Einbeziehung der Connectivity Analysis in den Incident Response

Viele Unternehmen haben in ihren Ansätzen für das Incident Response noch große Lücken, weil ihre Tools keine Kontextinformationen abbilden können. Das Team des Security Operations Center (SOC) profitiert im Ernstfall von zusätzlichen Daten, die weiter als es bislang übliche Reports reichen.

Die aussagekräftige Analyse der Konnektivität ist eine dieser Lücken, die dem SOC-Team ein tieferes Verständnis der potenziellen Auswirkungen eines Vorfalls ermöglichen würden, indem es die Konnektivität zu und von den durch das Ereignis gefährdeten Anlagen hervorhebt. Mit anderen Worten, es zeigt den Mitarbeitern die Größe des Sicherheitsrisikos an, indem es angibt, wie weit sich der Angriff potenziell ausbreiten könnte.

Anzeige

Um zu verstehen, wie dies in der Praxis funktioniert, kann man sich vorstellen, dass ein bestimmter Server mit Malware infiziert ist. Was wird diese Malware als Nächstes tun? Eine typische Aktion könnte der Versuch sein, sich auf andere Systeme im Netzwerk auszubreiten, um diese ebenfalls zu infizieren. Eine weitere Möglichkeit wäre, zu versuchen, Daten vom infizierten Server zu stehlen und zu versuchen, diese Informationen an einen externen Controller zu senden. Eine dritte Option ist, den Server für Verbindungen von externen Adressen zu öffnen, um den Download weiterer bösartiger Software auszulösen, was beispielsweise ein typisches Verhalten für Ransomware ist.

Der mögliche Schweregrad solcher Strategien hängt von der Struktur des Netzwerks einer Organisation ab, und wo sich in dieser Struktur das kompromittierte System befindet. Ist dieser Server in der Lage, ausgehende Verbindungen zu IP-Adressen im Internet herzustellen? Wenn ja, dann kann Malware auf diesem Computer wahrscheinlich Daten an nicht legitime Dritte übertragen – daher ist die Behebung der Infektion eine Priorität, um Datenschutzverletzungen zu vermeiden.

Wenn jedoch der Datenverkehr vom betroffenen Server durch eine Firewall blockiert wird, verringert sich das Risiko für einen Verstoß gegen den Datenschutz. Ebenso ist es wichtig, die Möglichkeit einer seitlichen Bewegung in den internen Netzwerken des Unternehmens zu identifizieren. Ist es möglich, dass das gefährdete Asset auf andere interne Server zugreifen kann, die sensible Daten wie Kundendatenbanken oder Zahlungskarteninformationen enthalten? Ist die interne Netzwerksegmentierung des Unternehmens stark genug? Wenn sich die Malware nicht seitlich bewegen kann, um andere Systeme zu infizieren, sind die Sicherheitsmitarbeiter besser in der Lage, ihre Maßnahmen für das Incident Response zu priorisieren.

Was wäre, wenn?

Um die SOC-Teams bei der Beantwortung der entscheidenden Fragen „Was wäre, wenn?“ zu unterstützen, können Kombinationen aus SIEM- und Network Security Policy Management (NSPM)- Lösungen wie von AlgoSec die Durchführung automatisierter Verkehrssimulationen, sodass sie nicht nur feststellen können, welche Assets kompromittiert wurden, sondern auch, mit welchen anderen Systemen und Ressourcen sich diese Assets innerhalb und außerhalb des Unternehmens verbinden können. Dies reichert die Daten um wertvolle, zusätzliche Geschäftsdaten an, die den Teams helfen, die potenzielle Schwere eines Vorfalls zu erkennen und zu beurteilen.

Die Simulation des Datenverkehrs kann beispielsweise zeigen, dass ein infizierter Computer zwar gegen externe Verbindungen gesichert ist, aber möglicherweise nicht richtig von internen Ressourcen abgeschirmt wird, die sensibles Material enthalten. Daher sollte die Infektion auf diesem Computer für die Bereinigung priorisiert werden, bevor sich die Malware ausbreiten kann. Eine intelligente Verknüpfung aus NSPM- und SIEM-Lösung kann diese automatisierten, netzwerk- und verkehrsbewussten Simulationen in den Netzwerken von Unternehmen durchführen, um die Teams bei ihrem Incident Response zu unterstützen.

Fazit

Das Incident Response-Team im SOC profitiert von zusätzlichen Informationen, die mehr umfassen als die bislang üblichen Alarm- und Warnmeldungen wie Kontextinformationen zu Geschäftsprozessen oder eine Konnektivitätsanalyse. Die Verantwortlichen finden darin die Daten, die sie für eine Feinabstimmung und Priorisierung ihrer Reaktionen auf Sicherheitsvorfälle nutzen können, indem sie ihnen helfen, schnell herauszufinden, was für ihr Unternehmen wirklich wichtig ist.

Avishai Wool 160Prof. Avishai Wool, CTO bei AlgoSec

www.algosec.com

 

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.