:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gesponsert
Next-Generation-SIEM aus der Cloud Wie Security-Manager einen analysegesteuerten Sicherheitsansatz umsetzen
Gesponsert von
Der Transformationsdruck auf Unternehmen macht Cloud-Dienste attraktiv: Sie sind flexibel und skalierbar, jedoch erhöhen sie auch die Sicherheitsrisiken. Die Security-Ausgaben müssen jedoch nicht zwangsläufig steigen – wenn man auf ein zentralisiertes Security-Operations-Center der Zukunft setzt.
„Die Cloud“ – das ist in vielen Unternehmen das Ende eines Kreislaufs, der beim Endkunden beginnt: Heutige Kunden verlangen schnelle, digitale Interaktion mit geringen Wartezeiten. Das setzt die Entwickler unter Druck: Sie müssen häufigere Releases und kürzere Release-Zeiten bereitstellen, daher implementieren sie DevOps- und einen CI/CD-Pipeline-Ansatz. Darauf müssen Security-Manager vorbereitet sein und ihre Sicherheitsmaßnahmen modernisieren. Nur so können sie die Microservices verschiedenster Anbieter und Provider schützen und gleichzeitig die Geschwindigkeit aufrechterhalten, mit der das Entwickler-Team arbeitet. Der zentralisierte Ansatz eines modernen Security-Operations-Center (SOC) kann Security-Teams hier unterstützen.
Kennen Sie Ihre Angriffsfläche
Es gibt verschiedene Phasen, die ein Unternehmen in der digitalen Transformation durchläuft und die sich in ihrer Komplexität immer weiter steigern:
- 1. „Lift and Shift“: Ein bis vier Software-Releases pro Jahr, traditionelle Architektur mit Datenbank, Client-Server, Datenanwendungsserver, Cloud-Nutzung als Infrastruktur as a Service (IaaS).
- 2. „Re-Architect-Phase“: Zehn bis 20 Releases pro Quartal, modulare App-Komponenten, Container-Nutzung.
- 3. „Cloud-Native-Phase“: Einsatz von DevOps, um 100 bis 200 Releases pro Monat zu stemmen, das System basiert auf lose gekoppelten Microservices und serverlosen Anwendungen. Prinzip "You build it, you run it".
Wir sehen immer häufiger, dass sogar mittelgroße Unternehmen diese drei Phasen nicht mehr nacheinander, sondern gleichzeitig durchlaufen. Security-Manager müssen damit also alle drei Phasen auf einmal abdecken und schützen. Der erste Schritt ist es hier, erstmal die Angriffsfläche zu kennen und sich einen Überblick darüber zu verschaffen, welche Daten gesichert werden müssen. Das Modell der geteilten Verantwortung (Shared-Responsibility-Modell) gibt dem Security-Team dazu für jeden einzelnen Cloud-Dienst Auskunft.
Ein Zusatz-Tipp von mir: Nutzen Sie die öffentlich zugängliche MITRE Cloud Matrix. Diese gibt einen Überblick darüber, wie Cyber-Kriminelle verschiedene Cloud-Infrastrukturen und Cloud-Dienste angegriffen haben.
Wagen Sie einen analysegesteuerten Sicherheitsansatz
IT-Sicherheitsteams müssen einen Überblick über ihr Cloud-Ökosystem haben, um so jeden Vorfall sofort untersuchen zu können. Kurz zusammengefasst geht es um Folgendes:
- Untersuchungen/Forensik: Mit einer investigativen Datenplattform können Sie jede Art von Vorfall über Ihre Cloud-Dienste hinweg untersuchen.
- Überwachen: Mit einem Monitoring Tool können Sie Ihren Teil der Shared-Responsibility überwachen. Nutzen Sie dieselbe Datenplattform für Infrastruktur, Anwendungen und Dienste, für ein proaktives Monitoring und teamübergreifende Berichte.
- Analysieren: Nutzen Sie Maschinelles Lernen (ML) und Künstliche Intelligenz (KI) für Tiefenanalysen, die Vorhersage von Problemen und das proaktive Suchen nach Bedrohungen.
- Handeln: Legen Sie Reaktionsabläufe fest, indem Sie Aufgaben automatisieren und Arbeitsabläufe orchestrieren. So reagieren Sie umso schneller auf Bedrohungen.
Dachser setzt auf SIEM-Lösung von Splunk
Positive Erfahrungen mit SIEM-Lösungen hat Splunk-Kunde Dachser gemacht. Der weltweit agierende Logistikdienstleister mit rund 30.000 Mitarbeitern, der für hochmoderne, effiziente und IT-getriebene Logistiklösungen steht. Das Dachser IT-Sicherheitsteam kümmert sich um Sicherheitsthemen wie ISMS nach ISO 27001, Compliance, SIEM/SOC, Risikobewertung und Audits und setzt auf die SIEM-Lösung von Splunk. Eine der größten Herausforderungen für Dachser vor der Implementierung von SIEM bestand darin, dass zwar Logfiles vorhanden waren, diese aber nicht optimal ausgewertet werden konnten. Außerdem war das gesamte Log-Management nicht standardisiert. Dachser musste daher vorab allerdings wichtige Entscheidungen treffen.
„Bevor man eine SIEM-Lösung einführt, ist es wichtig genau zu definieren, für welche Bereiche sie genutzt werden soll. Bei uns fing alles mit der Analyse der Log-Dateien an“, sagt Christian von Rützen, Department Head IT Security bei Dachser. Die Risikobetrachtung sollte damit optimiert werden.
Dachser hat sich für Splunk vor allem wegen der zuverlässigen Software-Architektur und den umfassenden Erweiterungsmöglichkeiten entschieden. Christian von Rützen: „Anfangs waren es fünf Mitarbeiter, die die SIEM-Lösung genutzt haben, heute sind es bereits 64. Die Lösung wächst also mit.“ Das System wird bei Dachser mittlerweile unter anderem auch für die Identifikation und Isolierung von Malware, das Aufdecken von File-Server-Berechtigungsfehlern oder Datendiebstählen sowie für das Security Operations Center (SOC) generell eingesetzt.
Das SOC der Zukunft
Das SOC der Zukunft funktioniert als ein datengetriebenes Sicherheitsnervenzentrum, das Gehirn und Arm verbindet. Das analytische Gehirn in Form eines cloud-nativen SIEM (Security Information and Event Management) übernimmt zusammen mit dem Arm, bestehend aus einem SOAR-System (Security Orchestration Automation and Responses) die oben genannten Monitoring-Aufgaben und analysiert und reagiert basierend auf festgelegten Playbooks. SIEM-Systeme aus der Cloud wie Splunk Enterprise Security können in wenigen Tagen bereitgestellt werden, sind flexibel skalierbar und reduzieren den Administrationsaufwand erheblich. Die SOAR-Lösung Phantom erleichtert die Suche nach Incidents und die Reaktion. Ein solches SOC der Zukunft automatisiert 90 % der Analysearbeit. Das IT-Sicherheitsteam spart damit über 50 % seiner Zeit ein, welche für die Optimierung der Unternehmenssicherheit frei wird. Somit hat das Team mehr Zeit weitere potenzielle Einfallstore zu prüfen, sich über Angriffstrends und neue Cloud-Dienste zu informieren und dieses Know-How in das SOC in Form von „Detection Engineering“ zurückzubringen.
Erfahren Sie mehr zu Security bei Splunk.
(ID:46808202)
:quality(80)/images.vogel.de/vogelonline/bdb/1902400/1902401/original.jpg "Sicherheitszertifizierungen sind heute wichtiger denn je. Sie ermöglichen nicht nur einen ganzheitlichen Unternehmensschutz, sondern auch einen Wettbewerbsvorteil. (BSI)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952500/1952573/original.jpg "CloudComputing-Insider ist Mitveranstalter der CCX II/22 Cloud Computing Virtual Conference CCX II/22. (Vogel IT-Akademie)")