So nutzen Unternehmen ihre Security-Investitionen effizienter 10 Tipps zur rechtzeitigen Erkennung von Angriffen auf Ihr Netzwerk

Redakteur: Peter Schmitz

Rund 85 Prozent aller Sicherheitsverletzungen kommen erst nach Wochen ans Tageslicht, dabei hätten sie in 97 Prozent aller Fälle durch einfache Security Controls vermieden werden können, sagt Compliance- und Log-Experte Tripwire

Unternehmen entdecken Angriffe auf die Sicherheit ihres Netzwerks und ihrer Daten oft erst viel zu spät oder gar nicht und das trotz hoher Investitionen in Security-Systeme. Was fehlt ist der Überblick und die Korrelation aller Informationen.
Unternehmen entdecken Angriffe auf die Sicherheit ihres Netzwerks und ihrer Daten oft erst viel zu spät oder gar nicht und das trotz hoher Investitionen in Security-Systeme. Was fehlt ist der Überblick und die Korrelation aller Informationen.
(Bild: alphaspirit, Fotolia.com)

Moderne Unternehmen müssen agil und flexibel sein und bewegen hierfür immense Datenmengen, meist über verschiedene Security-Systeme hinweg und können trotz hoher Investitionen in die IT-Sicherheit oft nicht rechtzeitig erkennen, wenn das Netzwerk angegriffen wird.

Das belegt u.a. der diesjährige Verizon Data Breach Investigations Report, wonach 92 Prozent aller untersuchten Sicherheitsverletzungen nicht vom betroffenen Unternehmen selbst, sondern von Dritten entdeckt wurden, die dann das Opfer informierten. Dabei kamen 85 Prozent der Angriffe erst nach Wochen oder noch später ans Tageslicht, hätten aber in 97 Prozent aller Fälle durch einfache oder unmittelbare Security Controls vermieden werden können.

Unternehmen sollten daher, so empfiehlt das auf Logmanagement und Compliance spezialisierte Softwarehersteller Tripwire, zu einer gezielteren und effektiveren Nutzung ihrer Security-Systeme übergehen, um einen potenziellen Angriff so viel früher erkennen und abwehren zu können.

Die folgenden zehn Regeln zeigen Vorgehensweisen auf, die für die frühzeitige Aufdeckung von Störfällen sorgen und eine entsprechend schnelle, adäquate Reaktion ermöglichen:

1. Kennen Sie Ihr Geschäft

Auch bei der IT kann die Kenntnis der betrieblichen Abläufe im Unternehmen und wichtiger Geschäftsmuster entscheidend sein, um Bedrohungen zu erkennen.

Bedeutende Geschäftszyklen, etwa öffentliche Produktankündigungen oder Medienberichte über andere Geschäftsaktivitäten können einen Angriff aus verschiedenen Richtungen auslösen. Wenn die IT-Abteilung sich dieser Events bewusst ist, kann man sich gezielt gegen eventuelle Angriffe wappnen.

2. Analysieren Sie Netzwerkmuster und -Verhaltensweisen

Alle Netzwerke verfügen über eindeutige Verhaltensmuster für den Datenverkehr. Wenn Sie das „normale“ Muster in Ihrem Netzwerk kennen und verstehen, können Sie eventuelle Abweichungen und damit einen frühen Hinweis auf einen potenziellen Sicherheitsvorfall leicht erkennen.

Vor allem können Services wie Tauschbörsen, P2P-Netzwerke oder Cloud-Dienste dafür genutzt werden, sensitive Daten aus Ihrem Unternehmen heraus zu schleusen. So kann z.B. ein hoher Anstieg bei der Verwendung von P2P-Netzwerkprotokollen ein Hinweis auf die Übertragung großer Datenmengen, möglicherweise auch auf ein eingeschleustes Botnet sein, für dessen Steuerung der P2P-Datenverkehr verwendet wird.

3. Segmentieren Sie Ihre Daten und Informationen

Teilen Sie Ihr Netzwerk in Abschnitte ein, die auf ihren jeweiligen Funktionen basieren. Wenn Sie Server und/oder Systeme einem begrenzten Bereich zuordnen, können Sie dieses Segment gezielt auf ungewöhnlichen Datenverkehr hin überwachen.

Ordnen Sie beispielsweise alle physischen und auch virtuellen Datenbankserver einem Segment zu, können Sie dieses Segment auf Datenverkehr hin überwachen, der nur im Zusammenhang mit Datenbankservern steht. Anderer Datenverkehr, z.B. E-Mail-Datenverkehr, könnte auf eine Sicherheitsverletzung hinweisen.

4. Härten Sie Ihre Systeme und erkennen Sie unautorisierte Änderungen

Eine wesentliche Voraussetzung für Backups und Disaster Recovery sind bekannte und vertrauenswürdige Konfigurationen für wichtige Systeme und Server. Configuration Management kann jedoch auch ein wirkungsvolles Tool für die Identifizierung potenzieller Sicherheitsverletzungen sein, da Änderungen an der Konfiguration eines Systems auf einen Angriff hindeuten können.

An Ihren Produktionssystemen sollten Änderungen nur gemäß Ihrem Change Management-Prozess vorgenommen werden. Änderungen an wichtigen System- oder Anwendungsdateien können auf eine Malware-Infektion oder auf einen Angreifer hindeuten, der diese Dateien für eigene, nicht autorisierte Zwecke verändert. Das Monitoring auf unautorisierte Änderungen hin kann eine sehr effektive Methode für die schnelle Identifizierung potenzieller Sicherheitsverletzungen sein.

5. Überwachen und korrelieren Sie Ihre Logs

Alle Netzwerkgeräte und -systeme verfügen über eine integrierte Protokollfunktion. Diese Logs können sich als außergewöhnlich wertvolle Informationsquelle zu den Aktivitäten in Ihrem Netzwerk erweisen. Log Files enthalten oft wertvolle Informationen zu Security Events, die über einen längeren Zeitraum hinweg auftreten und die einen frühen Hinweis auf eine Sicherheitsverletzung geben können.

Log Files, die nicht analysiert oder ausgewertet werden, stellen für Ihre Sicherheitsanalysten jedoch einfach nur zusätzliches „Datenrauschen“ dar. Infolgedessen ist es möglich, dass wichtige Informationen übersehen werden. Indem Sie alle Log-Daten korrelieren und analysieren, um nach Mustern zu suchen, die – über mehrere Controls hinweg – auf eine potenzielle Sicherheitsverletzung hindeuten, erhalten Sie frühe Hinweise auf einen Angriff. Hierbei ist zu beachten, dass die Korrelationen und Szenarien, nach denen Sie suchen sollten, von Ihrem Unternehmen und seinem Profil abhängen.

Wenn sich beispielsweise an einem bestimmten Standort keine Anwender befinden, sollten Remote-Anmeldungen von diesem Standort einen Alarm auslösen. Andere ungewöhnliche Muster, nach denen Sie suchen sollten, umfassen ungewöhnliche Anmeldemuster für Benutzer, Dateiübertragungen an unbekannte Zielorte oder Verbindungen mit unbekannten Systemen an Remote-Standorten.

6. Lassen Sie Tools für die Störfallerkennung für sich arbeiten

Security Information Event Management Systeme (SIEM), IDS-Systeme und andere Security Monitoring Tools können Ihnen bei ordnungsgemäßer Implementierung eine Fülle hilfreicher Daten und wertvolle Einblicke in Bedrohungen an die Hand geben, die gegen Ihr Netzwerk gerichtet sind.

Wenn Sie SIEM-, Log Monitoring-, IDS- und/oder IPS-Systeme implementiert haben, stellen Sie sicher, dass diese richtig konfiguriert und für Ihre Umgebung optimiert sind. Zu diesem Zweck müssen Sie die Funktionsweise Ihres Netzwerks verstehen und wissen, welche Datenverkehrsmuster in Ihrer Umgebung normal sind, welche Typen von Events wichtig sind und welche ignoriert werden können.

Darüber hinaus kann das Erkennen zusammenhängender Events von verschiedenen Systemen sehr nützlich sein, um potenziell verdächtiges Verhalten zu identifizieren. Ein Vorfall, der auf Ihrem Webserver entdeckt wurde, ist an sich möglicherweise nicht verdächtig. Wird dieser Event aber mit einer Eskalation von Benutzerrechten und der Änderung einer wichtigen Datei in Verbindung gebracht, kann das Zusammentreffen auf ein erhöhtes Risiko hinweisen, das weitere Untersuchungen notwendig werden lässt.

Um die Tools für die Erkennung von Störfällen bedarfsgerecht zu konfigurieren muss Ihre Firma zwar Zeit und Geld investieren, diese Investition kann sich aber schnell auszahlen.

7. Schulen Sie Ihre Mitarbeiter und Partner

In jedem Unternehmen sind die intelligentesten und effektivsten Tools für die Störfallerkennung die eigenen Mitarbeiter, jedoch werden diese „Tools“ nur selten optimal genutzt.

Dabei ist es unerlässlich und kann sich als sehr effektiv erweisen, die Mitarbeiter und auch Geschäftspartner aktiv in die Security-Prozesse Ihres Unternehmens mit einzubinden, sie z.B. in der Erkennung von potenziellen Phishing-E-Mails und verdächtigem Systemverhalten zu schulen und dazu anzuhalten, solche Vorfälle zu melden.

8. Gewinnen Sie Informationen aus Open Source-Ressourcen

Viele der jüngsten Angriffe wurden öffentlich auf Social Media-Plattformen wie Twitter oder Facebook diskutiert, bevor und nachdem sie gestartet wurden.

Ein aktives Monitoring dieser Plattformen im Hinblick auf Schlüsselwörter, die in Verbindung mit ihrem Unternehmen stehen, kann eine sehr effektive Methode sein, eventuelle Angriffe frühzeitig zu erkennen. Hierfür bieten inzwischen eine Reihe kommerzieller Unternehmen wie z.B. Google ihre Services an.

9. Locken Sie potenzielle Angreifer mit Honig

Ein Honigtopf (Honeypot) ist ein System, das so konfiguriert ist, dass es wie ein echtes, aktives System funktioniert und aussieht, tatsächlich aber verwendet wird, um potenzielle Angreifer anzulocken.

So erfahren Sie von deren Aktivitäten und können die Angriffsmethoden analysieren. Da Honigtöpfe in der Regel nicht so sicher sind wie ein Produktionssystem, stellen sie ein attraktives Ziel für Angreifer dar. Honigtöpfe, die an wichtigen Positionen Ihres Netzwerks eingerichtet sind und aktiv überwacht werden, können aufzeigen, wenn es einem Angreifer gelungen ist in Ihr Netzwerk einzudringen.

10. Tauschen Sie sich aus

Die Interaktion mit Fachkollegen und branchenspezifischen Informationsaustausch-Plattformen (z.B. auch im Forum von Security-Insider.de) ist eine sehr effektive Methode, um von potenziellen Angriffen zu erfahren und Informationen zu Angriffen, Angriffsmethoden und Verteidigungslösungen zu erhalten.

Sie sollten außerdem die Zusammenarbeit mit den Strafverfolgungsbehörden und lokalen Security-Initiativen in Betracht ziehen. Auf diese Weise erhalten Sie frühzeitig Informationen zu neuen Bedrohungstypen und –vektoren und können angemessene Abwehr- und Monitoring-Maßnahmen einrichten.

(ID:37271850)