Krisenkommunikation

Kontextinfos für schnelle Analysen

Dies gelingt schneller, wenn zusätzlich eine mit Risiko- und Kontext-Informationen gut ausgestattete Asset-Datenbank und/oder eine CMDB zur Verfügung stehen, die eventuell sogar direkt mit dem SIEM verbunden sind. In diesem Fall erfährt der Sicherheitsspezialist an der Konsole des SIEM-Werkzeugs sofort und ohne langes Suchen, ob der Server 117 mit einer ganz bestimmten IP-Adresse, der gerade Anzeichen für einen Manipulationsversuch meldet, unwichtige oder hoch kritische Daten beherbergt. All dies wird zugleich dokumentiert. Die beschriebenen SIEM-Fähigkeiten erlauben es dem Team im Sicherheitsleitstand einen Angriff in so frühen Stadien zu entdecken, dass der Hacker noch vor Erreichen seines eigentlichen Ziels gestoppt werden kann, etwa indem man ihn aussperrt oder kritische Systeme rechtzeitig abschottet. Typische Cyberangriffe durchlaufen immer wieder bestimmte Stadien. Beispielsweise verschafft sich ein Krimineller einen ersten Zugang durch eine Malware, die er über eine Phishing-Attacke eingeschleust hat. Dann allerdings muss er sich im Netz orientieren, die Malware ferngesteuert weiterverbreiten, und versuchen, an weitere Anmeldedaten von interessanten Systemen heranzukommen. All diese Schritte sind Indikatoren, die ein gutes SIEM-System entweder anhand von Angriffsmustern erkennen kann, die zuvor eingepflegt wurden, oder weil sie als Anomalien auffallen.  

SOAR-Systeme (Security Orchestration, Automation und Response) gehen noch einen Schritt weiter, indem sie die Gegenwehr so weit wie möglich automatisieren und beispielsweise selbst Abschottungsmaßnahmen einleiten oder zumindest Bereitschaftsteams aktivieren. Automatisierung und das Outsourcen des teuren Rund-um-die-Uhr-Monitorings der SOC-Werkzeuge sind dabei gängige Möglichkeiten, die Kosten der Angriffserkennung zu senken.

Die dokumentierte Einrichtung eines SOCs dürfte mit den richtigen Werkzeugen unter Unternehmen, also im Business-to-Business-Bereich, derzeit die wohl wirksamste vertrauensbildende Maßnahme sein – sowohl nach einem Vorfall als auch vorsorglich. Ein SOC reduziert die Gefahr, dass Angriffe Schaden verursachen – und wenn ihnen dies einmal nicht gelingt, machen sie den Verlauf und die Auswirkungen transparent. Beides hilft im Fall der Fälle sowohl der unmittelbar betroffenen Institution als auch den Partnern. Bei Konsumenten wirkt die SOC-Einrichtung mittelbar, weil sie betroffenen Unternehmen eine professionelle Kommunikation ermöglicht. Der Nutzen eines SOCs lässt sich veranschaulichen – als Aufbau eines Alarmsystems mit Polizeipatrouillen und Einsatzkräften, das wie in der Realität die Türschlösser, Fensterriegel und Schutzwälle ergänzt.

Rob Pronk ist Regional Director Central, Northern & Eastern Europe bei LogRhythm.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Krisenkommunikation
2. Grundsätze der Krisenkommunikation
3. Kontextinfos für schnelle Analysen

Lesen Sie mehr zum Thema

Weitere Artikel zu LogRhythm Inc.

LogRhythm erweitert seine SIEM-Plattform

Entlastung für Sicherheitsexperten

Milliarden von Geräten über CPU-Lücken angreifbar

Super-GAU für die IT-Branche

Gastkommentar

DSGVO: Wer erklären kann, wird auch gewinnen

Gastkommentar

Die Lehren aus den Fehlern von Dropbox und OneLogin

SIEM kommt im Mittelstand an

LogRhythm verstärkt Channel-Engagement

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen