Startseite > Office & Kommunikation > Cyber-Bedrohungen schneller erkennen und richtig reagieren

Security-Intelligence

Cyber-Bedrohungen schneller erkennen und richtig reagieren

25. Juni 2015, 15:17 Uhr | Roland Messmer, Direktor für Zentral- und Osteuropa, Logrhythm

Fortsetzung des Artikels von Teil 1

Lebenszyklus von Erkennung und Reaktion auf Bedrohungen

Eine effiziente Security-Intelligence arbeitet so automatisiert wie möglich. An jeder Stelle des Workflows können Unzulänglichkeiten auftauchen, die sich unter Umständen massiv auf die gesamte Effizienz auswirken. Daher sollten Unternehmen folgende Prozesse im Blick haben:

Erkennen: Das Erkennen ist der erste Schritt beim Identifizieren von Bedrohungen. Wenn beispielsweise Internet-Daten-verkehr aus einem Land kommt, in dem ein Unternehmen normalerweise nicht aktiv ist, kann dies auf einen Angriff hindeuten.

Der Erkennungsprozess muss die Ereignisse aus der Masse forensischer Daten extrahieren, die näher untersucht werden müssen. An dieser Stelle werden Benutzer- und Maschinendaten analysiert.

Benutzeranalysen sind personenbasiert. Sie stammen von Personen, die beispielsweise ein Dashboard überwachen, manuell Trends, Muster oder Verhaltensweisen evaluieren und aktiv nach Bedrohungen suchen.

Die maschinelle Analyse hingegen übernimmt eine Software. Sie überwacht und analysiert kontinuierlich forensische und Ereignisdaten. Die Hauptfunktionen der maschinellen Analyse sind das Erkennen von gut getarnten Bedrohungen und das Priorisieren von Bedrohungen, die von anderen Mechanismen erkannt wurden.

Qualifizieren: Dieser nächste Schritt ist besonders wichtig. Mithilfe weiterer Analysen wird festgestellt, ob eine Bedrohung tatsächlich ein Risiko beinhaltet. In diesem Fall ist eine weitere Analyse und eine Reaktion erforderlich. Ist die Qualifizierung unzureichend, werden entweder Bedrohungen übersehen oder Ressourcen für die Analyse von False Positives verschwendet.

Untersuchen: Meldet die Qualifizierung ein potenzielles Risiko, kann das Sicherheitsteam beginnen, eine Reaktion einzuleiten. Zunächst erfolgt eine detailliertere Untersuchung, um das tatsächlich von einer Bedrohung ausgehende Risiko zu ermitteln – und festzustellen, ob bereits ein Angriff erfolgt. Es folgt eine Empfehlung, ob weitergehende Maßnahmen zur Abwehr einzuleiten sind.

Entschärfen: Besteht ein reales Risiko für das Unternehmen, muss es minimiert oder eliminiert werden. Dieser Schritt hängt stark davon ab, ob genügend Informationen über die Quelle und die Auswirkungen einer Bedrohung bekannt sind und ausreichend Expertise für eine angemessene Reaktion vorhanden ist. Es handelt sich um eine zeitkritische Aktion, bei der Sicherheitsexperten enorm von einem integralen und fokussierten Einblick in alle mit der Bedrohung verbundenen Aktivitäten profitieren können. Ebenso wichtig sind organisationsübergreifende Funktionen zur Zusammenarbeit, Wissens-datenbanken und automatisierte Reaktionen.

Wiederherstellen: Dieser letzte Schritt stellt nach Möglichkeit den ursprünglichen Zustand wieder her. Dabei werden Reste der Bedrohung vollständig aus der IT-Umgebung entfernt, Schäden behoben, erforderliche Benachrichtigungen über den Angriff oder möglichen Datenverlust durchgeführt und der genaue Vorgang genau analysiert, um für zukünftige Attacken besser gerüstet zu sein.

Gegen die Uhr

Die Zeit vom Auftauchen erster Daten einer Bedrohung im Sammelprozess bis hin zu ihrer Entdeckung und der Entscheidung, ob ein Risiko besteht, ist die„Mean Time To Detection“. Die Zeit von der Qualifizierung bis hin zur Entschärfung zählt als „Mean Time To Response“. Beide sollten so kurz wie möglich sein.

Es sind Zeit und Ressourcen nötig, um unternehmensweit einen leistungsfähigen Schutzmechanismus aufzubauen. Dafür sind Investitionen nötig. Da die Ausgangssituation bei jedem Unternehmen unterschiedlich ist, ist es sinnvoll, zunächst die bereits vorhandenen Security-Intelligence-Fähigkeiten zu untersuchen und eine detaillierte Roadmap zu entwickeln, mit deren Hilfe sich die eigene IT-Sicherheit optimieren lässt.