Malware-Erkennungsrate von 300 Tagen
Der Survival-Guide für Security-Analysten
Fortsetzung des Artikels von Teil 2
Training, Training und nochmal Training ist der Schlüssel
Neben den Dingen, die man sich selbst beibringen kann, gibt es auch noch Dinge, für die ein externes Training in einem Fortbildungskurs sinnvoll ist. In diesen Kursen lernen die Teilnehmer etwa, wie man "Snort" konfiguriert und dafür Signaturen schreibt. Ebenso erlernt wird der richtige Umgang mit "Bro". Beispielsweise lässt sich mit dem Framework von "Bro" eine Analyse für hybriden Traffic durchführen. Ein weiteres Tool, das in diesem Zusammenhang genannt werden muss, ist SiLK. Ein Verständnis für die Komponenten der TCP/IP-Layer ist die Grundlage, um normalen und abnormalen Traffic zu identifizieren und voneinander zu unterscheiden.
Open-Source Analyse-Tools für die Suche nach Intrusion-Spuren sind sehr hilfreich. Security-Analysten müssen darüber hinaus lernen, wie man Netzwerk-Forensik betreibt, um Traffic zu untersuchen und mögliche Einbrüche zu finden. Praxis zur Programmierung von tcpdump-Filtern, um selektiv nach spezifischem Traffic zu suchen und verschiedene Log-Daten zu synchronisieren, ist ebenfalls nicht verkehrt. Hier geht es darum, die Analyse auszudehnen, um noch genauer etwaige Unregelmäßigkeiten aufzuspüren.
Sind Security-Analysten erst einmal in der Lage, auf dieses Wissen und diese Fähigkeiten zuzugreifen, dann sind sie auch in der Lage, IDS-Sensoren eigenständig zu platzieren und Traffic aus dem Netzwerk heraus zu "sniffen". Beides wird ihnen dabei helfen, sich den strategischen Vorteil zu erarbeiten, den sie brauchen, um mit heutigen Angriffen fertig zu werden. Die Grundlage einer erfolgreichen Verteidigungsstrategie ist es zu lernen, wie ein Angreifer zu denken und damit, wie man sich mit welchen Tools Zugriff worauf verschafft. Mit diesen Analyse-Tools und Tipps haben sich Verteidiger also schon mal eine grundsolide Basis geschaffen.
Fazit
Derzeit haben Sicherheitsverantwortliche nicht gerade viel zu lachen. Die einzige Möglichkeit, um Angriffe vorauszuahnen, ist es selbst wie ein Angreifer zu denken, das heißt herauszufinden wo er ansetzen, mit welchen Tools er arbeiten und was diese können würden. Netzwerke zu monitoren und zu überblicken wird immer wichtiger, denn es gibt immer mehr Geräte und Anwendungen, die in einem Unternehmensnetzwerk miteinander kommunizieren. Darüber hinaus werden Geräte mit dem Internet verbunden, die niemals dafür gedacht waren damit verbunden zu werden und demnach auch nicht vor externen Angriffen geschützt sind. Nicht zuletzt deshalb ist es so wichtig, sich entsprechend weiterzubilden und eine Incident Handling-Funktion in den IT-Sicherheitsabteilungen einzuführen. Nur dann werden Security-Analysten wieder in der Lage sein, so schnell auf Angriffe zu reagieren, dass sie Schaden effektiv abwenden können, bevor er überhaupt entsteht. Eine Sicherheitslücke, die von Angreifern ausgenutzt wurde, ist nichts, auf dass man sich groß vorbereiten kann, denn jeder Angriff läuft anders ab. Hat man jedoch die richtigen Tools, weiß wie man diese einsetzt und wo man nach abnormalen Traffic suchen muss, dann können die Folgen eines Angriffs minimiert werden und Bots werden deutlich früher als erst nach 300 Tagen erkannt und aus dem Netzwerk verbannt.
- Der Survival-Guide für Security-Analysten
- Intrusion-Detection – Die Suche nach außerirdischem Leben im Netzwerk
- Training, Training und nochmal Training ist der Schlüssel
Lesen Sie mehr zum Thema
