Angriffserkennung mit geschlossenen Augen funktioniert nicht

Autor/Redakteur: Gregor Krah, Strategic Business Manager SOC Services bei FERNAO Networks/gg

“Ist der Schutzwall erst einmal aufgebaut, haben Unternehmen nichts mehr zu befürchten.” So einfach funktioniert Cybersicherheit heute nicht mehr: Dieser Beitrag befasst sich mit der Frage, warum IT-Verantwortliche ihren Maßnahmen zur Prävention nicht blind vertrauen sollten und wie sie Angriffe erkennen, noch bevor diese Schaden anrichten.

Bild: FERNAO Networks

Auch in Zukunft kann IT-Sicherheit nicht auf Prävention verzichten. Es ist nicht so, dass ein proaktives Vulnerability Management oder auch klassische Segmentierungslösungen wie Firewalls und Intrusion Prevention Systeme (IPS) ihre Daseinsberechtigungen verlieren. Sie alle sind definitiv eine wichtige Basis von Sicherheitskonzepten. Doch sie schützen letztendlich nur den Perimeter oder einzelne Netzwerkbereiche. Angesichts der wachsenden heterogenen Strukturen rund um Hybrid Cloud, Virtualisierung und untereinander vernetzte IoT-Geräte ist es notwendig, die Systeme nach „außen“ und „innen“ ganzheitlich abzusichern und den gesamten Pool an Applikationen, Datenbanken und Netzen permanent auf schädliche Aktivitäten zu untersuchen. 

Prävention und Detektion 

In der Sicherheitspraxis hinkt die Detektion allerdings im Vergleich zur Prävention hinterher. Dies liegt an der noch geringen Awareness für deren tatsächliche Relevanz im Security-Konzept. Daraus resultiert natürlich auch eine mangelhafte Investitionsbereitschaft. Doch verlassen sich Unternehmen zu sehr nur auf präventive Tools, hat Malware – sobald sie einmal den Perimeterschutz durchbrochen hat – leichtes Spiel. Denn gibt es keine detektiven Lösungen, um sie frühzeitig aufzuspüren, kann sie lange unentdeckt im Netzwerk agieren. Man spricht hier von Lateral Movement: Bedrohungsakteure bewegen sich seitwärts und völlig inkognito im Netzwerk, um dort kontinuierlich Informationen für ihr Angriffsziel zu sammeln.

Wird der Sicherheitsvorfall später doch bemerkt, sind die Folgen meist gravierend: CISOs müssen sich nicht nur vor der Geschäftsführung für lange versäumte Handlungen rechtfertigen. Je nach Ausprägung und betroffenen Datensätzen kann es sogar zu rechtlichen Konsequenzen im Zusammenhang mit Datenschutzbehörden kommen. Vor allem steigt der Response-Aufwand, je mehr die Visibilität im Netzwerk zuvor vernachlässigt wurde. Umfassende forensische Analysen sind notwendig, um den Angriffsverlauf zu rekonstruieren und Schwachstellen nachträglich aufzudecken und zu beheben.

Die Balance ist entscheidend 

Es kann sich als äußerst mühseliger und kostenintensiver Prozess erweisen, die gesamte Infrastruktur wieder zu bereinigen. Deshalb sollten Prävention und Detektion von vornherein ausbalanciert sein, das heißt innerhalb einer Sicherheitsstrategie gleiche Aufmerksamkeit erhalten. Ein zentrales Tool im Bereich Detektion ist eine SIEM-Lösung (Security Information and Event Management). Sie sammelt permanent Log-Daten von unterschiedlichen Netzwerk- und Sicherheitskomponenten, wertet diese mithilfe von Use Cases und Korrelationen aus, um dadurch potenzielle Cyberangriffe zu erkennen und Alarmmeldungen zu generieren. Doch viele Unternehmen schrecken vor dem Einsatz eines eigenen SIEM zurück. Denn die individuelle Entwicklung und Anpassung an die jeweilige Infrastruktur kann Monate oder sogar Jahre in Anspruch nehmen.  Entscheidend ist auch: Die Flutwelle an Alarmierungen alleine bringt noch keine IT-Sicherheit. Es kommt darüber hinaus auf das Fachwissen an, die sicherheitsrelevanten Daten zusammen mit dem Kontext, in dem sie stehen, interpretieren zu können.