2023/8 | Fachbeitrag | IT-Sicherheit / Datenschutz

Cybersicherheit: Gute Daten helfen viel

Steigende Datenmengen sind Fluch und Segen zugleich. Einerseits bieten sie Zugang zu einzigartigen Insights, andererseits müssen sie dafür zunächst gesammelt, gespeichert und ausgewertet werden. Aber auch für die IT-Sicherheit spielen Daten eine wichtige Rolle - und überraschenderweise gelten Daten unter diesem Blickwinklel nicht als Problem. Im Gegenteil! Zur Abwehr von IT-Gefahren können Sie gar nicht genug Daten haben - zumindest dann, wenn es sich um sogenannte nützliche Daten handelt. Doch welche Daten und Metriken sind dafür auf Nutzer-, Endpunkt- und Netzwerkebene besonders wertvoll?

Bildquelle: (C) Gerd Altmann / Pixabay

Um die IT eines Unternehmens effektiv zu schützen, müssen Cybersicherheitsteams und Security Operations Center (SOC) diese genau überwachen - dafür benötigen sie Daten und Metriken. EDR (Endpoint Detection and Response)-Tools und SIEM (Security Information and Event Management)-Plattformen versorgen Cybersecurity-Experten mit sicherheitsrelevanten Informationen von der Endpunktebene bis hin zur Nutzer- und Netzwerkebene. MXDR-Experte Ontinue nennt exemplarisch essenzielle Metriken der jeweiligen Sicherheitsebene, die Unternehmen in jedem Fall im Auge behalten müssen.

1. Nutzerebene?

Auf Nutzerebene stellt die User-ID den verlockendsten und zugleich einfachsten Einstiegspunkt für Attacken dar. Phishing ist daher eine der größten Gefahren für die IT-Sicherheit. Durch täuschend echt aussehende, aber gefälschte E-Mails und Webseiten verführen Cyberkriminelle Nutzer dazu, sensible Informationen wie ihre Login-Daten preiszugeben. Um herauszufinden, ob sie erfolgreich waren, benötigen Sicherheitsexperten die IP-Adressen der User - und zwar bei jedem Login. Aus ihnen können sie herauslesen, ob sich der Nutzer an einem ungewöhnlichen Standpunkt aufhält oder einen nicht genehmigten Proxy verwendet. Die meisten Unternehmen führen zudem eine Blacklist für IPs, die sie Hackern und anderen Cyberkriminellen zuordnen können. Sicherheitsexperten benötigen außerdem Daten dazu, ob User eine Multi-Faktor-Authentifizierung (MFA) erfolgreich durchgeführt haben. Ist MFA nicht aktiv und findet ein erfolgreicher Login von einer auffälligen IP-Adresse statt, muss der Benutzer schnellstmöglich blockiert werden. Falls alles außer der IP-Adresse gut aussieht und MFA aktiv ist, sollten IT-Abteilungen auf Endpunkt- oder Netzwerkebene den Grund dafür suchen - möglicherweise haben Cyberkriminelle einen anderen Weg auf das Gerät gefunden.

Auch Daten dazu, ob es Login-Fehlversuche gab, helfen: Eine Vielzahl erfolgloser Login-Versuche deutet auf eine Brute-Force-Attacke hin, bei der Hacker eine Reihe von Passwörtern via Bot ausprobiert haben. Überdies sollten Unternehmen auch Geräteinformationen beim Login tracken: Loggt sich der User immer mit einem Windows-Gerät ein, ist ein Login über MacOS bereits verdächtig.

2. Endpunktebene?

Auf Endpunktebene sind EDR-Tools die besten Verbündeten für Cybersicherheitsteams. Sie erstellen eine Reihe von Tabellen, die sie an die SIEM-Plattform weiterleiten. Darin enthalten sind Daten zu bestimmten Vorgängen auf dem Endgerät, also Events. Diese Informationen sind für sich genommen bereits sehr wertvoll, EDR-Tools und SIEM-Plattformen sind allerdings in der Lage, sie zu korrelieren. Dadurch ermöglichen sie eine frühe Erkennung von Gefahren und bieten einen noch tieferen Einblick. Zu den klassischen Events, die ein EDR-Tool loggt, gehören zum Beispiel Datei-Ereignisse, die anzeigen, ob und wann auf einem Endgerät Dateien geöffnet, gelöscht, verändert, verschoben, geschlossen oder verschickt wurden. Auch wie sich Prozesse verhalten, welche Unter-Prozesse sie öffnen, auf welche Daten, IP-Adressen oder Kommandos sie zugreifen, liefert wertvolle Informationen. Wichtig für Security-Experten sind auch Log-on-Events, also Informationen darüber, welche Benutzer-IDs sich mit welchen Daten wann auf dem Endgerät angemeldet haben und ob der Log-on lokal oder remote über ein Netzwerk passierte. Ob Anwendungen ohne gültiges Zertifikat auf Dateien zugreifen, sollte das Tool der Wahl überdies ebenso aufzeichnen wie Registry-Änderungen. EDR-Tools und SIEM-Plattformen analysieren diese Events und Prozesse nach bestimmten Mustern, die auf einen Cyberangriff hinweisen, und geben Warnungen aus. Auch das manuelle Threat Hunting erleichtern diese Tools, da sie alle nötigen Daten vorhalten.

3. Netzwerkebene?

Auf der Netzwerkebene gibt es oft historisch gewachsene Netzwerkumgebungen, die Unternehmen überwachen müssen, viele davon im Bereich der Operational Technology. Für diese, von Benutzer- und Endpunktebene aus nicht sichtbaren Segmente, installieren Unternehmen idealerweise Sensoren, die die Netzwerkkommunikation aufzeichnen und die Definition einer Baseline erlauben. Findet eine kommunikative Abweichung von der Baseline statt, schlägt das System Alarm. Auch Indizien für Malware-Verbreitung sowie auffällige Zugriffe auf interne oder externe Systeme sollten Warnungen auslösen. Da solche Netzwerke in der Regel viele Fremdkomponenten enthalten, die Unternehmen nicht oder nur teilweise verwalten, ist es umso wichtiger, die Alarme von der Netzwerkebene mit zusätzlichen Log-Daten von verwalteten Endpunkten und Perimetern zu korrelieren: Dieser Vorgang gibt den Sicherheitsexperten genaue Hinweise, was passiert ist, und ermöglicht es ihnen, betroffene Systeme zu blockieren.

"Es reicht bei weitem nicht mehr, nur das Netzwerk zu überwachen - die meisten Angriffe sind initial nämlich auf Nutzer- und Endpunktebene zu entdecken", erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. "Daher sollten Unternehmen EDR- und SIEM-Tools einsetzen, um möglichst viele Daten von verschiedenen potenziellen Angriffsebenen zu sammeln. Deren Analyse kann IT-Abteilungen jedoch schnell überlasten, sodass Hacker leichtes Spiel haben. MXDR-Anbieter helfen in diesem Fall, datenbasierte Sicherheitsmaßnahmen durchzusetzen. Sie stellen Unternehmen ein vollständiges und maßgeschneidertes Security Operations Center als Service zur Verfügung, das die internen Experten beim Schutz der IT-Infrastruktur unterstützt."



?Der Autor:

Jochen Koehler ist VP EMEA Sales bei Ontinue, einem Experten für Managed Extended Detection and Response (MXDR) mit Hauptsitz in Zürich. Um die IT-Umgebungen seiner Kunden durchgehend zu schützen, ihren Sicherheitsstatus zu bewerten und kontinuierlich zu verbessern, kombiniert Ontinue KI-gesteuerte Automatisierung undvmenschliches Fachwissen mit dem Microsoft-Sicherheits-Produktportfolio.

(Bildquelle: privat)?

Web: www.ontinue.com

Diese Artikel könnten Sie auch interessieren

How-to-Anleitung: Chatbots im Personalbereich einsetzen

WISSENplus
KI treibt in einer zunehmenden Vielfalt von Unternehmensbereichen erstaunliche Qualitäts- und Effizienzsteigerungen voran. Gerade auch Chatbots erweisen sich dabei oft als eine immer stärker infrage kommende Option in der Optimierung und Automatisierung von Prozessen. Der Einsatz dieser digitalen Assistenten bietet auch im HR-Bereich zahlreiche Vorteile: Als "Ansprechpartner", die 24/7 die...

Weiterlesen

Intelligenteres Wissensmanagement mit KI

WISSENplus
In der heutigen Zeit ist es für Unternehmen sehr wichtig, ihr Wissen zu sammeln, zu speichern und effizient zu verwalten, da es für den Geschäftserfolg entscheidend ist. Techniken der künstlichen Intelligenz helfen dabei, Wissen zu verarbeiten und darauf basierend Vorhersagen zu treffen. Sie sollen Wissensmanagementprozesse schneller, besser und einfacher machen. Wissensmanagement ist hierbei der ...

Weiterlesen

Was kann generative KI in Bürgerämtern & Co. leisten?

WISSENplus
7.000 unbesetzte Stellen, bis zu acht Wochen Wartezeit, null Erreichbarkeit: Wer in Berlin einen Reisepass beantragen möchte, braucht vor allem eines - Geduld. Echtzeit-Lösungen und Self-Service? Fehlanzeige. Höchste Zeit, die Bürgerorientierung in der Verwaltung neu zu denken. Künstliche Intelligenz (KI) wird bereits als Heilsbringer gelobt. Der Berliner Senator Stefan Evers spricht sogar von ko...

Weiterlesen

6 Fragen, die sich Unternehmen zum GenAI-Einsatz stellen sollten

Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten. Oft nutzen die Mitarbeiter sogar schon einige Tools - was ebenso wie eine überhastete Einführung mit Risiken insbesondere für Datenschutz und Datensicherheit verbunden ist. Um diese Risiken zu vermeiden, ...

Weiterlesen

KI im Mittelstand: Mythen und Fakten

Der Einsatz von KI-Lösungen ist heute ein allgegenwärtiges Thema. Für deren Einführung müssen Unternehmen einige Voraussetzungen erfüllen. Diese betreffen nicht nur die IT-Landschaft und die Vorbereitung der Organisation. Ein weiterer wesentlicher Aspekt ist es, die eigenen Mitarbeiter von den Vorteilen solcher Lösungen zu überzeugen. Denn gerade in kleinen und mittleren Unternehmen (KMU) haben sic...

Weiterlesen

Worauf kommt es an? Die fünf wichtigsten Triebkräfte der KI-Revolution

Die Technologie der Künstlichen Intelligenz ist in ihrem Potenzial mit der Erfindung der Dampfmaschine oder dem Siegeszug des Internets vergleichbar. Was wir aktuell erleben, ist also nicht weniger als eine epochale Disruption, die die Art, wie Menschen weltweit leben und arbeiten, grundlegend verändern wird. Doch die Einführung und Umsetzung von KI-Lösungen ist kein Selbstläufer! Im Gegenteil: Es gib...

Weiterlesen