Zehn Faustregeln für die frühzeitige Störfallerkennung

So nutzen Unternehmen ihre Security-Investitionen wirklich effizient:

92 Prozent der Sicherheitsvorfälle werden nicht vom Unternehmen selbst, sondern von Dritten entdeckt – oft erst nach Wochen oder Monaten.*

Moderne Geschäftsumgebungen erfordern ein Höchstmaß an Agilität und Flexibilität und bewegen hierfür – über zahlreiche und unterschiedlichste IT- und Security-Vorrichtungen hinweg – immense Datenmengen. Parallel zum stetigen Anstieg des Datenvolumens sind der Schutz der Netzwerke und die Erkennung von Angriffen zu einer immer größeren Herausforderung geworden. Das belegt sehr deutlich der diesjährige Verizon Data Breach Investigations Report, wonach 92 Prozent aller untersuchten Sicherheitsverletzungen nicht von der betroffenen Organisation selbst, sondern von Dritten entdeckt wurden, die dann das Opfer informierten. Dabei kamen 85 Prozent der Angriffe erst nach Wochen oder noch später ans Tageslicht, hätten aber in 97% aller Fälle durch einfache oder unmittelbare Security Controls vermieden werden können.

Die Anwenderunternehmen sollten daher, so empfiehlt die auf automatisierte Security und IT-Compliance spezialisierte Tripwire Inc., (http://www.tripwire.com/de/emea/), zu einer gezielteren und effektiveren Nutzung ihrer Security-Vorrichtungen übergehen – als effizient einsetzbare Mechanismen, die einen Angreifer daran hindern, sein Ziel zu erreichen. Mit diesem Ansatz können Unternehmen einen potenziellen Angriff viel früher erkennen und entsprechend reagieren.

Die folgenden zehn Regeln zeigen Vorgehensweisen auf, die für die frühzeitige Aufdeckung von Störfällen sorgen und eine entsprechend schnelle, adäquate Reaktion ermöglichen:

  1. 1.       KENNEN SIE IHR GESCHÄFT

Die Kenntnis der betrieblichen Abläufe in Ihrer Organisation und wichtiger Geschäftsmuster kann entscheidend sein, um potenzielle Bedrohungen zu erkennen. Bedeutende Geschäftszyklen, etwa öffentliche Produktankündigungen oder Medienberichte über andere Geschäftsaktivitäten können einen Angriff aus verschiedenen Richtungen auslösen. Wenn Sie sich dieser Events bewusst sind, können Sie sich gezielt gegen eventuelle Angriffe wappnen.

  1. 2.       ANALYSIEREN SIE NETZWERKMUSTER UND -VERHALTENSWEISEN

Alle Netzwerke verfügen, Ihren Geschäftsaktivitäten und Systemen entsprechend, über eindeutige Verhaltensmuster für den Datenverkehr. Wenn Sie das „normale“ Muster in Ihrem Netzwerk kennen und verstehen, können Sie eventuelle Abweichungen und damit einen frühen Hinweis auf einen potenziellen Sicherheitsvorfall leicht erkennen. Vor allem können Services wie Tauschbörsen, P2P-Netzwerke oder Cloud-Dienste dafür genutzt werden, sensitive Daten aus Ihrem Unternehmen heraus zu schleusen. So kann z. B. ein hoher Anstieg bei der Verwendung von P2P-Netzwerkprotokollen ein Hinweis auf die Übertragung großer Datenmengen, möglicherweise auch auf ein eingeschleustes Botnet sein, für dessen Steuerung der P2P-Datenverkehr verwendet wird.

  1. 3.       SEGMENTIEREN SIE IHRE DATEN UND INFORMATIONEN

Teilen Sie Ihr Netzwerk in Abschnitte ein, die auf ihren jeweiligen Funktionen basieren. Wenn Sie Server und/oder Systeme einem begrenzten Bereich zuordnen, können Sie dieses Segment gezielt auf ungewöhnlichen Datenverkehr hin überwachen. Ordnen Sie beispielsweise alle physischen und auch virtuellen Datenbankserver einem Segment zu, können Sie dieses Segment auf Datenverkehr hin überwachen, der nur im Zusammenhang mit Datenbankservern steht. Anderer Datenverkehr, z. B. E-Mail-Datenverkehr, könnte auf eine Sicherheitsverletzung hinweisen.

  1. 4.       HÄRTEN SIE IHRE SYSTEME UND ERKENNEN SIE UNAUTORISIERTE ÄNDERUNGEN

Eine wesentliche Voraussetzung für Backups und Disaster Recovery sind bekannte und vertrauenswürdige Konfigurationen für wichtige Systeme und Server. Configuration Management kann jedoch auch ein wirkungsvolles Tool für die Identifizierung potenzieller Sicherheitsverletzungen sein, da Änderungen an der Konfiguration eines Systems auf einen Angriff hindeuten können. An Ihren Produktionssystemen sollten Änderungen nur gemäß Ihrem Change Management-Prozess vorgenommen werden. Änderungen an wichtigen System- oder Anwendungsdateien können auf eine Malware-Infektion oder auf einen Angreifer hindeuten, der diese Dateien für eigene,  nicht autorisierte Zwecke verändert. Das Monitoring auf unautorisierte Änderungen hin kann eine sehr effektive Methode für die schnelle Identifizierung potenzieller Sicherheitsverletzungen sein.

  1. 5.       ÜBERWACHEN UND KORRELIEREN SIE IHRE LOGS

Alle Netzwerkgeräte und -systeme verfügen über eine integrierte Protokollfunktion. Diese Logs können sich als außergewöhnlich wertvolle Informationsquelle zu den Aktivitäten in Ihrem Netzwerk erweisen. Log Files enthalten oft wertvolle Informationen zu Security Events, die über einen längeren Zeitraum hinweg auftreten und die einen frühen Hinweis auf eine Sicherheitsverletzung geben können. Log Files, die nicht analysiert oder ausgewertet werden, stellen für Ihre Sicherheitsanalysten jedoch einfach nur zusätzliches „Datenrauschen“ dar. Infolgedessen ist es möglich, dass wichtige Informationen übersehen werden. Indem Sie alle Log-Daten korrelieren und analysieren, um nach Mustern zu suchen, die – über mehrere Controls hinweg – auf eine potenzielle Sicherheitsverletzung hindeuten, erhalten Sie frühe Hinweise auf einen Angriff. Hierbei ist zu beachten, dass die Korrelationen und Szenarien, nach denen Sie suchen sollten, von Ihrem Unternehmen und seinem Profil abhängen. Wenn sich beispielsweise an einem bestimmten Standort keine Anwender befinden, sollten Remote-Anmeldungen von diesem Standort einen Alarm auslösen. Andere ungewöhnliche Muster, nach denen Sie suchen sollten, umfassen ungewöhnliche Anmeldemuster für Benutzer, Dateiübertragungen an unbekannte Zielorte oder Verbindungen mit unbekannten Systemen an Remote-Standorten.

  1. 6.       LASSEN SIE TOOLS FÜR DIE STÖRFALLERKENNUNG FÜR SIE ARBEITEN

Security Information Event Management Systeme (SIEM), IDS-Systeme und andere Security Monitoring Tools können Ihnen – bei ordnungsgemäßer Implementierung – eine Fülle hilfreicher Daten und wertvolle Einblicke in Bedrohungen an die Hand geben, die gegen Ihr Netzwerk gerichtet sind.

Wenn Sie SIEM-, Log Monitoring-, IDS- und/oder IPS-Systeme implementiert haben, stellen Sie sicher, dass diese richtig konfiguriert und für Ihre Umgebung optimiert sind. Zu diesem Zweck müssen Sie die Funktionsweise Ihres Netzwerks verstehen und wissen, welche Datenverkehrsmuster in Ihrer Umgebung normal sind, welche Typen von Events wichtig sind und welche ignoriert werden können. Darüber hinaus kann das Erkennen zusammenhängender Events von verschiedenen Systemen sehr nützlich sein, um potenziell verdächtiges Verhalten zu identifizieren. Ein Vorfall, der auf Ihrem Webserver entdeckt wurde, ist an sich möglicherweise nicht verdächtig. Wird dieser Event aber mit einer Eskalation von Benutzerrechten und der Änderung einer wichtigen Datei in Verbindung gebracht, kann das Zusammentreffen auf ein erhöhtes Risiko hinweisen, das weitere Untersuchungen notwendig werden lässt. Um die Tools für die Erkennung von Störfällen bedarfsgerecht zu konfigurieren muss Ihre Organisation zwar Zeit und Geld investieren – diese Investition wird sich jedoch auszahlen.

  1. 7.       SCHULEN SIE IHRE MITARBEITER UND PARTNER

In jedem Unternehmen sind die intelligentesten und effektivsten Tools für die Störfallerkennung die eigenen Mitarbeiter, jedoch werden diese „Tools“ nur selten optimal genutzt. Dabei ist es unerlässlich und kann sich als sehr effektiv erweisen, die Mitarbeiter und auch Geschäftspartner aktiv in die Security-Prozesse Ihres Unternehmens mit einzubinden, sie z. B. in der Erkennung von potenziellen Phishing-E-Mails und verdächtigem Systemverhalten zu schulen und dazu anzuhalten, solche Vorfälle zu melden.

  1. 8.       GEWINNEN SIE INFORMATIONEN AUS OPEN SOURCE-RESSOURCEN

Viele der jüngsten Angriffe wurden öffentlich auf Social Media-Plattformen wie Twitter oder Facebook diskutiert, bevor und nachdem sie gestartet wurden. Ein aktives Monitoring dieser Plattformen im Hinblick auf Schlüsselwörter, die in Verbindung mit Ihrer Organisation stehen, kann eine sehr effektive Methode sein, evtl. Angriffe auf Ihre Systeme frühzeitig zu erkennen. Hierfür bieten inzwischen eine Reihe kommerzieller Unternehmen wie z.B. Google ihre Services an. Sie überwachen das Internet und andere Quellen aktiv im Hinblick auf Vorfälle und Daten, die Auswirkungen auf Ihre Organisation haben können oder auf kompromittierte Systeme hinweisen.

  1. 9.       LOCKEN SIE POTENZIELLE ANGREIFER MIT HONIG

Ein „Honigtopf“ ist ein System, das so konfiguriert ist, dass es wie ein echtes, aktives System funktioniert und aussieht, tatsächlich aber verwendet wird, um potenzielle Angreifer anzulocken. So erfahren Sie von deren Aktivitäten und können die Angriffsmethoden analysieren. Da Honigtöpfe in der Regel nicht so sicher sind wie ein Produktionssystem, stellen sie ein attraktives Ziel für Angreifer dar. Honigtöpfe, die an wichtigen Positionen Ihres Netzwerks implementiert sind und aktiv überwacht werden, können darauf hinweisen, dass Ihr Netzwerk kompromittiert wurde und dass ein Angreifer aktiv versucht, Ihre Systeme zu kompromittieren.

  1. 10.   TAUSCHEN SIE SICH AUS

Die Interaktion mit Fachkollegen und branchenspezifischen Informationsaustausch-Plattformen ist eine sehr effektive Methode, um von potenziellen Angriffen zu erfahren und Informationen zu Angriffen, Angriffsmethoden und Verteidigungslösungen zu erhalten. Sie sollten außerdem die Zusammenarbeit mit den Strafverfolgungsbehörden und lokalen Security-Initiativen in Betracht ziehen. Auf diese Weise erhalten Sie frühzeitig Informationen zu neuen Bedrohungstypen und –vektoren und können angemessene Abwehr- und Monitoring-Maßnahmen einrichten.

* http://www.verizonbusiness.com/de/Products/security/dbir/