So nutzen Unternehmen ihre Security-Investitionen effizienter

10 Tipps zur rechtzeitigen Erkennung von Angriffen auf Ihr Netzwerk

Seite: 2/3

3. Segmentieren Sie Ihre Daten und Informationen

Teilen Sie Ihr Netzwerk in Abschnitte ein, die auf ihren jeweiligen Funktionen basieren. Wenn Sie Server und/oder Systeme einem begrenzten Bereich zuordnen, können Sie dieses Segment gezielt auf ungewöhnlichen Datenverkehr hin überwachen.

Ordnen Sie beispielsweise alle physischen und auch virtuellen Datenbankserver einem Segment zu, können Sie dieses Segment auf Datenverkehr hin überwachen, der nur im Zusammenhang mit Datenbankservern steht. Anderer Datenverkehr, z.B. E-Mail-Datenverkehr, könnte auf eine Sicherheitsverletzung hinweisen.

4. Härten Sie Ihre Systeme und erkennen Sie unautorisierte Änderungen

Eine wesentliche Voraussetzung für Backups und Disaster Recovery sind bekannte und vertrauenswürdige Konfigurationen für wichtige Systeme und Server. Configuration Management kann jedoch auch ein wirkungsvolles Tool für die Identifizierung potenzieller Sicherheitsverletzungen sein, da Änderungen an der Konfiguration eines Systems auf einen Angriff hindeuten können.

An Ihren Produktionssystemen sollten Änderungen nur gemäß Ihrem Change Management-Prozess vorgenommen werden. Änderungen an wichtigen System- oder Anwendungsdateien können auf eine Malware-Infektion oder auf einen Angreifer hindeuten, der diese Dateien für eigene, nicht autorisierte Zwecke verändert. Das Monitoring auf unautorisierte Änderungen hin kann eine sehr effektive Methode für die schnelle Identifizierung potenzieller Sicherheitsverletzungen sein.

5. Überwachen und korrelieren Sie Ihre Logs

Alle Netzwerkgeräte und -systeme verfügen über eine integrierte Protokollfunktion. Diese Logs können sich als außergewöhnlich wertvolle Informationsquelle zu den Aktivitäten in Ihrem Netzwerk erweisen. Log Files enthalten oft wertvolle Informationen zu Security Events, die über einen längeren Zeitraum hinweg auftreten und die einen frühen Hinweis auf eine Sicherheitsverletzung geben können.

Log Files, die nicht analysiert oder ausgewertet werden, stellen für Ihre Sicherheitsanalysten jedoch einfach nur zusätzliches „Datenrauschen“ dar. Infolgedessen ist es möglich, dass wichtige Informationen übersehen werden. Indem Sie alle Log-Daten korrelieren und analysieren, um nach Mustern zu suchen, die – über mehrere Controls hinweg – auf eine potenzielle Sicherheitsverletzung hindeuten, erhalten Sie frühe Hinweise auf einen Angriff. Hierbei ist zu beachten, dass die Korrelationen und Szenarien, nach denen Sie suchen sollten, von Ihrem Unternehmen und seinem Profil abhängen.

Wenn sich beispielsweise an einem bestimmten Standort keine Anwender befinden, sollten Remote-Anmeldungen von diesem Standort einen Alarm auslösen. Andere ungewöhnliche Muster, nach denen Sie suchen sollten, umfassen ungewöhnliche Anmeldemuster für Benutzer, Dateiübertragungen an unbekannte Zielorte oder Verbindungen mit unbekannten Systemen an Remote-Standorten.

6. Lassen Sie Tools für die Störfallerkennung für sich arbeiten

Security Information Event Management Systeme (SIEM), IDS-Systeme und andere Security Monitoring Tools können Ihnen bei ordnungsgemäßer Implementierung eine Fülle hilfreicher Daten und wertvolle Einblicke in Bedrohungen an die Hand geben, die gegen Ihr Netzwerk gerichtet sind.

Wenn Sie SIEM-, Log Monitoring-, IDS- und/oder IPS-Systeme implementiert haben, stellen Sie sicher, dass diese richtig konfiguriert und für Ihre Umgebung optimiert sind. Zu diesem Zweck müssen Sie die Funktionsweise Ihres Netzwerks verstehen und wissen, welche Datenverkehrsmuster in Ihrer Umgebung normal sind, welche Typen von Events wichtig sind und welche ignoriert werden können.

Darüber hinaus kann das Erkennen zusammenhängender Events von verschiedenen Systemen sehr nützlich sein, um potenziell verdächtiges Verhalten zu identifizieren. Ein Vorfall, der auf Ihrem Webserver entdeckt wurde, ist an sich möglicherweise nicht verdächtig. Wird dieser Event aber mit einer Eskalation von Benutzerrechten und der Änderung einer wichtigen Datei in Verbindung gebracht, kann das Zusammentreffen auf ein erhöhtes Risiko hinweisen, das weitere Untersuchungen notwendig werden lässt.

Um die Tools für die Erkennung von Störfällen bedarfsgerecht zu konfigurieren muss Ihre Firma zwar Zeit und Geld investieren, diese Investition kann sich aber schnell auszahlen.

(ID:37271850)