IT Operations Analytics (ITOA)

IT-Sicherheit mit Echtzeit-Daten über ITOA

| Autor / Redakteur: Ulrich Zeh* / Peter Schmitz

Durch Echtzeit-Analyse mit ITOA können IT-Abteilungen und Sicherheitsbeauftragte Alerts zu Auffälligkeiten sofort erhalten, ohne Zeitverzug reagieren und frühzeitig intervenieren.
Durch Echtzeit-Analyse mit ITOA können IT-Abteilungen und Sicherheitsbeauftragte Alerts zu Auffälligkeiten sofort erhalten, ohne Zeitverzug reagieren und frühzeitig intervenieren. (© fotohansel - Fotolia.com)

Gegen Cyber-Angriffe war man früher mit aktuellem Virenscanner, guter Firewall und durchdachten Authentifizierungs- und Identifizierungsmechanismen ziemlich gut geschützt. Inzwischen wird aber immer klarer: Jeder ist angreifbar. Mit ITOA-(IT Operations Analytics)-Lösungen lassen sich die Risiken in der Infrastruktur und am Endpunkt aber in den Griff bekommen.

Allen Sicherheitsmaßnahmen zum Trotz besteht jederzeit die Gefahr, einer Cyber-Attacke zum Opfer zu fallen. Denn traditionelle Sicherheits-Tools sind der regelrechten Malware-Industrie, mit der wir es heute zu tun haben, nicht mehr gewachsen. Will heißen: IT-Sicherheit gehört in jedem Unternehmen ganz oben auf die Agenda, denn die Herausforderungen sind groß und nehmen immer noch zu.

Eindrücke aus der Praxis bestätigen das: In einer Statista-Umfrage in diesem Jahr gaben über 50 Prozent der befragten IT-Experten in Deutschland an, das Internet der Dinge als einen der größten Treiber von Veränderung in der IT-Sicherheit wahrzunehmen. Auch kritische Infrastrukturen (45 Prozent) und Cloud Computing (32 Prozent) beschäftigen die IT-Sicherheitsexperten zunehmend – und begründen nach deren Einschätzung ernsten Handlungsbedarf. Auch zunehmende Verpflichtungen im Datenschutz, mobile Devices und Big Data sind für die IT-Verantwortlichen nennenswerte Treiber in Punkto IT-Sicherheit.

Bedrohlich ist vor allem, dass Stealth Bots, Advanced Persistent Threats, Zero Day Attacken und dynamische Trojaner heute bei weitem ausgefeilter sind als es Würmer und Spyware noch vor einigen Jahren waren. Trotzdem sind zahlreiche Unternehmen in Bezug auf ihre IT-Sicherheit leider auf dem Stand von damals stehengeblieben und haben – von gelegentlichen Updates abgesehen – nie wirklich ein umfassendes Sicherheitskonzept auf- bzw. umgesetzt. Gerade für kleinere Unternehmen, die sich selbst für wenig relevant oder „attraktiv“ für Hacker und Cyber-Kriminelle halten, kann das aber riskant sein. Denn die zunehmenden Sekundär-Angriffe wollen zwar durchaus primär Konzerne, Behörden oder Banken treffen, nutzen dafür aber Unternehmen, die mit den eigentlichen Zielen verbunden sind: kleinere Zulieferer, Dienstleister oder Freelancer.

Schadhafte Apps greifen Daten ab

Dabei ist die gute Organisation der Cyber-Kriminellen zunehmend problematisch, vor allem, weil diese inzwischen enorme Geschwindigkeit und Präzision an den Tag legen: Rund drei Viertel der Schadsoftware wird nur für einen einzigen Angriff gebaut. Die Binärdateien lassen sich kaum kategorisieren und nachhaltig als Gefahr benennen, da sie nur ein einziges Mal verwendet werden. Die Wege, um Malware zu schleusen, werden zudem immer zahlreicher. Vorbei die Zeiten, in denen Trojaner sich nur als Zip-Dateien in E-Mails ungeklärter Herkunft verbargen. Angriffspunkte sind heute auch Social Media Sites, Webseiten oder schadhafte Apps, die eigens gebaut werden, um Daten oder gleich Geld zu stehlen, die für den User aber völlig unauffällig aussehen. Moderne Malware gibt sich nicht mehr zu erkennen und verschleiert sich selbst. Über ausgespähte Mitarbeiter-Zugänge verschaffen sich Cyber-Spione Eingang in die Infrastruktur von Unternehmen. Über die Malware werden infizierte Rechner kontrolliert, sensible Daten, Konten und Passwörter geklaut. Traditionelle Lösungen für die Sicherheit von Endpunkten sind hier kein ausreichender Schutz mehr. Advanced Persistent Threats (APTs) und Exploits, die gezielt und selbständig nach Angriffspunkten, fehlerhaften Stellen und Security-Gaps suchen, finden unbemerkt Wege, um einzelne Clients, Datenbereiche oder ganze Systeme auszuspionieren und zu verändern.

Immer mehr schwer kontrollierbare Clients

So zeitgemäß und effektiv mobiles Arbeiten ist – dass zahlreiche Geräte von End-Usern vollen Zugriff auf die IT-Infrastruktur von Unternehmen haben, erhöht die Risiken: Jeder Zugang und jeder Datenaustausch kann zum potenziellen „Loch im Boot“ werden. Der Trend, eigene private Endgeräte ins IT-System zu integrieren („Bring Your Own Devicve“) lässt die Menge schwer kontrollierbarer End-User-Clients zusätzlich steigen – was Sicherheitsrisiken deutlich verschärfen kann.

Mit leistungsfähigen ITOA-(IT Operations Analytics)-Lösungen lassen sich die Risiken in der Infrastruktur und am Endpunkt leicht in den Griff bekommen. Denn nicht nur vordefinierte oder wiederkehrende Muster werden bei der End-User-Analyse identifiziert, sondern jedes unbekannte oder nicht erwünschte, bzw. nicht regelkonforme Verhalten in der IT-Umgebung eines Unternehmens. Verdächtig ist, was ungewöhnlich ist. Der vollständige Überblick ist gewährleistet, wenn ein ITOA-Tool sowohl Echtzeit-Analysen als auch die Auswertung historischer Daten ermöglicht. Zentral ist dabei, jeden Endpunkt in die Auswertung miteinzubeziehen. Fragt ein Client Software as a Service an oder werden Verbindungen zu anderen Cloud-Diensten hergestellt, wird dies ebenso erfasst wie Geräte-Konfigurationen, Web-Verbindungen oder die Einhaltung festgelegter Richtlinien. Besonders interessant sind mit Blick auf die IT-Sicherheit Antworten auf folgende Fragen: Gehen von einem Account irgendwelche ungewöhnliche Aktionen aus? Verbindet sich ein Endpunkt mit unbekannten Zielen oder mit anderen Anwendungen als üblich? Und fließen an irgendeiner Stelle Daten ab?

Schwachstellen möglichst früh identifizieren

IP- Adressen der Verbindungspartner, MAC Adressen und Ports können durch ITOA mit- und nachverfolgt werden, wobei gerade die Echtzeit-Analyse große Vorteile bietet: IT-Abteilungen und Sicherheitsbeauftragte erhalten Alerts zu Auffälligkeiten in Echtzeit und können so ohne Zeitverzug reagieren und frühzeitig intervenieren. Schwachstellen sind so schon bei ihrer Entstehung, beziehungsweise ihrem „Wirksamwerden“ identifizierbar. Schäden lassen sich damit in der Regel vermeiden oder deutlich begrenzen.

Aber nicht nur das Management akuter Sicherheitsvorfälle spricht für ITOA: Da Sicherheitssysteme in Unternehmen aus immer mehr Komponenten bestehen und sich zunehmend als Security-Patchwork darstellen, bietet End-User-Analyse auch ohne „Schadensfall“ wertvolle Einblicke. So kann die Konfiguration der Sicherheitssysteme aus Anwendersicht betrachtet werden. Damit kann man auf einen Blick sehen, ob die Systeme auf dem vorgesehenen Leistungsniveau sind, ob sie verändert wurden bzw. ob sie aktuell sind.

Kurz: Holt man Echtzeit-Daten über ITOA hinein in die Betrachtung von Informationen aus Logs und Infrastrukturkomponenten wie Sicherheitsappliances, Routern oder Applikationsservern, so lässt sich ein sehr hohes und aktuelles Sicherheitsniveau erreichen.

* Ulrich Zeh ist Country Manager bei Nexthink.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44345851 / Monitoring und KI)