Anzeige

Security Operations Center

Warum sollten Unternehmen heutzutage auf Security Monitoring setzen? Welchen Nutzen ziehen sie daraus? Und worum handelt es sich dabei überhaupt?

Security Monitoring bezeichnet zunächst einmal die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist die Erkennung von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können. Diese Hinweise werden geprüft und bewertet, um dann ggf. zeitnah die angemessenen Gegenmaßnahmen einleiten zu können. Oftmals werden die Begriffe „Security Monitoring“ und „SIEM“ (Security Information and Event Management) synonym verwendet. Dabei gibt es durchaus Unterschiede im Leistungsumfang.

Das SIEM ist das zugrundeliegende System. Dabei werden im ersten Schritt, softwaregestützt Daten aus verschiedensten Log-Quellen (z.B. Firewall, Active Directory) gesammelt. Im nächsten Schritt werden diese Daten in ein einheitliches, verständliches Format gebracht. Auch kann ein SIEM erste Analysen liefern und bei verdächtigen Aktivitäten im Netzwerk Alarm schlagen.

Da manche bekannten Schwachstellen nicht geschlossen werden können, ohne die Arbeitsfähigkeit eines Unternehmens zu gefährden, ist es mit einem SIEM außerdem möglich, die Schwachstellen kontinuierlich unter Berücksichtigung ihrer potenziellen Ausnutzbarkeit zu überwachen. Das betrifft insbesondere Systeme, die häufig mit dem Internet kommunizieren, beispielsweise den E-Mail-Server.

Das Security Monitoring geht noch einen Schritt weiter als das bloße SIEM. Hier kommt wesentlich mehr menschliche Analysearbeit hinzu. Dabei rückt die konkrete Interpretation der gesammelten Informationen in den Fokus. Angenommen, ein System meldet eine Auffälligkeit bei der Nutzeranmeldung. Ein Benutzer gibt immer wieder das falsche Passwort ein. Dies kann einerseits Hinweis auf eine bösartige Brute-Force-Attacke sein. Andererseits besteht auch die Möglichkeit, dass der Benutzer gerade an diesem Tag dazu aufgefordert wurde, sein Passwort zu ändern, das neue noch nicht verinnerlicht hat und deshalb mehrfach das alte eingibt. Diese zweite Option wird von einem Analysten erkannt und kann als Regel hinterlegt werden. Die Software „lernt“ also, dass ab dem Zeitpunkt eines Passwortwechsels, Falscheingaben verstärkt zu erwarten sind. Dadurch werden Fehlalarme verringert.

Ob und welche Aktivitäten im Netzwerk verdächtig sind und welche nicht, kann von der zu überwachenden Systemstruktur und dem Nutzerverhalten abhängig sein. Klare Regeln kristallisieren sich erst während des laufenden Betriebs des Security Monitoring heraus. Das Monitoring wird gewissermaßen angelernt, kontinuierlich weiterentwickelt und dadurch immer effizienter. Nach der Analyse abgegebener Alarme werden die Regeln ggf. angepasst. Jedes Unternehmen hat hier seine eigenen Parameter, weswegen diese individuelle Abstimmung des SIEM und der Monitoring-Systeme sehr wichtig ist.

Zusammenfassend lässt sich also sagen, dass Security Monitoring zur Erkennung, Analyse und Abwehr von potenziellen Sicherheitsvorfällen dient. Durch ein SIEM werden die gesammelten Daten korreliert und zentral ausgewertet. Die Korrelation der Daten ermöglicht es, Muster und Trends zu identifizieren, die vom gewohnten Schema abweichen. Diese Analysen erfolgen nahezu in Echtzeit, wodurch die besonders schnelle Reaktion auf Sicherheitsvorfälle ermöglicht wird. Durch den Einsatz von Machine Learning können zudem Angriffe entdeckt werden, die für herkömmliche Systeme unsichtbar sind.

Warum brauchen Unternehmen Security Monitoring?

Dass die Bedrohungen durch Cyberkriminalität schon seit Jahren kontinuierlich zunehmen, ist nichts Neues mehr. Dennoch ist dieser Umstand ein stichfestes Argument, das für den Einsatz eines SIEM und Security Monitoring spricht.

Nur Unternehmen, die aktives Security Monitoring betreiben, haben überhaupt erst die Chance, den Ernstfall schnell zu erkennen und adäquat zu reagieren. Cyberangriffe und daraus resultierende Schäden können so entweder abgewehrt oder auf ein Minimum reduziert werden. Das Monitoring greift also in zwei der drei Kernbereiche der Cyber Security: Detektion und Reaktion. Und die kontinuierliche Überwachung der kritischen IT-Infrastruktur und vorhandener Sicherheitseinrichtungen steigert die Sicherheit eines jeden Unternehmens deutlich.

Zusätzlich werden durch das Security Monitoring auch Anforderungen verschiedener Normen erfüllt, darunter z. B. das BSI IT-Grundschutzkompendium, CIS Controls und ISO 27001.

www.8com.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Zero-Day-Lücke

Zero-Day-Lücken in MS Exchange ermöglichen Industriespionage

Microsoft hat Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in Microsoft Exchange veröffentlicht. Die Lücken werden derzeit von staatlichen Akteuren aktiv ausgenutzt.
Phishing

So schützen Sie sich vor Corona-Phishing

Phishing hat während der Corona-Krise stärker als zuvor zugenommen. Kriminelle nutzen die Verunsicherung und die Homeoffice-Situation gezielt aus, um an sensible Daten zu kommen, mit denen sie großen Schaden anrichten können.
IoT

Internet of Things (IoT): Altgeräte entpuppen sich als Sicherheitsfallen

Es klingt zu verlockend: Smarte Steckdosen und Lampen, Router oder Alarmanlagen werden auf digitalen Flohmärkten und sogar in manchen Online-Shops zu außergewöhnlich günstigen Preisen angeboten. Bei genauerem Hinsehen erweisen sich die vermeintlichen…
Trojaner

Gemeinsam gegen Verschlüsselungstrojaner

Funktionierende und sichere IT-Infrastrukturen sind von grundlegender Bedeutung für unsere Gesellschaft, das hat uns die Corona-Pandemie deutlich gezeigt. Mit fortschreitender Digitalisierung werden Unternehmen, Behörden sowie Bürger:Innen jedoch auch zur…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!