Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Security Specialist

Viele Unternehmen haben in ihren Ansätzen für das Incident Response noch große Lücken, weil ihre Tools keine Kontextinformationen abbilden können. Das Team des Security Operations Center (SOC) profitiert im Ernstfall von zusätzlichen Daten, die weiter als es bislang übliche Reports reichen.

Die aussagekräftige Analyse der Konnektivität ist eine dieser Lücken, die dem SOC-Team ein tieferes Verständnis der potenziellen Auswirkungen eines Vorfalls ermöglichen würden, indem es die Konnektivität zu und von den durch das Ereignis gefährdeten Anlagen hervorhebt. Mit anderen Worten, es zeigt den Mitarbeitern die Größe des Sicherheitsrisikos an, indem es angibt, wie weit sich der Angriff potenziell ausbreiten könnte.

Um zu verstehen, wie dies in der Praxis funktioniert, kann man sich vorstellen, dass ein bestimmter Server mit Malware infiziert ist. Was wird diese Malware als Nächstes tun? Eine typische Aktion könnte der Versuch sein, sich auf andere Systeme im Netzwerk auszubreiten, um diese ebenfalls zu infizieren. Eine weitere Möglichkeit wäre, zu versuchen, Daten vom infizierten Server zu stehlen und zu versuchen, diese Informationen an einen externen Controller zu senden. Eine dritte Option ist, den Server für Verbindungen von externen Adressen zu öffnen, um den Download weiterer bösartiger Software auszulösen, was beispielsweise ein typisches Verhalten für Ransomware ist.

Der mögliche Schweregrad solcher Strategien hängt von der Struktur des Netzwerks einer Organisation ab, und wo sich in dieser Struktur das kompromittierte System befindet. Ist dieser Server in der Lage, ausgehende Verbindungen zu IP-Adressen im Internet herzustellen? Wenn ja, dann kann Malware auf diesem Computer wahrscheinlich Daten an nicht legitime Dritte übertragen – daher ist die Behebung der Infektion eine Priorität, um Datenschutzverletzungen zu vermeiden.

Wenn jedoch der Datenverkehr vom betroffenen Server durch eine Firewall blockiert wird, verringert sich das Risiko für einen Verstoß gegen den Datenschutz. Ebenso ist es wichtig, die Möglichkeit einer seitlichen Bewegung in den internen Netzwerken des Unternehmens zu identifizieren. Ist es möglich, dass das gefährdete Asset auf andere interne Server zugreifen kann, die sensible Daten wie Kundendatenbanken oder Zahlungskarteninformationen enthalten? Ist die interne Netzwerksegmentierung des Unternehmens stark genug? Wenn sich die Malware nicht seitlich bewegen kann, um andere Systeme zu infizieren, sind die Sicherheitsmitarbeiter besser in der Lage, ihre Maßnahmen für das Incident Response zu priorisieren.

Was wäre, wenn?

Um die SOC-Teams bei der Beantwortung der entscheidenden Fragen „Was wäre, wenn?“ zu unterstützen, können Kombinationen aus SIEM- und Network Security Policy Management (NSPM)- Lösungen wie von AlgoSec die Durchführung automatisierter Verkehrssimulationen, sodass sie nicht nur feststellen können, welche Assets kompromittiert wurden, sondern auch, mit welchen anderen Systemen und Ressourcen sich diese Assets innerhalb und außerhalb des Unternehmens verbinden können. Dies reichert die Daten um wertvolle, zusätzliche Geschäftsdaten an, die den Teams helfen, die potenzielle Schwere eines Vorfalls zu erkennen und zu beurteilen.

Die Simulation des Datenverkehrs kann beispielsweise zeigen, dass ein infizierter Computer zwar gegen externe Verbindungen gesichert ist, aber möglicherweise nicht richtig von internen Ressourcen abgeschirmt wird, die sensibles Material enthalten. Daher sollte die Infektion auf diesem Computer für die Bereinigung priorisiert werden, bevor sich die Malware ausbreiten kann. Eine intelligente Verknüpfung aus NSPM- und SIEM-Lösung kann diese automatisierten, netzwerk- und verkehrsbewussten Simulationen in den Netzwerken von Unternehmen durchführen, um die Teams bei ihrem Incident Response zu unterstützen.

Fazit

Das Incident Response-Team im SOC profitiert von zusätzlichen Informationen, die mehr umfassen als die bislang üblichen Alarm- und Warnmeldungen wie Kontextinformationen zu Geschäftsprozessen oder eine Konnektivitätsanalyse. Die Verantwortlichen finden darin die Daten, die sie für eine Feinabstimmung und Priorisierung ihrer Reaktionen auf Sicherheitsvorfälle nutzen können, indem sie ihnen helfen, schnell herauszufinden, was für ihr Unternehmen wirklich wichtig ist.

Avishai Wool 160Prof. Avishai Wool, CTO bei AlgoSec

www.algosec.com

 

 

GRID LIST
Code und Frau

Wissen ist Macht: So funktioniert die MITRE ATT&CK Matrix

In letzter Zeit gab es viel Wirbel um die MITRE ATT&CK Matrix und wie sie der…
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Warum „Thinking Small“ für „bessere Netzwerksicherheit“ steht

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die…
Social Engineering

Social Engineering und die Cybersicherheit

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der…
Hacker Stadt

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche…
Ransomware

Unternehmen und Behörden haben ein neues altes Problem

Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des…
Cyberversicherung

Cyberversicherungen haben Lücken

Cyberversicherungen stellen eines der wachstumsstärksten Segmente des…