Security Intelligence optimal planen
Schluss mit Datengräbern
Mehr als die Hälfte der weltweiten Kosten für Internetkriminalität gehen auf das Konto von Insider-, DoS-Attacken und webbasierten Angriffen. Mit einem SIEM kann die Gefahr deutlich minimiert werden. Thomas Mörwald von TÜV Rheinland, worauf bei der Einführung von Security Intelligence zu achten ist.
funkschau: Wie gut sind Unternehmen darüber informiert, was in den eigenen Netzwerken gerade vorstatten geht?
Thomas Mörwald: Wir sehen in der Praxis, dass noch lange nicht jedes Unternehmen systematisch Sicherheitsinformationen erhebt oder Bedrohungsanalysen durchführt. Das ist deshalb problematisch, weil sich die Bedrohungslage immer dynamischer gestaltet, es immer mehr Angriffswege gibt und sich gesetzliche und regulatorische Anforderungen weiter verschärfen. Unternehmen und Öffentliche Hand sind stärker denn je gefordert, ihre IT-Infrastrukturen wirksam zu kontrollieren.
funkschau: Was ist also zu tun?
Mörwald: Eine effektive IT-Sicherheitsstrategie beinhaltet nicht nur Prävention, sondern sieht auch die Abwehr von Cyber-Attacken vor – und zwar eine zeitnahe, denn bei der Schadensbegrenzung kommt es darauf an, schnell zu handeln. Damit das überhaupt möglich wird, müssen Sicherheitsvorfälle erst einmal detektiert werden.
funkschau: Welche Methode empfehlen Sie?
Mörwald: Ein Ansatz, Angriffe auf die eigene Infrastruktur zu erkennen, ist die Einführung eines Security-Information-and-Event-Management-Systems (SIEM). Damit lassen sich die Log-Meldungen aller angebundenen Komponenten zentral sammeln und auswerten. Auch die Korrelation, also die Verknüpfung von Log-Meldungen unterschiedlicher Systeme ist möglich. Bekannte Angriffsmuster, aber auch Abweichungen von der Norm, die auf eine Attacke hindeuten könnten, lassen sich mit modernen Lösungen so fast in Echtzeit erkennen. Auf Basis dieses Wissens kann das Unternehmen umgehend Gegenmaßnahmen einleiten. Die zentrale Sammlung von Log-Meldungen erleichtert im Nachhinein auch die forensische Rekonstruktion der Ereignisse.
funkschau: SIEM-Systeme stehen heute im Ruf, vor allem viel Geld und Ressourcen zu verschlingen und dabei lediglich nutzlose Datengräber zu erzeugen.
Mörwald: Leider hört man das immer wieder, allerdings wird man der neuen Generation von SIEM-Systemen damit nicht gerecht. SIEM hat angesichts sich schnell wandelnder Angriffe heute mehr denn je seine Berechtigung. Neben der Erfüllung regulativer und vertraglicher Anforderungen bzw. Compliance leistet professionelle Security Intelligence wertvolle Unterstützung bei der Identifikation von Sicherheitsvorfällen, kann die Reaktionszeit bei unerwünschten Zuständen hinsichtlich Suche, Troubleshooting und Forensik erheblich verkürzen und ist eine wichtige Grundlage für das Reporting, wenn es um die Auswertung der operativen Sicherheitslage geht.
Außerdem bietet es die Möglichkeit, den hohen Stellenwert der Informationssicherheit im Unternehmen gegenüber Dritten transparent nachzuweisen.
Um die berüchtigten Datengräber zu vermeiden, ist ein ganzheitlicher Ansatz einer über die komplette IT-Infrastruktur implementierten Realtime Security Intelligence notwendig: Mit der Überwachung von Systemen und Netzen und der Auswertung der gesammelten Informationen in Echtzeit erhält das Unternehmen fundiertes Wissen über die Vorgänge im Netzwerk – ein unerlässlicher Sicherheitsgewinn, liefern die Informationen doch eine rationale Entscheidungsgrundlage für oder gegen bestimmte IT-Sicherheitsmaßnahmen.
- Schluss mit Datengräbern
- SIEM erfolgreich betreiben
- Das A und O
Lesen Sie mehr zum Thema
