Startseite > Office & Kommunikation > Der Survival-Guide für Security-Analysten

Malware-Erkennungsrate von 300 Tagen

Der Survival-Guide für Security-Analysten

4. September 2015, 13:38 Uhr | Jess Garcia, Principal Instructor beim SANS Institut für SEC 503 Intrusion Detection In-Depth

In den letzten Jahren wurden zahlreiche Unternehmen von Cyber-Kriminellen angegriffen. Man könnte meinen, dass je mehr Opfer es gibt, umso schärfere Sicherheitsmaßnahmen müssten eigentlich auch getroffen werden. Das Gegenteil scheint aber eher der Fall zu sein.

Warum sonst gibt es Studien über weltweite Sicherheitstrends mit einer durchschnittlichen Malware-Erkennungsrate von 300 Tagen. Liegt es wirklich an den ausgefeilteren Angreifer-Skills, mit denen Cyber-Kriminelle ihre Malware besser verstecken oder liegt es eigentlich daran, dass es Sicherheitsabteilungen tatsächlich an Wissen für das Sicherheitsmanagement fehlt? Erfolgreiche Angriffe auf die zuständigen Sicherheitsverantwortlichen zu schieben, kann nicht die richtige Lösung sein, genauso wenig wie mehr Technologie einzuführen oder aber die IT-Sicherheit auszugliedern. Bot-Netzwerke gibt es bereits seit es Malware gibt und es ist schwierig Bots aufzudecken, wenn diese nur ein oder zweimal im Jahr mit dem Comand & Control Server kommunizieren. Sicherheitsverantwortliche müssen akzeptieren, dass auch dann, wenn sie die besten Sicherheitsmaßnahmen eingeführt haben, um das Unternehmensnetzwerk zu schützen, eine einfache Schwachstelle dennoch ausreicht, um Schadsoftware-Code ins Netzwerk einzuschleusen – und das fast ohne Spuren zu hinterlassen. Sie sollten besser einen Verantwortlichen für Incident Handling in ihren Teams einführen. Aber wie kommt man dahin? Diese Antwort ist nicht so einfach, aber hier sind ein paar Tipps und Tricks für den Anfang.

Menschliches Wissen über Technologie

Menschliches Wissen und die praktischen Fähigkeiten der Sicherheitsverantwortlichen sind immer über die Technologie zu stellen. Bevor man technische Lösungen einsetzt, sollte man sich Gedanken darüber machen, was man zu erreichen erhofft. Ein teures Monitoring-Tool nützt nichts, wenn es niemanden gibt, der es zielführend nutzen kann und die aufgelaufenen Daten richtig interpretieren kann. Weiterhin ist es wichtig, dass es einen Verantwortlichen für das Thema Intrusion-Detection gibt, der sich mit den zugehörigen Tools auskennt und einen Überblick über das Netzwerk hat. Dies kann ein Security-Analyst oder eine Person sein, die über solche Fähigkeiten verfügt und im Umgang mit entsprechenden Programmen geschult ist. Außerdem sollte man sein Netzwerk priorisieren und segmentieren, um es dem Experten einfacher zu machen, dieses im Blick zu behalten.