Startseite > Office & Kommunikation > Security erlaubt keine halben Sachen

Security-Plattformen

Security erlaubt keine halben Sachen

25. Oktober 2017, 14:21 Uhr | Autor: Lydia Krowka / Redaktion: Axel Pomper

Anzahl und Schwere von Cyber-Attacken wachsen stetig. Gemäß einer im 1. Quartal 2017 von Bitkom Research durchgeführten Umfrage waren in den letzten zwei Jahren mehr als die Hälfte der befragten Unternehmen von Datendiebstahl, Industriespionage oder Spionage betroffen.

Und das, obwohl Firewalls und Antivirenprogramme als First Line of Defense schon jahrelang im Einsatz sind, deren Handhabung keine Herausforderung mehr darstellt und Workflows etabliert sind.

Bislang haben sich Unternehmen auf Technologien zur Prävention von Vorfällen konzentriert. Aufgrund der Meldepflicht von Sicherheitsvorfällen auf EU-Ebene werden Security-Verantwortliche mehr und mehr daran gemessen, wie schnell sie in der Lage sind, Angriffe abzuwehren, einzudämmen und Schäden zu verhindern. Um auf den Ernstfall vorbereitet zu sein, richtig zu reagieren und die Oberhand zu behalten, bedarf es eines ganzheitlichen Security-Ansatzes: Incident-Prevention, -Protection und –Response. Damit ist man in der Lage, schnell und flexibel auf Vorfälle zu reagieren und in kürzest möglicher Zeit zum Normalbetrieb zurückzukehren.

Für solch ein ganzheitliches Security-Konzept sind inzwischen innovative Security-Plattformen auf dem Markt, deren Funktionsspektrum von der Second Line of Defense bis zur Incident Response reicht.

Wer mithalten will, muss die Bedrohung (er)kennen

Welche Lösung als Second-Line-of-Defense auch immer eingesetzt wird: Achten Sie darauf, dass dadurch aus der ohnehin schon übermäßigen Flut an Alarmen kein Tsunami wird. Heutige Lösungen stellen sowohl eine Sicht auf das Netzwerk wie auch auf Endgeräte zur Verfügung. Durch die nahtlose Betrachtung der Angriffsziele wird die Widerstands- und die Reaktionsfähigkeit auf Cyberattacken deutlich verbessert.

Die Systeme monitoren das Netzwerk und untersuchen den Datenverkehr auf Anomalien im Verhalten und in Bezug auf Schadsoftware. Bei den Endpoints werden die Prozesse des Betriebssystems und von Applikationen sowie Memory und Dateien auf Auffälligkeiten untersucht. Bei manchen Systemen können die Endgeräte sogar die von anderen Tools gemeldeten Alarme verifizieren. Dazu prüfen Sie, inwiefern der Alarm tatsächlich zutrifft, welche Bereiche betroffen sind und leiten Remediation-Aufgaben ein.

Die neuen Systeme in der Second-Line-of-Defense zeichnen sich u.a. dadurch aus, dass sie auch die einzeln auftretenden Bruchstücke an Malware, wie sie bei modernen Angriffen APTs Advanced Persistent Threats verwendet werden und die vielleicht noch mehrfach in PDF- oder ZIP-Dateien eingepackt sind, zuverlässig identifizieren und als Schadcode enttarnen können. Dabei kommt der Korrelation von scheinbar harmlosen unzusammenhängenden Ereignissen besondere Bedeutung zu. Jede Korrelation bedarf zuvor der Analyse und Bewertung einer jeden vielleicht schadhaften Anomalie. In diese Betrachtung fließen sowohl die Netzwerkdaten wie auch Informationen vom Endgerät ein. Zusätzlich werden möglichst viele historische Daten durchleuchtet und Echtzeitdaten berücksichtigt. Auf diese Art und Weise fördert die Untersuchung die verschiedenen Phasen moderner Angriffsszenarien ans Tageslicht, das lateral movement zum Beispiel oder die C&C-Kommunikation bis hin zum unerlauben Ausleiten von Daten.

Für solche tiefgreifenden Analysen in immensen Datenvolumen verfügen moderne Sicherheitssysteme über KI Künstliche Intelligenz. Darüber hinaus sind sie in der Lage, auf den Endgeräten die zur Remediation notwendigen Schritte automatisiert einzuleiten: Das Sammeln der Daten rund um eine Verhaltensauffälligkeit oder einen Schadcode sowie die definierten Gegenmaßnahmen.

In der Praxis hat sich gezeigt, dass auf diese Art und Weise der Aufwand für die Bearbeitung von Vorfällen deutlich reduziert und präzisiert werden kann. Besonders gelobt wird das automatisierte Einsammeln und Aufbereiten relevanter Informationen rund um einen Event. Allein die Informationssammlung aus verschiedenen Quellen nahm bisher rund 80 Prozent der Gesamtzeit für Incident Response in Anspruch. Zeit, die nun für anspruchsvollere Aufgaben genutzt werden kann.