:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit per Datendrehscheibe Security und Datenschutz mit Data Gateways
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
In der modernen Informationssicherheit und im technischen Datenschutz spielt die Abwehr bereits laufender Angriffe eine immer größere Rolle. Wenn die zur Erkennung von schädlichen Aktivitäten eingesetzten Monitoring-Werkzeuge Alarm schlagen, müssen die Security-Teams die Lage und die Risiken schnell einschätzen können, um gezielt einzugreifen. Dies gelingt umso besser, je besser sie den Kontext durchschauen. Data Gateways bieten eine Möglichkeit, die dafür benötigten Informationen in geeigneter Form bereitzustellen.
Zu den spannendsten, aber auch buchstäblich nervenaufreibendsten Aufgaben in der modernen Cyber-Sicherheit gehört die Arbeit im Security Operations Center (SOC). Die Analysten dort beobachten – von Werkzeugen wie den Security-Information-und-Event-Management-Systemen (SIEM) unterstützt – das Geschehen im Netz und suchen nach Anzeichen für möglicherweise bereits laufende Angriffe. Ihre wirksamste Waffe dabei ist ein gewisser Grad an Automatisierung – so hilft die von ihnen genutzte SIEM-Software etwa dabei, verräterische Einzelereignisse in der IT-Umgebung in Beziehung zu setzen (sie zu „korrelieren“) und auf diese Weise typische Vorgehensweisen aufzudecken, die ein Angreifer bei einer Attacke auf eine bestimmte Art von Informationen gewöhnlich an den Tag legt.
Stochern im Nebel
Das alles klingt plausibel und ist im Grunde bereits ein gut funktionierender Einsatzbereich einfacher künstlicher Intelligenz. Der Ansatz scheitert aber oft an einem auf den ersten Blick nebensächlichen Aspekt: Fehlender Kontext-Information. Die „Asset“-Listen vieler Unternehmen enthalten kaum mehr als die IP-Adressen von Servern und anderen Systemen und ein paar wenige technische Daten. Risikowerte für die Sicherheitsziele Verfügbarkeit, Vertraulichkeit und Integrität sind ebenso wenig erfasst wie nähere Beschreibungen der Informationsbestände, Server und Anwendungen.
Ist dies der Fall, läuft die oben beschriebene Technik der automatisierten Angriffserkennung ins Leere. Der Grund: Um beispielsweise das Muster einer bekannten Angriffsstrategie auf eine Datenbank wiederzuerkennen, die häufig Kreditkartendaten verwaltet, muss das Detektionssystem beim Kunden wissen, dass solch eine Datenbank im eigenen Netz existiert, dass sie tatsächlich Kreditkartendaten enthält und welche weiteren Systeme mit ihr so verknüpft sind, dass ein Angreifer sie zum Beispiel als Sprungbrett nutzen könnte. Findet es diese Informationen nicht, können die hochentwickelten Korrelations-Engines nur im Nebel stochern, und eine gezielte Use-Case-Entwicklung („Was will oder muss ich erkennen?“) wird erschwert oder ist gar nicht möglich.
Dauerbaustelle „Asset-Inventory“
Kontext-Informationen sind also wertvoll – warum stehen sie dann so selten zur Verfügung?
Zunächst einmal müssen zum Füllen der entsprechenden Datenbanken viele Abteilungen in einem Unternehmen zusammenarbeiten und sich verpflichten, die Informationsbestände aktuell zu halten. Darüber hinaus fehlt es zuweilen auch an geeigneten Werkzeugen, um die Daten zu erfassen. Manche CMDBs sind gar nicht darauf ausgelegt, auch sicherheitsrelevante Informationen aufzunehmen, oder sie müssen dazu erst erweitert werden. Hinzu kommt, dass fast immer mehrere und ganz unterschiedliche Interessengruppen in einer Organisation ihren Nutzen aus einer Asset-Datenbank ziehen wollen, was zu einem Streit um die personellen IT-Ressourcen führen kann und die Entscheidungs- und Designprozesse in die Länge zieht. Der Aufbau entsprechender Repositories gerät deshalb oft zu langen, zuweilen auch immer wieder die „Lange Bank“ geschobenen Projekten.
Helfen könnten sich Security und Datenschutz aus dieser Misere mit einem anderen Modell: Der Implementierung eines Data Gateways, das sicherheitsrelevante Informationen – vor allem Log-Daten – mit Kontext-Informationen anreichert. Um dieses Prinzip erläutern zu können, sei zunächst ein genauerer Blick auf ein typisches Produkt dieser Art erlaubt.
Data Gateways als Informationsmanagement-Tools
Das Gateway des Herstellers Cribl sammelt Daten einzelner Quellen in einem Netzwerk ein, reicht sie an unterschiedliche Empfänger weiter und modelliert die Datensätze oder Informationseinheiten dabei regelbasiert je nach Kommunikationsbeziehung und Informationsbedarf.
Folgende Funktionen stehen im Einzelnen zur Verfügung:
- Zentrales und Event-basiertes Routing: Das Data Gateway leitet Events zum Beispiel anhand inhaltlicher Merkmale an unterschiedliche Zielsysteme weiter. Dies würde es zum Beispiel erlauben, bestimmte Security-relevante Daten ans SOC zu leiten und andere an die technischen Spezialisten für das System – sinnvoll etwa bei Produktionsanlagen.
- Reduktion des Datenvolumens: Das Data Gateway entfernt leere und optionale oder vom Zielsystem nicht benötigte Felder, entlastet damit das Netz und erhöht den Durchsatz bei der Verarbeitung.
- Verschlüsselung: Das Data Gateway verschlüsselt auf Wunsch personenbezogene Daten in Logs, um Anforderungen etwa der DSGVO oder von Normen wie PCI DSS zu erfüllen. Erst im Verdachtsfall wird ein Zugriff auf die Entschlüsselung gewährt. Oft wird im europäischen Raum erst durch diesen Trick die automatisierte Analyse bestimmter Datentypen überhaupt möglich.
- Anreicherung: Das Data Gateway liefert die oben beschriebenen Kontext-Informationen oder andere Zusatzdaten und trägt dazu bei, Fehler und Abweichungen in den Analysen zu vermeiden, die durch voneinander abweichende Informationsstände und Zugriffsmethoden entstehen. Um ein ganz einfaches Beispiel zu nennen: Logs eines als kritisch eingestuften Systems könnten um genau diese Information angereichert werden, bevor sie zum SIEM gelangen, so dass das SOC-Werkzeug Warnungen aus der entsprechenden Quelle automatisch eine höhere Priorität zuweisen kann.
Mit diesen Funktionen und vor allem der Anreicherungs-Option wird das Data Gateway zu einem vollwertigen Ersatz oder mindestens Workaround, der das Manko einer fehlenden Asset-Datenbank mit Security-relevanten Informationen ausgleichen kann. Aussagekräftige Zusatzinformationen, die den Teams im SOC helfen, lassen sich hier vergleichsweise leicht, in überschaubaren und priorisierten Projekten und unter der Regie der zuständigen Teams einfügen. Dies entlastet die Anwender ganz nebenbei auch von der schwierigen Aufgabe, eine Aufbesserung des Informationsflusses entweder direkt durch Rekonfiguration der Log-Produktion an den Datenquellen oder durch Manipulationen an den Monitoring-Systemen wie etwa den SIEM-Systemen vornehmen zu müssen.
Unabhängigkeit von Endsystem-Anbietern
So ist es beispielsweise durchaus nicht immer möglich, den Output an Log-Dateien einer Anwendung oder – noch schwieriger – einer Produktionsmaschine so zu modifizieren, dass er sich den Security-Bedürfnissen anpasst. Außerdem ist dies auch nicht immer erwünscht, denn die gleichen Logs werden ja auch von anderen Empfängern benötigt, etwa um die Zuverlässigkeit oder Auslastung messen zu können. Und nicht jeder SIEM-Hersteller oder Managed Service greift auf Zuruf gern und schnell in die Logik seiner Produkte ein – Funktionsergänzungen etwa erfordern oft präzise formulierte Feature-Requests und dann viel Geduld beim Warten auf die Umsetzung.
Mit einer spezialisierten „Datendrehscheibe“ in Form eine Data Gateways lassen sich also gleich mehrere typische Herausforderungen einer auf Security zielenden Datenanalyse meistern.
Stellschrauben für Data Lakes und Data Warehouses
Hinzu kommt, dass ein Data Gateway diverse Möglichkeiten bietet, zwischen den Prinzipien „Data Lake“ und „Data Warehouse“ zu vermitteln.
Hinter dem „Data Lake“-Konzept steckt ein Modell, bei dem nahezu alle Rohdaten eines Unternehmens in einem großen Repository gesammelt werden, so dass auf lange Sicht auch alle nur denkbaren Auswertungen daraus gezogen werden können – auch solche, die zum Zeitpunkt der Datensammlung noch gar nicht absehbar sind.
Die Anwendung dieses Prinzips hat allerdings Grenzen, wenn Informationen ins Spiel kommen, für die Compliance-Vorschriften gelten. Personenbezogene Daten etwa, die in Log-Daten durchaus einmal enthalten sein könnten, müssen vor der Abspeicherung in vielen Fällen erst einmal verschlüsselt oder maskiert werden. Diese Aufgabe könnte das Data Gateway übernehmen und sicherstellen, dass gesetzliche Anforderungen an die Absicherung bestimmter Datentypen auf jeden Fall angewendet werden, gleich wie die Aufbewahrung und die weitere Verarbeitung später gestaltet sein mögen. Auswertungsteams können so tendenziell von der Sorge entlastet werden, aus Versehen mit neuen Analyseansätzen den Ausgangspunkt für Datenpannen zu liefern.
Das Umgekehrte gilt, wenn von vornherein absehbar ist, dass es bestimmter Daten-Output ohne zumindest minimale Anreicherungen gar nicht wert ist, abgelegt zu werden. Dies gilt zum Beispiel für viele Logs, die aus Produktionsumgebungen stammen und eigentlich nur für die Fehlerbehebung durch Produktspezialisten des Herstellers gedacht waren, in einer modernen Umgebung aber plötzlich statistischen Wert bekommen oder im Sicherheits-Kontext Aufschlüsse bei forensischen Untersuchungen bieten können.
Fazit
Data Gateways erleichtern in modernen, digitalisierten Unternehmen fast beliebige Formen von Daten-Analysen. Sie verringern die Komplexität der Kommunikationsbeziehungen zwischen Anwendungen und Maschinen deutlich, was vor allem im Bereich der Sicherheit zu besseren Ergebnissen führt.
Über den Autor: Christoph Dittmann ist Head of Data Solution Services bei LC Systems.
(ID:47904451)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")