2023/8 | Fachbeitrag | IT-Sicherheit / Datenschutz

Cybersicherheit: Gute Daten helfen viel

Steigende Datenmengen sind Fluch und Segen zugleich. Einerseits bieten sie Zugang zu einzigartigen Insights, andererseits müssen sie dafür zunächst gesammelt, gespeichert und ausgewertet werden. Aber auch für die IT-Sicherheit spielen Daten eine wichtige Rolle - und überraschenderweise gelten Daten unter diesem Blickwinklel nicht als Problem. Im Gegenteil! Zur Abwehr von IT-Gefahren können Sie gar nicht genug Daten haben - zumindest dann, wenn es sich um sogenannte nützliche Daten handelt. Doch welche Daten und Metriken sind dafür auf Nutzer-, Endpunkt- und Netzwerkebene besonders wertvoll?

^{Bildquelle: (C) Gerd Altmann / Pixabay}

Um die IT eines Unternehmens effektiv zu schützen, müssen Cybersicherheitsteams und Security Operations Center (SOC) diese genau überwachen - dafür benötigen sie Daten und Metriken. EDR (Endpoint Detection and Response)-Tools und SIEM (Security Information and Event Management)-Plattformen versorgen Cybersecurity-Experten mit sicherheitsrelevanten Informationen von der Endpunktebene bis hin zur Nutzer- und Netzwerkebene. MXDR-Experte Ontinue nennt exemplarisch essenzielle Metriken der jeweiligen Sicherheitsebene, die Unternehmen in jedem Fall im Auge behalten müssen.

1. Nutzerebene?

Auf Nutzerebene stellt die User-ID den verlockendsten und zugleich einfachsten Einstiegspunkt für Attacken dar. Phishing ist daher eine der größten Gefahren für die IT-Sicherheit. Durch täuschend echt aussehende, aber gefälschte E-Mails und Webseiten verführen Cyberkriminelle Nutzer dazu, sensible Informationen wie ihre Login-Daten preiszugeben. Um herauszufinden, ob sie erfolgreich waren, benötigen Sicherheitsexperten die IP-Adressen der User - und zwar bei jedem Login. Aus ihnen können sie herauslesen, ob sich der Nutzer an einem ungewöhnlichen Standpunkt aufhält oder einen nicht genehmigten Proxy verwendet. Die meisten Unternehmen führen zudem eine Blacklist für IPs, die sie Hackern und anderen Cyberkriminellen zuordnen können. Sicherheitsexperten benötigen außerdem Daten dazu, ob User eine Multi-Faktor-Authentifizierung (MFA) erfolgreich durchgeführt haben. Ist MFA nicht aktiv und findet ein erfolgreicher Login von einer auffälligen IP-Adresse statt, muss der Benutzer schnellstmöglich blockiert werden. Falls alles außer der IP-Adresse gut aussieht und MFA aktiv ist, sollten IT-Abteilungen auf Endpunkt- oder Netzwerkebene den Grund dafür suchen - möglicherweise haben Cyberkriminelle einen anderen Weg auf das Gerät gefunden.

Auch Daten dazu, ob es Login-Fehlversuche gab, helfen: Eine Vielzahl erfolgloser Login-Versuche deutet auf eine Brute-Force-Attacke hin, bei der Hacker eine Reihe von Passwörtern via Bot ausprobiert haben. Überdies sollten Unternehmen auch Geräteinformationen beim Login tracken: Loggt sich der User immer mit einem Windows-Gerät ein, ist ein Login über MacOS bereits verdächtig.

2. Endpunktebene?

Auf Endpunktebene sind EDR-Tools die besten Verbündeten für Cybersicherheitsteams. Sie erstellen eine Reihe von Tabellen, die sie an die SIEM-Plattform weiterleiten. Darin enthalten sind Daten zu bestimmten Vorgängen auf dem Endgerät, also Events. Diese Informationen sind für sich genommen bereits sehr wertvoll, EDR-Tools und SIEM-Plattformen sind allerdings in der Lage, sie zu korrelieren. Dadurch ermöglichen sie eine frühe Erkennung von Gefahren und bieten einen noch tieferen Einblick. Zu den klassischen Events, die ein EDR-Tool loggt, gehören zum Beispiel Datei-Ereignisse, die anzeigen, ob und wann auf einem Endgerät Dateien geöffnet, gelöscht, verändert, verschoben, geschlossen oder verschickt wurden. Auch wie sich Prozesse verhalten, welche Unter-Prozesse sie öffnen, auf welche Daten, IP-Adressen oder Kommandos sie zugreifen, liefert wertvolle Informationen. Wichtig für Security-Experten sind auch Log-on-Events, also Informationen darüber, welche Benutzer-IDs sich mit welchen Daten wann auf dem Endgerät angemeldet haben und ob der Log-on lokal oder remote über ein Netzwerk passierte. Ob Anwendungen ohne gültiges Zertifikat auf Dateien zugreifen, sollte das Tool der Wahl überdies ebenso aufzeichnen wie Registry-Änderungen. EDR-Tools und SIEM-Plattformen analysieren diese Events und Prozesse nach bestimmten Mustern, die auf einen Cyberangriff hinweisen, und geben Warnungen aus. Auch das manuelle Threat Hunting erleichtern diese Tools, da sie alle nötigen Daten vorhalten.

3. Netzwerkebene?

Auf der Netzwerkebene gibt es oft historisch gewachsene Netzwerkumgebungen, die Unternehmen überwachen müssen, viele davon im Bereich der Operational Technology. Für diese, von Benutzer- und Endpunktebene aus nicht sichtbaren Segmente, installieren Unternehmen idealerweise Sensoren, die die Netzwerkkommunikation aufzeichnen und die Definition einer Baseline erlauben. Findet eine kommunikative Abweichung von der Baseline statt, schlägt das System Alarm. Auch Indizien für Malware-Verbreitung sowie auffällige Zugriffe auf interne oder externe Systeme sollten Warnungen auslösen. Da solche Netzwerke in der Regel viele Fremdkomponenten enthalten, die Unternehmen nicht oder nur teilweise verwalten, ist es umso wichtiger, die Alarme von der Netzwerkebene mit zusätzlichen Log-Daten von verwalteten Endpunkten und Perimetern zu korrelieren: Dieser Vorgang gibt den Sicherheitsexperten genaue Hinweise, was passiert ist, und ermöglicht es ihnen, betroffene Systeme zu blockieren.

"Es reicht bei weitem nicht mehr, nur das Netzwerk zu überwachen - die meisten Angriffe sind initial nämlich auf Nutzer- und Endpunktebene zu entdecken", erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. "Daher sollten Unternehmen EDR- und SIEM-Tools einsetzen, um möglichst viele Daten von verschiedenen potenziellen Angriffsebenen zu sammeln. Deren Analyse kann IT-Abteilungen jedoch schnell überlasten, sodass Hacker leichtes Spiel haben. MXDR-Anbieter helfen in diesem Fall, datenbasierte Sicherheitsmaßnahmen durchzusetzen. Sie stellen Unternehmen ein vollständiges und maßgeschneidertes Security Operations Center als Service zur Verfügung, das die internen Experten beim Schutz der IT-Infrastruktur unterstützt."

?Der Autor:

Jochen Koehler ist VP EMEA Sales bei Ontinue, einem Experten für Managed Extended Detection and Response (MXDR) mit Hauptsitz in Zürich. Um die IT-Umgebungen seiner Kunden durchgehend zu schützen, ihren Sicherheitsstatus zu bewerten und kontinuierlich zu verbessern, kombiniert Ontinue KI-gesteuerte Automatisierung undvmenschliches Fachwissen mit dem Microsoft-Sicherheits-Produktportfolio.

^{(Bildquelle: privat)?}

Web: www.ontinue.com