:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Nachhaltigkeit im IT-Umfeld Tool- und Prozess-Recycling zur Überwachung privilegierter Benutzer
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Es muss nicht immer alles neu sein. Durch Wiederverwendung bereits verfügbarer Anwendungen, Systeme und Prozesse können effektiv Kosten eingespart werden. Für die Überwachung von Aktivitäten privilegierter Benutzer können die bereits im IT-Service-Management eingesetzten Prozesse und Tools genutzt werden.
In Projekten ist oft der Einsatz neuer Tools und die Erstellung neuer Prozesse vorgesehen. Dabei entstehen einmalige Kosten u. a. für Toolauswahl, evtl. Lizenzkosten und Implementierungsaufwand sowie zusätzliche laufende Betriebs- und Wartungskosten. Die Überwachung von Aktivitäten privilegierter Benutzer kann jedoch auch durch die Kombination, bzw. Erweiterung bestehender Prozesse sowie durch die Anpassung der Einsatzszenarien bestehender Tools erfüllt werden.
Aktivitäten von privilegierten Benutzern
Die Überwachung der Aktivitäten von privilegierten Benutzern ist eine Kontrollhandlung, die sicherstellt, dass kritische Berechtigungen ausschließlich für die vorgesehenen Aktivitäten eingesetzt werden. Zunächst muss definiert werden, wann welche Aktivitäten von welchem Benutzer als „vorgesehen“ angesehen werden. Hier liefern die IT-Service-Management-Prozesse (ITSM) eine gute Grundlage. Alle Zugriffe auf Informationen und Änderungen an Configuration Items (CIs), welche mit kritischen Berechtigungen ausgeführt werden, müssen in einem ITSM-Prozess legitimiert und dokumentiert sein. Die Prozesse Change, Incident und ggf. Service Request (falls nicht alle Änderungen in Changes dokumentiert werden) sollten alle für die Überwachung relevanten Informationen enthalten. Somit können die in den genannten ITSM-Prozessen dokumentierten Aktivitäten von privilegierten Benutzern den vorgesehenen Aktivitäten zugeordnet werden.
Um das Ziel der Überwachung zu erreichen, müssen aus der Menge der protokollierten Aktivitäten diejenigen selektiert werden, welche nicht vorgesehen waren. Hierzu müssen, möglichst automatisiert, die Aktivitäten, die in den ITSM-Prozessen dokumentiert sind, mit den zu diesen Aktivitäten protokollierten Informationen korreliert werden. Die nicht korrelierbaren Aktivitäten sind einem Kontrollprozess zuzuführen. Hier ist zu prüfen, ob die Aktivität manuell einem Change, Incident oder Service Request zugeordnet werden kann. Ist eine Zuordnung möglich, so ist dies zu dokumentieren, die Kontrolle kann beendet werden. Andernfalls muss die Aktivität weiter analysiert werden. Hierzu bietet sich der Security-Incident-Prozess an.
Für die Überwachung privilegierter Aktivitäten sind folgende Lösungswege möglich:
- Security-Information and Event-Management (SIEM) Tool mit Security-Incident-Prozess
- IT-Service-Management-Tools und -Prozesse
Die Vor- und Nachteile werden im Folgenden dargestellt.
Security Information and Event Management
SIEM-Systeme sind komplexe Anwendungen, welche Informationen aus unterschiedlichen Quellen wie Anwendungen, Systemen und Netzwerkkomponenten sammeln, normalisieren und indizieren. SIEM-Systeme unterstützen bei der Erkennung und Bearbeitung von inneren und äußeren Bedrohungen. Es können Abweichungen von selbst definierten oder vom System erlernten Baselines erkannt werden. Die Systeme sind im Stande Angriffe abzuwenden, indem sie für die Bedrohung definierte Maßnahmen selbstständig umsetzen. Prozesse können innerhalb der SIEM-Systeme abgebildet werden. Um das volle Potenzial von SIEM-Systemen zu nutzen, ist die Etablierung eines Security Operations Center (SOC) notwendig. Im SOC werden die erkannten Bedrohungen im 24/7-Betrieb bearbeitet.
Voraussetzung: Um das volle Leistungsvermögen von SIEM-Systemen auszuschöpfen, müssen alle Systeme aus dem Bereichen Netzwerk-, Server- und Security-Infrastruktur angebunden werden.
Vorteile:
- SIEM-Systeme haben umfangreiche Anwendungsfelder.
- Trennung der Kontrollierenden von den Kontrollierten kann einfach umgesetzt werden
Nachteile:
- SIEM-Lösungen sind kostenintensiv (initiale und laufende Kosten).
- Ist die Infrastruktur oder Teile davon an einen Dienstleister ausgelagert, kann es ein problematisch sein, die benötigten Informationen (Logfiles) von dem Dienstleister zur Verfügung gestellt zu bekommen.
- Kopplung an ITSM System für Korrelation notwendig.
IT-Service-Management
Die ITSM-Prozesse decken den Lifecycle für alle Elemente der IT (CIs), inklusive deren Änderungen, ab (Service Support). Weiter wird die Funktion der CIs überwacht und die IT-Landschaft durch die Prozesse laufend optimiert (Service Delivery). Für die ITSM-Prozesse Service-Level-, Availability- sowie IT-Continuity-Management sind Monitoring-Tools im Einsatz, welche auch für die Protokollierung genutzt werden können. Über das Monitoring können die Informationen über die Aktivitäten von privilegierten Benutzern, aus den Logfiles der Anwendungen, an zentraler Stelle gespeichert werden. Informationen zu den „vorgesehenen“ Aktivitäten privilegierter Benutzer sind in den Prozessen des Service Supports vorhanden. Im Event-Management werden die Informationen zu den Aktivitäten aus dem Monitoring mit den Informationen aus den Service-Support-Prozessen korreliert. Aktivitäten, für die keine Informationen in den Prozessen vorhanden sind, werden dem Incident-Management zur weiteren Bearbeitung zugeführt. Kann die Aktivität manuell einem Change, Incident oder Service Request zugeordnet werden, so ist dies im Incident zu dokumentieren und der Incident zu schließen. Ein Problem-Ticket ist zu erstellen, in dem die Optimierung der Korrelationsregeln im Event-Management geprüft wird. Für die weitere Bearbeitung von nicht vorgesehenen Aktivitäten kann der Incident-Prozess genutzt werden. Der Prozess ist um Felder und Bearbeitungsschritte, die für die Bearbeitung von Security-Incidents notwendig sind, zu erweitern. Security-Incidents sollten ein Security-Incident-Flag bekommen, um sie von normalen Incidents zu unterscheiden. Abhängig von diesem Flag besteht die Möglichkeit, zusätzliche (Pflicht-)Felder und weitere Bearbeitungsschritte zu definieren.
Voraussetzung: Das IT-Service-Management mit den Prozessen und Tools ist bereits implementiert und etabliert.
Vorteile:
- Es können vorhandene Tools (Monitoring-, ITSM-Tool) verwendet werden, daher keine oder nur geringe Investitionen (ggf. Lizenzerweiterung) notwendig.
- Vorhandenes Wissen kann wiederverwendet werden
Nachteile:
- Höherer Abstimmungsaufwand durch Mehrfachnutzung von Tools und Prozessen.
- Trennung der Kontrollierenden von den Kontrollierten muss im Incident-Prozess sichergestellt werden.
Zusammenfassung der wiederverwendeten bzw. erweiterten Prozesse und Tools:
- Event-Management für die Überwachung nutzen
- Kontrollen über Schnittstelle zwischen den ITSM-Prozessen automatisieren
- Incident-Prozess auch für Security Incidents nutzen
- Kontrollen im Incident-Prozess abbilden
Über den Autor: Jörg Thurau ist Managing Consultant Information Security bei ARCA-Consult. Über 20 Jahre Erfahrung auf den Gebieten Information-Security, IT-Security und IT-Betrieb zeichnen ihn als Spezialisten aus. Einer seiner fachlichen Schwerpunkte befasst sich mit dem Identity & Access Management in stark regulierten Umgebungen.
(ID:46750083)
:quality(80)/images.vogel.de/vogelonline/bdb/1924900/1924918/original.jpg "In diesem Video-Tipp zeigen wir, wie man mit dem Open-Source-Tool Process Hacker unter Windows Prozesse in Echtzeit überwacht und steuert. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")