Mehr IT-Sicherheit mit SIEM & Co.
Gezielte Cyberangriffe abwehren
Fortsetzung des Artikels von Teil 1
Verhalten und Anomalien analysieren
Um Anomalien im Verhalten von Menschen und Systemen genauer erkennen zu können, lassen sich als ergänzende Komponente Techniken wie UEBA (User and Entity Behavior Analytics) und XDR (Extended Detection and Response) einsetzen. Die Analyse des Benutzer- und Entitätsverhaltens kann dabei helfen, normale und abnormale Aktivitäten im Netzwerk schnell zu erkennen, weil sie zusätzlich zu vordefinierten Korrelationsregeln und Angriffsmustern auch eigene Relationen erzeugt und gleichzeitig mehrere Datenquellen einbezieht.
Die Anomalieerkennung verwendet ML-Prozesse (maschinelles Lernen), um die regelmäßige Aktivität jedes Benutzers und Geräts aufzuzeichnen. So lassen sich Sicherheitsvorfälle finden, die herkömmliche Tools nicht erkennen. ML-Technik kann das Verfahren verkürzen, weil sie nur diejenigen Benutzerkonten oder Geräte untersucht, die verdächtig sind.
In dem Maße, wie Organisationen immer komplexere IT-Infrastrukturen auf- und ausbauen, hat SIEM in den letzten Jahren an Bedeutung gewonnen. Unternehmen, die – je nach Reifegrad ihres IT-Security-Konzepts – bereits eine SIEM-Lösung nutzen, können ihre IT-Sicherheitsspezialisten, -analysten beziehungsweise ihr Security Operations Center (SOC) entlasten, indem sie den gesamten Erkennungs-, Untersuchungs- und Reaktionsprozess automatisieren.
Security-Spezialisten sind knapp und teuer, SOCs generell unterbesetzt. Deshalb sollten sie Werkzeuge an die Hand bekommen, mit denen sie weniger Zeit mit einer manuellen Überwachung verbringen, sondern mehr Zeit mit der Lösung von Fällen, die mit einem SIEM orchestriert und automatisiert wurden.
Reaktion und Automatisierungsgrad
Es gibt generell vier Möglichkeiten, wie Unternehmen reagieren können, um Gegenmaßnahmen gegen Cyberangriffe zu ergreifen. Erstens kann die IT-Abteilung manuell Gegenmaßnahmen umsetzen. Der Vorteil besteht darin, dass die Beschäftigten sich gut im System auskennen. Der Nachteil liegt in den hohen Kosten eines SOC-Betriebs rund um die Uhr an jedem Tag, den ein Unternehmen zudem kaum personell besetzen kann.
Die zweite Möglichkeit besteht darin, SOC as a Service als Erweiterung der SIEM-Lösung von einem Dienstleister zu beziehen. Man sollte darauf achten, dass der Dienstleister nicht nur die Analyse von Sicherheitsvorfällen, sondern auch Reaktion darauf (Incidence Response) übernimmt.
Drittens eignet sich SOAR (Security Orchestration, Automation, and Response) zur Reaktion auf fest definierte Ereignisse. Es lässt sich gut mit SIEM kombinieren, um festzulegen, für welchen Anwendungsfall jeweils automatisch mit welcher Gegenmaßnahme zu reagieren ist. Ein Nachteil liegt darin, dass feste Regeln sich als unflexibel erweisen können. Zum Beispiel würden dieselben auffälligen Login-Versuche zwischen 22:00 Uhr und 8:00 Uhr zu einer anderen Zeit – etwa von 8:01 Uhr bis 21:59 Uhr – als nicht gravierend klassifiziert.
Viertens schließlich sind KI-basierte XDR-Lösungen darauf ausgelegt, eigenständige Beurteilungen der Situation und bei Bedarf geeignete Reaktionen einzuleiten, ohne dass ein Analyst eingreifen muss. Dadurch reagiert die Lösung schneller und ist weniger personalintensiv. Allerdings lässt sich aufgrund der KI-basierten Entscheidung nicht nachvollziehen, warum genau die Software mit der jeweils getroffenen Gegenmaßnahme reagiert hat.
Fazit
Um besser auf Bedrohungen reagieren und mit relativ wenig Auswand mehr erreichen zu können, sollten Organisationen und Unternehmen in der Lage sein, Sicherheitsvorfälle schnell zu identifizieren, zu analysieren und zu priorisieren. Ein höheres Schutzniveau lässt sich idealerweise erreichen durch die Kombination der Analysefunktionen eines SIEM-Systems mit einer Lösung zum Erkennen von Anomalien im Verhalten von Benutzern und Maschinen sowie leistungsstarken automatisierten Reaktionstools wie SOAR oder XDR.
André Tauber ist Geschäftsführer von Connectware.
- Gezielte Cyberangriffe abwehren
- Verhalten und Anomalien analysieren
Lesen Sie mehr zum Thema
