Anzeige

Security Operations Center

Warum sollten Unternehmen heutzutage auf Security Monitoring setzen? Welchen Nutzen ziehen sie daraus? Und worum handelt es sich dabei überhaupt?

Security Monitoring bezeichnet zunächst einmal die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist die Erkennung von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können. Diese Hinweise werden geprüft und bewertet, um dann ggf. zeitnah die angemessenen Gegenmaßnahmen einleiten zu können. Oftmals werden die Begriffe „Security Monitoring“ und „SIEM“ (Security Information and Event Management) synonym verwendet. Dabei gibt es durchaus Unterschiede im Leistungsumfang.

Das SIEM ist das zugrundeliegende System. Dabei werden im ersten Schritt, softwaregestützt Daten aus verschiedensten Log-Quellen (z.B. Firewall, Active Directory) gesammelt. Im nächsten Schritt werden diese Daten in ein einheitliches, verständliches Format gebracht. Auch kann ein SIEM erste Analysen liefern und bei verdächtigen Aktivitäten im Netzwerk Alarm schlagen.

Da manche bekannten Schwachstellen nicht geschlossen werden können, ohne die Arbeitsfähigkeit eines Unternehmens zu gefährden, ist es mit einem SIEM außerdem möglich, die Schwachstellen kontinuierlich unter Berücksichtigung ihrer potenziellen Ausnutzbarkeit zu überwachen. Das betrifft insbesondere Systeme, die häufig mit dem Internet kommunizieren, beispielsweise den E-Mail-Server.

Das Security Monitoring geht noch einen Schritt weiter als das bloße SIEM. Hier kommt wesentlich mehr menschliche Analysearbeit hinzu. Dabei rückt die konkrete Interpretation der gesammelten Informationen in den Fokus. Angenommen, ein System meldet eine Auffälligkeit bei der Nutzeranmeldung. Ein Benutzer gibt immer wieder das falsche Passwort ein. Dies kann einerseits Hinweis auf eine bösartige Brute-Force-Attacke sein. Andererseits besteht auch die Möglichkeit, dass der Benutzer gerade an diesem Tag dazu aufgefordert wurde, sein Passwort zu ändern, das neue noch nicht verinnerlicht hat und deshalb mehrfach das alte eingibt. Diese zweite Option wird von einem Analysten erkannt und kann als Regel hinterlegt werden. Die Software „lernt“ also, dass ab dem Zeitpunkt eines Passwortwechsels, Falscheingaben verstärkt zu erwarten sind. Dadurch werden Fehlalarme verringert.

Ob und welche Aktivitäten im Netzwerk verdächtig sind und welche nicht, kann von der zu überwachenden Systemstruktur und dem Nutzerverhalten abhängig sein. Klare Regeln kristallisieren sich erst während des laufenden Betriebs des Security Monitoring heraus. Das Monitoring wird gewissermaßen angelernt, kontinuierlich weiterentwickelt und dadurch immer effizienter. Nach der Analyse abgegebener Alarme werden die Regeln ggf. angepasst. Jedes Unternehmen hat hier seine eigenen Parameter, weswegen diese individuelle Abstimmung des SIEM und der Monitoring-Systeme sehr wichtig ist.

Zusammenfassend lässt sich also sagen, dass Security Monitoring zur Erkennung, Analyse und Abwehr von potenziellen Sicherheitsvorfällen dient. Durch ein SIEM werden die gesammelten Daten korreliert und zentral ausgewertet. Die Korrelation der Daten ermöglicht es, Muster und Trends zu identifizieren, die vom gewohnten Schema abweichen. Diese Analysen erfolgen nahezu in Echtzeit, wodurch die besonders schnelle Reaktion auf Sicherheitsvorfälle ermöglicht wird. Durch den Einsatz von Machine Learning können zudem Angriffe entdeckt werden, die für herkömmliche Systeme unsichtbar sind.

Warum brauchen Unternehmen Security Monitoring?

Dass die Bedrohungen durch Cyberkriminalität schon seit Jahren kontinuierlich zunehmen, ist nichts Neues mehr. Dennoch ist dieser Umstand ein stichfestes Argument, das für den Einsatz eines SIEM und Security Monitoring spricht.

Nur Unternehmen, die aktives Security Monitoring betreiben, haben überhaupt erst die Chance, den Ernstfall schnell zu erkennen und adäquat zu reagieren. Cyberangriffe und daraus resultierende Schäden können so entweder abgewehrt oder auf ein Minimum reduziert werden. Das Monitoring greift also in zwei der drei Kernbereiche der Cyber Security: Detektion und Reaktion. Und die kontinuierliche Überwachung der kritischen IT-Infrastruktur und vorhandener Sicherheitseinrichtungen steigert die Sicherheit eines jeden Unternehmens deutlich.

Zusätzlich werden durch das Security Monitoring auch Anforderungen verschiedener Normen erfüllt, darunter z. B. das BSI IT-Grundschutzkompendium, CIS Controls und ISO 27001.

www.8com.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

RemoteWork Sicherheit

In drei Schritten zu mehr Netzwerksicherheit im Remote-Umfeld

Die Corona-Pandemie zwang im Frühjahr viele Unternehmen quasi über Nacht zur Digitalisierung. Dies gelang mal besser, mal schlechter, doch so langsam ist der Großteil von ihnen in der neuen Realität von Fernarbeit und Onlinekonferenzen angekommen.
Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!