforderlichen Kontrollen und Verfahren detailliert aufzeigen.
User and Entity Behavior Analytics (UEBA): Durch die Erstellung von Profilen und die Überwachung des Benutzerverhaltens kann das System Insider-Bedrohungen oder kompromittierte Konten identifizieren, die mit herkömmlichen Sicherheitsmaßnahmen oft nur schwer erkennbar sind.
Die Integration dieser Funktionen in ein System für die Cyber-Sicherheitsüberwachung versetzt Unternehmen in die Lage, Bedrohungen schnell zu erkennen und darauf zu reagieren, um Risiken zu minimieren und den potenziellen Schaden durch Cyber-Vorfälle zu verringern. Und das Überwachungssystem sollte mit Plattformen und Plänen für die Reaktion auf Vorfälle wie SOAR-Plattformen (Security Orchestration and Automation) oder SOC-Workflows für die Reaktion auf Vorfälle integriert werden.
Der Prozess der Sicherheitsüberwachung
Die Cyber-Sicherheitsüberwachung ist ein dreistufiger Prozess.
Daten- erfassung
Datenanalyse
Reaktion
In der Analysephase können die Dinge etwas schwieriger werden. Zum einen müssen einfach eine Menge sehr unterschiedlicher Daten untersucht werden. Wonach suchen Sie eigentlich? In einigen Fällen mag das klar sein. Ein DoS-Angriff könnte zum Beispiel die Überwachung von Dienstanforderungen beinhalten. Wenn die Anfragen einen bestimmten Schwellenwert überschreiten, deutet dies auf den Beginn eines DoS-Angriffs hin.
In anderen Fällen kann es schwierig sein, eine Bedrohung zu erkennen. Advanced Persistent Threats (APTs) sind beispielsweise so konzipiert, dass sie sich der aktiven Überwachung entziehen. Die Anzeichen eines Angriffs sind unter Umständen nur schwer vom normalen IT-Betrieb zu unterscheiden.
Hier kommen fortschrittliche Analysen und künstliche Intelligenz (KI) ins Spiel. Eine scheinbar unbedeutende Anomalie, wie z. B. ein hohes Maß an CPU-Aktivität in einem Gerät außerhalb der Geschäftszeiten, könnte darauf hindeuten, dass ein Angriff unmittelbar bevorsteht. Der Trick ist, diese Anzeichen zu bemerken.
Menschliches Fachwissen, in der Regel in Form eines SOC-Analysten, ist oft entscheidend. Eine Lösung zur Überwachung von Sicherheitsrisiken könnte ein Problem erkennen und das SOC alarmieren. An dieser Stelle ergeben sich mehrere Herausforderungen. Eine davon ist schlicht und einfach Burnout. Ein SOC-Analyst kann täglich mit Hunderten von Warnmeldungen konfrontiert werden. Ernsthafte Bedrohungen können einfach übersehen werden. Außerdem werden Ihnen die meisten erfahrenen Sicherheitsexperten bestätigen, dass nicht alle Bedrohungen zu Anomalien führen und nicht alle Anomalien auf Bedrohungen hindeuten.
Die Automatisierung ist daher in der Reaktionsphase der Cyber-Sicherheitsüberwachung sehr hilfreich. Wenn der Mensch es nicht herausfinden kann, dann vielleicht eine Maschine. Und eine Maschine kann nach Regeln arbeiten, die automatisch potenziell kompromittierte Geräte isolieren oder abschalten. Dieser Prozess kann auf einer SOAR-Plattform stattfinden.
Überwachung von Cyber-Bedrohungen und Reaktion auf Vorfälle
Die Reaktion auf Vorfälle ist fast immer von der Überwachung von Cyber-Bedrohungen getrennt. Die Überwachung löst jedoch die Reaktion aus. Wenn eine Überwachungslösung eine Warnung ausgibt, wird der Prozess der Vorfallsreaktion eingeleitet.
Dieser Prozess kann viele Formen annehmen. Zum Beispiel ein SOC-Analyst, der die Warnung prüft und entscheidet, sie zu ignorieren. Die Reaktion auf Vorfälle kann jedoch sehr viel aufwendiger sein. Oftmals müssen die ersten Anzeichen einer Bedrohung oder eines Angriffs mit weiteren Informationen angereichert werden, bevor die Analysten den Ernst der Lage einschätzen können.
Wenn die Überwachungslösung beispielsweise eine Bedrohungssignatur entdeckt, kann eine Person (oder eine Software) die Bedrohung schnell in einer Threat-Intelligence-Datenbank nachschlagen und feststellen, ob sofort gehandelt werden muss oder ob sie weniger Priorität hat. Die Überwachungslösung und der Workflow/die Lösung für die Reaktion auf Vorfälle können in einem eskalierenden Zyklus interagieren, wobei die Anreicherung zu neuen Workflows führt, die wiederum zu einer weiteren Überwachung der daraus resultierenden Reaktion führen, und so weiter.
Die Überwachung kann eine entscheidende frühzeitige Erkennung ermöglichen. Bei Ransomware zum Beispiel zählt jede Sekunde. Das Ziel ist es, einen Angriff zu erkennen und darauf zu reagieren, bevor die Malware beginnt, Ihre Daten zu verschlüsseln. Ein gutes Überwachungstool kann bei der Erreichung dieses Ziels helfen.
Bekämpfung von Datenschutzverletzungen und Sicherheitsvorfällen durch Überwachung
Die Cyber-Sicherheitsüberwachung ist eine erste Verteidigungslinie gegen Datenschutzverletzungen und andere schwerwiegende Sicherheitsvorfälle. Mit der Überwachung können Sie Signale für einen bevorstehenden oder bereits erfolgten Verstoß erkennen. Oder wenn Sie Bedrohungen überwachen, können Sie den Angriffsvektor erkennen, bevor er in Aktion tritt. Beispiele hierfür sind die Überwachung des Firewall-Verkehrs, um festzustellen, ob Daten ohne Genehmigung exfiltriert werden, oder die Überwachung von Cloud-Repositorys oder Websites im Dark Web auf Unternehmensinformationen, die dort nicht sein sollten.
Best Practices für die Cyber-Sicherheitsüberwachung
Jeder überwacht in gewissem Umfang die Cyber-Sicherheit. Die Funktion ist buchstäblich in viele Tools wie Firewalls oder Netzwerkmanagementsysteme eingebaut. Die Best Practices für eine erfolgreiche Cyber-Sicherheitsüberwachung beginnen jedoch schon, bevor Sie überhaupt etwas einschalten.
Die Entscheidung, was überwacht werden soll, ist ein wichtiger erster Schritt. Am besten ist es, sich genau zu überlegen, in welchen Bereichen Sie dem größten Risiko ausgesetzt sind und welche digitalen Assets am meisten geschützt werden müssen. Vielleicht stellen Sie fest, dass Ihre CRM-Lösung das wertvollste Gut ist, das Sie haben, und dass Sie Ihre Überwachung auf Bedrohungen konzentrieren müssen, die es auf dieses Asset abgesehen haben. Es ist ratsam, die Überwachungseinrichtung regelmäßig zu überprüfen, um sie kontinuierlich zu verbessern und über die neuesten Trends in der Cyber-Sicherheit auf dem Laufenden zu bleiben.
Herausforderungen bei der Cyber-Sicherheitsüberwachung
Die Cyber-Sicherheitsüberwachung bringt eine Reihe von Herausforderungen mit sich. Die Auswahl der richtigen Datenfeeds für die Analyse ist eine der häufigsten. Eine weitere ist es, Gefahrenindikatoren von unwichtigen Meldungen zu unterscheiden. Die übermäßige Abhängigkeit von Menschen bei der Interpretation von Warnmeldungen führt bei vielen Sicherheitsteams zu Burnout und Ineffizienz. Automatisierung ist unerlässlich. Die besten Lösungen bieten ein hohes Maß an Automatisierung und Anpassung sowie die Integration mit Systemen wie SOAR für die Reaktion auf Vorfälle.
Zeit, die Überwachung zu verbessern
Es ist sehr wahrscheinlich, dass Sie die Cyber-Sicherheit bereits überwachen. Es ist auch wahrscheinlich, dass Sie es besser machen könnten. Sie können dies in kleinen Schritten tun. Wenn Sie Ihre Überwachungsinfrastruktur noch nicht aktualisiert haben, sollten Sie vielleicht einen neuen Blick darauf werfen, was Sie überwachen und wie Sie mit Warnmeldungen umgehen. Schauen Sie sich Ihre größten Risikobereiche an und planen Sie entsprechend. Eine bessere Überwachung bedeutet fast immer auch ein stärkeres Sicherheitsniveau, also machen Sie sich an die Arbeit!