Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Security Specialist

Viele Unternehmen haben in ihren Ansätzen für das Incident Response noch große Lücken, weil ihre Tools keine Kontextinformationen abbilden können. Das Team des Security Operations Center (SOC) profitiert im Ernstfall von zusätzlichen Daten, die weiter als es bislang übliche Reports reichen.

Die aussagekräftige Analyse der Konnektivität ist eine dieser Lücken, die dem SOC-Team ein tieferes Verständnis der potenziellen Auswirkungen eines Vorfalls ermöglichen würden, indem es die Konnektivität zu und von den durch das Ereignis gefährdeten Anlagen hervorhebt. Mit anderen Worten, es zeigt den Mitarbeitern die Größe des Sicherheitsrisikos an, indem es angibt, wie weit sich der Angriff potenziell ausbreiten könnte.

Um zu verstehen, wie dies in der Praxis funktioniert, kann man sich vorstellen, dass ein bestimmter Server mit Malware infiziert ist. Was wird diese Malware als Nächstes tun? Eine typische Aktion könnte der Versuch sein, sich auf andere Systeme im Netzwerk auszubreiten, um diese ebenfalls zu infizieren. Eine weitere Möglichkeit wäre, zu versuchen, Daten vom infizierten Server zu stehlen und zu versuchen, diese Informationen an einen externen Controller zu senden. Eine dritte Option ist, den Server für Verbindungen von externen Adressen zu öffnen, um den Download weiterer bösartiger Software auszulösen, was beispielsweise ein typisches Verhalten für Ransomware ist.

Der mögliche Schweregrad solcher Strategien hängt von der Struktur des Netzwerks einer Organisation ab, und wo sich in dieser Struktur das kompromittierte System befindet. Ist dieser Server in der Lage, ausgehende Verbindungen zu IP-Adressen im Internet herzustellen? Wenn ja, dann kann Malware auf diesem Computer wahrscheinlich Daten an nicht legitime Dritte übertragen – daher ist die Behebung der Infektion eine Priorität, um Datenschutzverletzungen zu vermeiden.

Wenn jedoch der Datenverkehr vom betroffenen Server durch eine Firewall blockiert wird, verringert sich das Risiko für einen Verstoß gegen den Datenschutz. Ebenso ist es wichtig, die Möglichkeit einer seitlichen Bewegung in den internen Netzwerken des Unternehmens zu identifizieren. Ist es möglich, dass das gefährdete Asset auf andere interne Server zugreifen kann, die sensible Daten wie Kundendatenbanken oder Zahlungskarteninformationen enthalten? Ist die interne Netzwerksegmentierung des Unternehmens stark genug? Wenn sich die Malware nicht seitlich bewegen kann, um andere Systeme zu infizieren, sind die Sicherheitsmitarbeiter besser in der Lage, ihre Maßnahmen für das Incident Response zu priorisieren.

Was wäre, wenn?

Um die SOC-Teams bei der Beantwortung der entscheidenden Fragen „Was wäre, wenn?“ zu unterstützen, können Kombinationen aus SIEM- und Network Security Policy Management (NSPM)- Lösungen wie von AlgoSec die Durchführung automatisierter Verkehrssimulationen, sodass sie nicht nur feststellen können, welche Assets kompromittiert wurden, sondern auch, mit welchen anderen Systemen und Ressourcen sich diese Assets innerhalb und außerhalb des Unternehmens verbinden können. Dies reichert die Daten um wertvolle, zusätzliche Geschäftsdaten an, die den Teams helfen, die potenzielle Schwere eines Vorfalls zu erkennen und zu beurteilen.

Die Simulation des Datenverkehrs kann beispielsweise zeigen, dass ein infizierter Computer zwar gegen externe Verbindungen gesichert ist, aber möglicherweise nicht richtig von internen Ressourcen abgeschirmt wird, die sensibles Material enthalten. Daher sollte die Infektion auf diesem Computer für die Bereinigung priorisiert werden, bevor sich die Malware ausbreiten kann. Eine intelligente Verknüpfung aus NSPM- und SIEM-Lösung kann diese automatisierten, netzwerk- und verkehrsbewussten Simulationen in den Netzwerken von Unternehmen durchführen, um die Teams bei ihrem Incident Response zu unterstützen.

Fazit

Das Incident Response-Team im SOC profitiert von zusätzlichen Informationen, die mehr umfassen als die bislang üblichen Alarm- und Warnmeldungen wie Kontextinformationen zu Geschäftsprozessen oder eine Konnektivitätsanalyse. Die Verantwortlichen finden darin die Daten, die sie für eine Feinabstimmung und Priorisierung ihrer Reaktionen auf Sicherheitsvorfälle nutzen können, indem sie ihnen helfen, schnell herauszufinden, was für ihr Unternehmen wirklich wichtig ist.

Avishai Wool 160Prof. Avishai Wool, CTO bei AlgoSec

www.algosec.com

 

 

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…