Finanzkriminalität proaktiv begegnen und Risiken minimieren
2023/8 | Fachbeitrag | IT-Sicherheit / Datenschutz

Cybersicherheit: Gute Daten helfen viel

Steigende Datenmengen sind Fluch und Segen zugleich. Einerseits bieten sie Zugang zu einzigartigen Insights, andererseits müssen sie dafür zunächst gesammelt, gespeichert und ausgewertet werden. Aber auch für die IT-Sicherheit spielen Daten eine wichtige Rolle - und überraschenderweise gelten Daten unter diesem Blickwinklel nicht als Problem. Im Gegenteil! Zur Abwehr von IT-Gefahren können Sie gar nicht genug Daten haben - zumindest dann, wenn es sich um sogenannte nützliche Daten handelt. Doch welche Daten und Metriken sind dafür auf Nutzer-, Endpunkt- und Netzwerkebene besonders wertvoll?

Bildquelle: (C) Gerd Altmann / Pixabay

Um die IT eines Unternehmens effektiv zu schützen, müssen Cybersicherheitsteams und Security Operations Center (SOC) diese genau überwachen - dafür benötigen sie Daten und Metriken. EDR (Endpoint Detection and Response)-Tools und SIEM (Security Information and Event Management)-Plattformen versorgen Cybersecurity-Experten mit sicherheitsrelevanten Informationen von der Endpunktebene bis hin zur Nutzer- und Netzwerkebene. MXDR-Experte Ontinue nennt exemplarisch essenzielle Metriken der jeweiligen Sicherheitsebene, die Unternehmen in jedem Fall im Auge behalten müssen.

1. Nutzerebene?

Auf Nutzerebene stellt die User-ID den verlockendsten und zugleich einfachsten Einstiegspunkt für Attacken dar. Phishing ist daher eine der größten Gefahren für die IT-Sicherheit. Durch täuschend echt aussehende, aber gefälschte E-Mails und Webseiten verführen Cyberkriminelle Nutzer dazu, sensible Informationen wie ihre Login-Daten preiszugeben. Um herauszufinden, ob sie erfolgreich waren, benötigen Sicherheitsexperten die IP-Adressen der User - und zwar bei jedem Login. Aus ihnen können sie herauslesen, ob sich der Nutzer an einem ungewöhnlichen Standpunkt aufhält oder einen nicht genehmigten Proxy verwendet. Die meisten Unternehmen führen zudem eine Blacklist für IPs, die sie Hackern und anderen Cyberkriminellen zuordnen können. Sicherheitsexperten benötigen außerdem Daten dazu, ob User eine Multi-Faktor-Authentifizierung (MFA) erfolgreich durchgeführt haben. Ist MFA nicht aktiv und findet ein erfolgreicher Login von einer auffälligen IP-Adresse statt, muss der Benutzer schnellstmöglich blockiert werden. Falls alles außer der IP-Adresse gut aussieht und MFA aktiv ist, sollten IT-Abteilungen auf Endpunkt- oder Netzwerkebene den Grund dafür suchen - möglicherweise haben Cyberkriminelle einen anderen Weg auf das Gerät gefunden.

Auch Daten dazu, ob es Login-Fehlversuche gab, helfen: Eine Vielzahl erfolgloser Login-Versuche deutet auf eine Brute-Force-Attacke hin, bei der Hacker eine Reihe von Passwörtern via Bot ausprobiert haben. Überdies sollten Unternehmen auch Geräteinformationen beim Login tracken: Loggt sich der User immer mit einem Windows-Gerät ein, ist ein Login über MacOS bereits verdächtig.

2. Endpunktebene?

Auf Endpunktebene sind EDR-Tools die besten Verbündeten für Cybersicherheitsteams. Sie erstellen eine Reihe von Tabellen, die sie an die SIEM-Plattform weiterleiten. Darin enthalten sind Daten zu bestimmten Vorgängen auf dem Endgerät, also Events. Diese Informationen sind für sich genommen bereits sehr wertvoll, EDR-Tools und SIEM-Plattformen sind allerdings in der Lage, sie zu korrelieren. Dadurch ermöglichen sie eine frühe Erkennung von Gefahren und bieten einen noch tieferen Einblick. Zu den klassischen Events, die ein EDR-Tool loggt, gehören zum Beispiel Datei-Ereignisse, die anzeigen, ob und wann auf einem Endgerät Dateien geöffnet, gelöscht, verändert, verschoben, geschlossen oder verschickt wurden. Auch wie sich Prozesse verhalten, welche Unter-Prozesse sie öffnen, auf welche Daten, IP-Adressen oder Kommandos sie zugreifen, liefert wertvolle Informationen. Wichtig für Security-Experten sind auch Log-on-Events, also Informationen darüber, welche Benutzer-IDs sich mit welchen Daten wann auf dem Endgerät angemeldet haben und ob der Log-on lokal oder remote über ein Netzwerk passierte. Ob Anwendungen ohne gültiges Zertifikat auf Dateien zugreifen, sollte das Tool der Wahl überdies ebenso aufzeichnen wie Registry-Änderungen. EDR-Tools und SIEM-Plattformen analysieren diese Events und Prozesse nach bestimmten Mustern, die auf einen Cyberangriff hinweisen, und geben Warnungen aus. Auch das manuelle Threat Hunting erleichtern diese Tools, da sie alle nötigen Daten vorhalten.

3. Netzwerkebene?

Auf der Netzwerkebene gibt es oft historisch gewachsene Netzwerkumgebungen, die Unternehmen überwachen müssen, viele davon im Bereich der Operational Technology. Für diese, von Benutzer- und Endpunktebene aus nicht sichtbaren Segmente, installieren Unternehmen idealerweise Sensoren, die die Netzwerkkommunikation aufzeichnen und die Definition einer Baseline erlauben. Findet eine kommunikative Abweichung von der Baseline statt, schlägt das System Alarm. Auch Indizien für Malware-Verbreitung sowie auffällige Zugriffe auf interne oder externe Systeme sollten Warnungen auslösen. Da solche Netzwerke in der Regel viele Fremdkomponenten enthalten, die Unternehmen nicht oder nur teilweise verwalten, ist es umso wichtiger, die Alarme von der Netzwerkebene mit zusätzlichen Log-Daten von verwalteten Endpunkten und Perimetern zu korrelieren: Dieser Vorgang gibt den Sicherheitsexperten genaue Hinweise, was passiert ist, und ermöglicht es ihnen, betroffene Systeme zu blockieren.

"Es reicht bei weitem nicht mehr, nur das Netzwerk zu überwachen - die meisten Angriffe sind initial nämlich auf Nutzer- und Endpunktebene zu entdecken", erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. "Daher sollten Unternehmen EDR- und SIEM-Tools einsetzen, um möglichst viele Daten von verschiedenen potenziellen Angriffsebenen zu sammeln. Deren Analyse kann IT-Abteilungen jedoch schnell überlasten, sodass Hacker leichtes Spiel haben. MXDR-Anbieter helfen in diesem Fall, datenbasierte Sicherheitsmaßnahmen durchzusetzen. Sie stellen Unternehmen ein vollständiges und maßgeschneidertes Security Operations Center als Service zur Verfügung, das die internen Experten beim Schutz der IT-Infrastruktur unterstützt."



?Der Autor:

Jochen Koehler ist VP EMEA Sales bei Ontinue, einem Experten für Managed Extended Detection and Response (MXDR) mit Hauptsitz in Zürich. Um die IT-Umgebungen seiner Kunden durchgehend zu schützen, ihren Sicherheitsstatus zu bewerten und kontinuierlich zu verbessern, kombiniert Ontinue KI-gesteuerte Automatisierung undvmenschliches Fachwissen mit dem Microsoft-Sicherheits-Produktportfolio.

(Bildquelle: privat)?

Web: www.ontinue.com

Diese Artikel könnten Sie auch interessieren

Die EU-Hinweisgeberrichtlinie: Was Unternehmen wissen müssen – und wie sie sie rechtskonform umsetzen

WISSENplus
Vor etwas mehr als drei Jahren, am 16. Dezember 2019, trat die europäische Richtlinie zum Schutz von Whistleblowern - oder Hinweisgebern - in Kraft. Ziel der Richtlinie ist es, einen sicheren Weg zu schaffen, auf dem Menschen sich gegen Fehlverhalten in ihrem Arbeitsumfeld aussprechen können. Die Richtlinie führt ein dreistufiges Meldesystem ein: erstens eine interne Meldung an das Unternehmen, zw...

Weiterlesen

Auf dem (richtigen) Weg

An der Digitalisierung kommt keine Organisation mehr vorbei. Und auch Wissensmanagement ist mittlerweile alternativlos geworden. Andernfalls drohen weitreichende Konsequenzen: Dem War for Talents lässt sich ohne entsprechende Maßnahmen ebenso wenig standhalten wie dem immer stärker werdenden Wettbewerb. Diese Erkenntnis hat sich mittlerweile fast flächendeckend durchgesetzt. Doch obwohl die Gefahr...

Weiterlesen

Mobile Datenerfassung für die Flotte: Wie digitales Reifenmanagement den Fuhrpark nachhaltig voranbringt

Flottenverantwortliche stehen in der Pflicht, ihre Fuhrparks wirtschaftlich zu halten. Doch Fachkräftemangel, steigende Preise und EU-Verordnungen zur Reduktion von CO2-Emissionen stellen sie vor immense Herausforderungen. Dabei profitieren Unternehmen bei einer Umstellung ihrer Fahrzeugflotten auf batterieelektrische Fahrzeuge bis 2025 von Förderungen seitens des Bundesministeriums für Digitales und Ver...

Weiterlesen

Recruiting-Trends 2023: Wie Unternehmen heute im War for Talents gewinnen

Der Fachkräftemangel stellt Recruiter weiterhin vor große Herausforderungen. Knapp die Hälfte aller offenen Stellen für Qualifizierte konnten im ersten Quartal 2023 rein rechnerisch nicht mit passenden Kandidaten besetzt werden, so die aktuelle KOFA-Analyse. Doch im War for Talents sind Unternehmen nicht hilflos. Mit der richtigen Strategie und digitalen Prozessen können sie sich einen Vorsprung...

Weiterlesen

Von der Bedrohungsanalyse zur Security-Strategie

WISSENplus
Die Angriffsmethoden der Cyberkriminellen werden immer raffinierter. Gleichzeitig stellt die hohe Anzahl an entdeckten Schwachstellen in IT-Systemen ein enormes Sicherheitsrisiko dar. Angesichts dieser Bedrohungslage gewinnt der Security-by-Design-Ansatz an Bedeutung. Keinesfalls dürfen Unternehmen diesen Gedanken jedoch auf die Entwicklung einzelner IT-Systeme reduzieren - die Architektur der Infra...

Weiterlesen

Managed Services im Mittelstand: Das Für und Wider

WISSENplus
Ob Betrieb der IT-Infrastruktur, Applikationsbetreuung oder Cybersecurity: Aufgaben, die der Unternehmens-IT zufallen, gibt es reichlich - Tendenz steigend. Kein Wunder, dass viele Firmen händeringend nach Entlastung für ihre Administratoren suchen. Doch angesichts des Fachkräftemangels ist dies vor allem für mittelständische Betriebe nicht leicht. Gerade für sie könnte es sich daher lohnen, K...

Weiterlesen

Was kann generative KI im Wissensmanagement leisten?

WISSENplus
Generative KI wie ChatGPT generiert Texte, Konzepte, Entwürfe, Ideen - aber kreiert generative KI auch (neues) Wissen? Und können sich damit Tools wie ChatGPT zu innovativen Tools des Wissensmanagement entwickeln? So einfach lässt sich diese Frage nicht beantworten; es hängt letztlich davon ab, um welches Wissen es sich handelt und welche Aufgaben des Wissensmanagement durch und mit generativer KI bew...

Weiterlesen