Anzeige

Anzeige

VERANSTALTUNGEN

Be CIO Summit
26.09.19 - 26.09.19
In Design Offices Frankfurt Wiesenhüttenplatz, Frankfurt am Main

3. DIGITAL MARKETING 4HEROES CONFERENCE
08.10.19 - 08.10.19
In Wien

it-sa 2019
08.10.19 - 10.10.19
In Nürnberg, Messezentrum

3. DIGITAL MARKETING 4HEROES CONFERENCE
15.10.19 - 15.10.19
In München

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

Anzeige

Anzeige

Security Specialist

Viele Unternehmen haben in ihren Ansätzen für das Incident Response noch große Lücken, weil ihre Tools keine Kontextinformationen abbilden können. Das Team des Security Operations Center (SOC) profitiert im Ernstfall von zusätzlichen Daten, die weiter als es bislang übliche Reports reichen.

Die aussagekräftige Analyse der Konnektivität ist eine dieser Lücken, die dem SOC-Team ein tieferes Verständnis der potenziellen Auswirkungen eines Vorfalls ermöglichen würden, indem es die Konnektivität zu und von den durch das Ereignis gefährdeten Anlagen hervorhebt. Mit anderen Worten, es zeigt den Mitarbeitern die Größe des Sicherheitsrisikos an, indem es angibt, wie weit sich der Angriff potenziell ausbreiten könnte.

Um zu verstehen, wie dies in der Praxis funktioniert, kann man sich vorstellen, dass ein bestimmter Server mit Malware infiziert ist. Was wird diese Malware als Nächstes tun? Eine typische Aktion könnte der Versuch sein, sich auf andere Systeme im Netzwerk auszubreiten, um diese ebenfalls zu infizieren. Eine weitere Möglichkeit wäre, zu versuchen, Daten vom infizierten Server zu stehlen und zu versuchen, diese Informationen an einen externen Controller zu senden. Eine dritte Option ist, den Server für Verbindungen von externen Adressen zu öffnen, um den Download weiterer bösartiger Software auszulösen, was beispielsweise ein typisches Verhalten für Ransomware ist.

Der mögliche Schweregrad solcher Strategien hängt von der Struktur des Netzwerks einer Organisation ab, und wo sich in dieser Struktur das kompromittierte System befindet. Ist dieser Server in der Lage, ausgehende Verbindungen zu IP-Adressen im Internet herzustellen? Wenn ja, dann kann Malware auf diesem Computer wahrscheinlich Daten an nicht legitime Dritte übertragen – daher ist die Behebung der Infektion eine Priorität, um Datenschutzverletzungen zu vermeiden.

Wenn jedoch der Datenverkehr vom betroffenen Server durch eine Firewall blockiert wird, verringert sich das Risiko für einen Verstoß gegen den Datenschutz. Ebenso ist es wichtig, die Möglichkeit einer seitlichen Bewegung in den internen Netzwerken des Unternehmens zu identifizieren. Ist es möglich, dass das gefährdete Asset auf andere interne Server zugreifen kann, die sensible Daten wie Kundendatenbanken oder Zahlungskarteninformationen enthalten? Ist die interne Netzwerksegmentierung des Unternehmens stark genug? Wenn sich die Malware nicht seitlich bewegen kann, um andere Systeme zu infizieren, sind die Sicherheitsmitarbeiter besser in der Lage, ihre Maßnahmen für das Incident Response zu priorisieren.

Was wäre, wenn?

Um die SOC-Teams bei der Beantwortung der entscheidenden Fragen „Was wäre, wenn?“ zu unterstützen, können Kombinationen aus SIEM- und Network Security Policy Management (NSPM)- Lösungen wie von AlgoSec die Durchführung automatisierter Verkehrssimulationen, sodass sie nicht nur feststellen können, welche Assets kompromittiert wurden, sondern auch, mit welchen anderen Systemen und Ressourcen sich diese Assets innerhalb und außerhalb des Unternehmens verbinden können. Dies reichert die Daten um wertvolle, zusätzliche Geschäftsdaten an, die den Teams helfen, die potenzielle Schwere eines Vorfalls zu erkennen und zu beurteilen.

Die Simulation des Datenverkehrs kann beispielsweise zeigen, dass ein infizierter Computer zwar gegen externe Verbindungen gesichert ist, aber möglicherweise nicht richtig von internen Ressourcen abgeschirmt wird, die sensibles Material enthalten. Daher sollte die Infektion auf diesem Computer für die Bereinigung priorisiert werden, bevor sich die Malware ausbreiten kann. Eine intelligente Verknüpfung aus NSPM- und SIEM-Lösung kann diese automatisierten, netzwerk- und verkehrsbewussten Simulationen in den Netzwerken von Unternehmen durchführen, um die Teams bei ihrem Incident Response zu unterstützen.

Fazit

Das Incident Response-Team im SOC profitiert von zusätzlichen Informationen, die mehr umfassen als die bislang üblichen Alarm- und Warnmeldungen wie Kontextinformationen zu Geschäftsprozessen oder eine Konnektivitätsanalyse. Die Verantwortlichen finden darin die Daten, die sie für eine Feinabstimmung und Priorisierung ihrer Reaktionen auf Sicherheitsvorfälle nutzen können, indem sie ihnen helfen, schnell herauszufinden, was für ihr Unternehmen wirklich wichtig ist.

Avishai Wool 160Prof. Avishai Wool, CTO bei AlgoSec

www.algosec.com

 

 

GRID LIST
Thomas Kohl

Schnelle und sichere Umsetzung der PSD2 Anforderungen

Ab dem 14. September 2019 greift die neue Zahlungsrichtlinie Payment Service Directive 2…
Container

3 Faktoren zur Erhöhung der Containersicherheit

DevOps sind aus der agilen Softwareentwicklung nicht mehr wegzudenken. Dabei kommen in…
Blockchain Schutz

Schutz für Blockchain-basierte Anwendungen

Die neue Lösung Kaspersky Enterprise Blockchain Security schützt Blockchain-basierte…
Nick Coley

Vom "Open-Banking-Spielplatz" in die Praxis

Ab Samstag den 14. September müssen Konsumenten beim Online-Banking eine…
Netzwerk und Menschen

Netzsicherheit für das SD-WAN

Das software-definierte WAN erlaubt Unternehmen, ihr Netz schneller anzupassen und…
Hacker Stop

Den Hacker im Browser isolieren

Mitarbeiter benutzen Browser für eine unendliche Anzahl an Tätigkeiten und Unternehmen…