Angriffserkennung mit SIEM und VPN-Reporting

Missbrauch von Remote Access verhindern

| Autor / Redakteur: Elmar Török / Peter Schmitz

Ein SIEM-System ist nur so gut wie dessen Konfiguration. Es ist leicht, in der Fülle der Informationen von Firewalls, Anti-Virus-Scannern, Anmelde-Logs und Intrusion-Warnungen den Überblick zu verlieren.
Ein SIEM-System ist nur so gut wie dessen Konfiguration. Es ist leicht, in der Fülle der Informationen von Firewalls, Anti-Virus-Scannern, Anmelde-Logs und Intrusion-Warnungen den Überblick zu verlieren. (Bild: fotohansel - Fotolia.com)

Lokale und Remote-Zugänge zum Netz müssen besonders gut vor Missbrauch geschützt werden. Ein optimal eingerichtetes und gewissenhaft gepflegtes Security Information und Event Management System (SIEM) kann Attacken frühzeitig erkennen und erhöht das Sicherheitsniveau des Unternehmens beträchtlich.

Benutzerzugänge zum Netz sind per se eine der am meisten gefährdeten Ressourcen in Unternehmen. Mit korrekten – gestohlenen – Credentials umgehen Angreifer die wichtigsten Abwehrmaßnahmen des Perimeters und befinden sich direkt im Herz des Netzwerks. Besonders Remote-Zugänge müssen aufmerksam auf Missbrauch überwacht werden. Wenn sich Mitarbeiter von außerhalb des lokalen Netzwerks einloggen, kann der Administrator einige der sonst üblichen Restriktionen, wie ein vorgegebenes Subnetz, nicht anwenden. Zudem sind Remote-Nutzer nicht im Gebäude anwesend, niemand kann durch einen Blick kontrollieren, ob sich unter dem Benutzernamen von Holger Müller auch wirklich Herr Müller eingeloggt hat.

Credentials als Sicherheitsrisiko

Selbst wenn der Weg ins Netz über ein VPN geschützt ist, gibt es keine absolute Sicherheit, dass der Zugang nicht kompromittiert wurde. Daher sollten alle Aktivitäten von VPN-Nutzern durch ein SIEM System sorgfältig analysiert und dokumentiert werden. Ein SIEM nimmt Events aus zahlreichen Quellen entgegen und kann aus den Hunderten von Einzelmitteilungen größere Zusammenhänge korrelieren. Für viele Branchen und Firmen ist ein SIEM ohnehin Pflicht. Diverse internationale Frameworks und Standards wie PCI, SOX, GLBA, FISMA und HIPAA bestimmen, dass Vorgänge im Netz automatisiert aufgezeichnet und in bestimmten Intervallen ausgewertet werden. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) verlangt in seinem Standard 100-1 die „Detektion von Sicherheitsvorfällen im laufenden Betrieb“.

Für die Betreiber Kritischer Infrastrukturen und Telekommunikationsunternehmen gelten mit dem 2015 neu in Kraft getretenen IT-Sicherheitsgesetz noch strengere Vorgaben. Diese Unternehmen müssen dem BSI erhebliche Störungen ihrer IT melden, sofern diese Störungen Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Diese Meldepflicht betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen. Für andere KRITIS-Betreiber tritt sie nach Verabschiedung einer Rechtsverordnung in Kraft, die festlegt, welche Unternehmen den Regelungen des Gesetzes unterliegen. Nicht alle Unternehmen müssen einen der genannten Standards und Frameworks einhalten, doch auch dann ist es sinnvoll, den Empfehlungen zu folgen und ein SIEM nebst entsprechenden Prozessen zu implementieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43940693 / Monitoring und KI)