Sysbus
ArtikelSecurity

Angriffserkennung mit geschlossenen Augen funktioniert nicht

gcg

Managed Threat Detection & Alerting (MTDA)

Vielen Unternehmen fehlen allerdings die entsprechenden Spezialisten, um von den vorhandenen IT-Security-Produkten nachhaltig Gebrauch zu machen. In solchen Fällen ist es eine gute Alternative, Managed-Services-Anbieter als Unterstützung für interne Sicherheitsteams hinzuzuziehen. Durch ein unterbrechungsfreies Monitoring und ihre Expertise liefern sie Unternehmen einen klaren Mehrwert für die IT-Sicherheit: Die Spezialisten überprüfen die Aktivitätsdaten, korrelieren die Informationen und qualifizieren so jeden Alarm. Dadurch ist gewährleistet, dass auf kritische IT-Sicherheitsvorfälle sofort reagiert werden kann. Außerdem lassen sich aus den Sicherheitswarnungen False Positives herausfiltern. 

Sichtbarkeit und Sicherheit

Nur durch den 24/7-Blick auf sämtliche Netzwerkaktivitäten lässt sich eine potenzielle Bedrohung so früh wie möglich erkennen, die darauf folgende Handlung von IT-Mitarbeitern beschleunigen und das Risiko minimieren, dass Sicherheitsverantwortliche auf Warnungen nicht oder nicht angemessen reagieren. Idealerweise wird ein Angriff dadurch direkt im Keim erstickt. Ist ein Sicherheitsvorfall bereits eingetreten, können sich Unternehmen bei einem Dienstleister zudem Hilfe im Bereich Incident Response holen. Managed-SIEM-Partner bieten auch oft erweiterte Sicherheitsleistungen an, beispielsweise rund um den Betrieb von Firewall, Secure E-Mail Gateway (SEG) oder Endpoint Protection. Abgerundet wird ein professioneller MTDA-Service durch ein lückenloses Reporting an den Auftraggeber und die Einhaltung der Compliance-Vorgaben, was den internen CISOs Rückendeckung bei ihrer Arbeit liefert.

Wie lassen sich Angriffswege abbilden? 

Für die Detektion von Cyberattacken stehen verschiedene Ansätze zur Verfügung. Eine besonders effektive Methode ist das Unified Kill Chain Modell. Dieses Modell zur Angriffserkennung basiert auf drei Phasen. Es zeigt, wie Cyberkriminelle klassischerweise vorgehen, wenn sie in ein Netzwerk eindringen. Die erste Stufe ‚Initial Foothold‘ umfasst die Vorgeschichte, mit der die meisten Attacken beginnen: Angreifer prüfen zuerst die Rahmenbedingungen, die bei ihrem anvisierten Opfer gelten. Wie sieht die Infrastruktur aus? Wer arbeitet dort? Wo befinden sich Einfallstore? 

Dementsprechend wählen sie ihre Angriffstaktik und Werkzeuge aus. Diese reichen von Social Engineering der Mitarbeiter über die Ausnutzung von Schwachstellen, wie sie beispielsweise bei fehlenden Patches und mangelhaften Konfigurationen entstehen, bis hin zur indirekten Infiltration über Geschäftspartner des Opfers. Ziel ist es, möglichst schnell die Kontrolle über vorhandene Systeme zu erlangen, um Daten abfließen zu lassen oder Manipulationen an den Systemen durchzuführen.

Gelingt dies, können sich die Akteure in der zweiten Phase immer weiter horizontal im Netzwerk ausbreiten, in die Rechteverwaltung zu ihren Gunsten eingreifen und sich somit Zugriff auf hochsensible Ressourcen verschaffen. Alle diese Aktivitäten finden unterhalb der äußeren Segmentierungsschicht des Netzwerks statt. Den Perimeter haben die Cyberkriminellen also bereits durchdrungen. In diesem Stadium greift die Prävention nicht mehr; demgegenüber steigt die Relevanz von detektiven Sicherheitsmaßnahmen, um ungewöhnliche Aktivitäten innerhalb der Infrastruktur aufzuspüren. Ohne Detektionslösungen können solche kriminellen Handlungen sehr lange unbemerkt bleiben. 

In der dritten Phase geht es dann allerdings schnell: Haben die Angreifer ausreichende Kontrolle über das Netzwerk erlangt, möchten sie meist rasch ihr eigentliches Ziel in die Tat umsetzen, beispielsweise den Diebstahl sensibler Unternehmensdaten.  

Vorteile des Unified Kill Chain Modells

Das Unified Kill Chain Modell kombiniert verschiedene bekannte Modelle zur Detektion, zum Beispiel den klassischen Cyber-Kill-Chain-Ansatz mit MITRE ATT&CK. Es verbindet die Stärken der einzelnen Modelle – in diesem Fall die Analyse der Eindringungstiefe und die Erforschung der inneren Ausbreitung – und sorgt dafür, dass Managed Services Provider Bedrohungen präzise untersuchen und Angriffsschritte realitätsnah abbilden können. So lassen sich auch Zero Day Threats oder komplexe Schadprogramme frühzeitig entdecken und Response-Maßnahmen zielgerichtet steuern.

Ähnliche Beiträge:

  1. Nur nicht die Kontrolle verlieren: Warum XDR die nötigen Einblicke für bestmögliche Sicherheit im Netzwerk liefert
  2. LogPoint Version 5.4: Mehr Performance und Support für Hochsicherheitsumgebungen und Managed Security Services
  3. Neues SonicWall MSSP-Programm bietet Partnern mehr Optionen für ihre Managed Security Services
  4. Die NIS-2 Direktive als Startschuss für eine Security-Initiative im Unternehmen

Das könnte dir auch gefallen

Mit professionellem Lizenzmanagement stressfrei durchs nächste Software-Audit

gcg

No-Code/Low-Code als Antwort auf den Fachkräftemangel

gcg

Wenn Cyberkriminelle die Seiten wechseln: Der Einsatz von Ethical Hackers

gcg