Anzeige

Security Operations Center

Warum sollten Unternehmen heutzutage auf Security Monitoring setzen? Welchen Nutzen ziehen sie daraus? Und worum handelt es sich dabei überhaupt?

Security Monitoring bezeichnet zunächst einmal die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist die Erkennung von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können. Diese Hinweise werden geprüft und bewertet, um dann ggf. zeitnah die angemessenen Gegenmaßnahmen einleiten zu können. Oftmals werden die Begriffe „Security Monitoring“ und „SIEM“ (Security Information and Event Management) synonym verwendet. Dabei gibt es durchaus Unterschiede im Leistungsumfang.

Das SIEM ist das zugrundeliegende System. Dabei werden im ersten Schritt, softwaregestützt Daten aus verschiedensten Log-Quellen (z.B. Firewall, Active Directory) gesammelt. Im nächsten Schritt werden diese Daten in ein einheitliches, verständliches Format gebracht. Auch kann ein SIEM erste Analysen liefern und bei verdächtigen Aktivitäten im Netzwerk Alarm schlagen.

Da manche bekannten Schwachstellen nicht geschlossen werden können, ohne die Arbeitsfähigkeit eines Unternehmens zu gefährden, ist es mit einem SIEM außerdem möglich, die Schwachstellen kontinuierlich unter Berücksichtigung ihrer potenziellen Ausnutzbarkeit zu überwachen. Das betrifft insbesondere Systeme, die häufig mit dem Internet kommunizieren, beispielsweise den E-Mail-Server.

Das Security Monitoring geht noch einen Schritt weiter als das bloße SIEM. Hier kommt wesentlich mehr menschliche Analysearbeit hinzu. Dabei rückt die konkrete Interpretation der gesammelten Informationen in den Fokus. Angenommen, ein System meldet eine Auffälligkeit bei der Nutzeranmeldung. Ein Benutzer gibt immer wieder das falsche Passwort ein. Dies kann einerseits Hinweis auf eine bösartige Brute-Force-Attacke sein. Andererseits besteht auch die Möglichkeit, dass der Benutzer gerade an diesem Tag dazu aufgefordert wurde, sein Passwort zu ändern, das neue noch nicht verinnerlicht hat und deshalb mehrfach das alte eingibt. Diese zweite Option wird von einem Analysten erkannt und kann als Regel hinterlegt werden. Die Software „lernt“ also, dass ab dem Zeitpunkt eines Passwortwechsels, Falscheingaben verstärkt zu erwarten sind. Dadurch werden Fehlalarme verringert.

Ob und welche Aktivitäten im Netzwerk verdächtig sind und welche nicht, kann von der zu überwachenden Systemstruktur und dem Nutzerverhalten abhängig sein. Klare Regeln kristallisieren sich erst während des laufenden Betriebs des Security Monitoring heraus. Das Monitoring wird gewissermaßen angelernt, kontinuierlich weiterentwickelt und dadurch immer effizienter. Nach der Analyse abgegebener Alarme werden die Regeln ggf. angepasst. Jedes Unternehmen hat hier seine eigenen Parameter, weswegen diese individuelle Abstimmung des SIEM und der Monitoring-Systeme sehr wichtig ist.

Zusammenfassend lässt sich also sagen, dass Security Monitoring zur Erkennung, Analyse und Abwehr von potenziellen Sicherheitsvorfällen dient. Durch ein SIEM werden die gesammelten Daten korreliert und zentral ausgewertet. Die Korrelation der Daten ermöglicht es, Muster und Trends zu identifizieren, die vom gewohnten Schema abweichen. Diese Analysen erfolgen nahezu in Echtzeit, wodurch die besonders schnelle Reaktion auf Sicherheitsvorfälle ermöglicht wird. Durch den Einsatz von Machine Learning können zudem Angriffe entdeckt werden, die für herkömmliche Systeme unsichtbar sind.

Warum brauchen Unternehmen Security Monitoring?

Dass die Bedrohungen durch Cyberkriminalität schon seit Jahren kontinuierlich zunehmen, ist nichts Neues mehr. Dennoch ist dieser Umstand ein stichfestes Argument, das für den Einsatz eines SIEM und Security Monitoring spricht.

Nur Unternehmen, die aktives Security Monitoring betreiben, haben überhaupt erst die Chance, den Ernstfall schnell zu erkennen und adäquat zu reagieren. Cyberangriffe und daraus resultierende Schäden können so entweder abgewehrt oder auf ein Minimum reduziert werden. Das Monitoring greift also in zwei der drei Kernbereiche der Cyber Security: Detektion und Reaktion. Und die kontinuierliche Überwachung der kritischen IT-Infrastruktur und vorhandener Sicherheitseinrichtungen steigert die Sicherheit eines jeden Unternehmens deutlich.

Zusätzlich werden durch das Security Monitoring auch Anforderungen verschiedener Normen erfüllt, darunter z. B. das BSI IT-Grundschutzkompendium, CIS Controls und ISO 27001.

www.8com.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!