Erkennung von Sicherheitsvorfällen

Auf dieser Seite

  • Was sind Sicherheitsvorfälle?
  • Die Herausforderung bei der Erkennung von Sicherheitsvorfällen
  • Mechanismen, die bei der Erkennung von Sicherheitsvorfällen helfen

Was sind Sicherheitsvorfälle und warum sollten Unternehmen sich darüber Gedanken machen?

Ein Sicherheitsvorfall deutet darauf hin, dass Systeme und Daten in einem Netzwerk kompromittiert oder missbraucht wurden. Ein einzelner Sicherheitsvorfall kann Teil eines größeren gezielten Angriffs sein, wie z. B. einer verteilten Denial-of-Service-Attacke (DDoS), Ransomware oder einer fortgeschrittenen persistenten Attacke. Sicherheitsangriffe können nicht nur die Finanzen Ihres Unternehmens beeinträchtigen, sondern auch dessen Ruf. Aus diesem Grund ist es von entscheidender Bedeutung, Sicherheitsvorfälle sofort nach ihrem Auftreten zu erkennen, die Bedrohung umgehend zu mindern und die Auswirkungen des Angriffs einzudämmen oder zu reduzieren.

Bei der Lösung von Cybersicherheitsproblemen hat die Verkürzung der durchschnittlichen Erkennungszeit (MTTD) eines Sicherheitsvorfalls oberste Priorität. Wussten Sie, dass die durchschnittliche Zeit bis zur Erkennung eines Angreifers 95 Tage beträgt? Mit einer Verweildauer von 95 Tagen – also der Zeit zwischen dem Angriff und seiner Erkennung – im Netzwerk haben Angreifer reichlich Zeit, ihre böswilligen Ziele zu verfolgen. Jedes Unternehmen ist bestrebt, die MTTD und die Verweildauer von Angriffen zu reduzieren, um den Schaden zu minimieren. Um diese Parameter zu reduzieren, muss die Erkennung von Sicherheitsvorfällen schnell und effektiv erfolgen.

Die Herausforderung bei der Erkennung von Sicherheitsvorfällen

Die Erkennung von Sicherheitsvorfällen oder Datenverletzungen stellt Unternehmen aus verschiedenen Gründen vor eine Herausforderung. Oftmals müssen Anzeichen für eine Kompromittierung aus einer überwältigenden Anzahl von Fehlalarmen herausgefiltert werden. Allgemeine Präventionssysteme wie Firewalls und Antivirensoftware warnen zwar vor abweichendem Verhalten, liefern jedoch kein Gesamtbild. Bei jedem ausgelösten Alarm muss untersucht werden, warum er ausgelöst wurde, was die Lösungszeit verlängert.

Allgemeine Präventionssysteme liefern nur begrenzte Daten. Wenn beispielsweise die Anmeldedaten eines Mitarbeiters gestohlen und für den Zugriff auf kritische Ressourcen verwendet werden, ist es schwierig, dies als abweichendes Verhalten zu kennzeichnen und als Vorfall zu melden, sofern keine weiteren Kontextinformationen verfügbar sind. SIEM-Lösungen (Security Information and Event Management) korrelieren geschäftliche Kontextinformationen mit Netzwerkaktivitäten, um Vorfälle in Echtzeit zu erkennen.

About this explainer: A resilient SOC needs effective incident management. Explore our series on What is SIEM and SIEM tools to understand how SIEM streamlines threat response.

Mechanismen, die bei der Erkennung von Sicherheitsvorfällen helfen

SIEM-Lösungen überwinden die Herausforderungen der Vorfallerkennung durch verschiedene Mechanismen. Die folgenden Methoden haben alle ein ähnliches Ziel: Vorfälle so schnell wie möglich zu erkennen.

Protokollkorrelation

Die Protokollkorrelation sucht nach signifikanten Mustern in Aktivitäten, indem sie Protokolle aus verschiedenen Quellen analysiert. Auch wenn ein einzelnes Ereignis nicht verdächtig erscheint, kann die Korrelation mit einer Reihe verwandter Ereignisse Hinweise auf eine Bedrohung liefern.

Die Erstellung einer guten Korrelationsregel, die definiert, wie ein Angriffsmuster aussehen kann, hilft dabei, bekannte Angriffsmuster aufzudecken, und kann zur Identifizierung und Unterbindung verdächtiger Aktivitäten verwendet werden. Sie können beispielsweise eine Regel für die folgende Sequenz erstellen:

„Eine Regel, die mehrere fehlgeschlagene VPN-Anmeldungen erkennt, gefolgt von einer erfolgreichen VPN-Anmeldung und einer sofortigen Remote-Anmeldung auf einem Windows-Gerät, woraufhin verdächtige Software installiert wird.“

Für sich genommen mögen diese Ereignisse unauffällig erscheinen. Korrelationsregeln helfen jedoch dabei, diese Vorfälle miteinander zu verknüpfen, um ein Angriffsmuster aufzudecken, mit dem das SIEM-System solche Sicherheitsvorfälle sofort nach ihrem Auftreten erkennen kann.

Threat Intelligence

Threat Intelligence hilft bei der frühzeitigen Erkennung von Vorfällen, indem sie Threat Feeds zur Identifizierung von Vorfällen nutzt. Threat Intelligence-Module in SIEM-Lösungen nutzen Bedrohungsdaten aus verschiedenen Quellen, von Open-Source-STIX/TAXII-basierten Threat Feeds bis hin zu herstellerspezifischen Threat Feeds von Drittanbietern. Diese liefern die neuesten und zuverlässigsten verfügbaren Bedrohungsinformationen, um Cyberbedrohungen zu mindern. Mit einer regelmäßig aktualisierten Bedrohungsdatenbank können SIEM-Lösungen komplexe Sicherheitsvorfälle in Ihrem Netzwerk sofort erkennen.

Analyse anomaler Benutzerverhalten

Um ein Netzwerk vor Bedrohungen und Datenverletzungen zu schützen, ist es wichtig, Ereignisse zu untersuchen, die im gesamten Netzwerksystem stattfinden. Die von einem Unternehmen gespeicherten Protokolldaten enthalten detaillierte Einblicke in das Benutzerverhalten. Dazu gehören die An- und Abmeldezeiten eines Benutzers, seine Benutzerrechte, die Daten, auf die er Zugriff hat, und vieles mehr.

Mithilfe von maschinellem Lernen können UEBA-Engines (User and Entity Behavior Analytics) diese Protokolle ständig überwachen, um Abweichungen vom normalen Verhaltensmuster eines Benutzers zu erkennen. Wenn beispielsweise die üblichen Arbeitszeiten eines Mitarbeiters werktags von 8 bis 17 Uhr sind, wird ein Anmeldeversuch um 23 Uhr an einem Samstag als anomale Aktivität erkannt. Mit diesem selbstlernenden Mechanismus hilft Ihnen UEBA, Insider-Bedrohungen, Konto-Kompromittierungen, Datenmanipulationen und vieles mehr genauer zu erkennen.

 

Empfohlene Lektüre

SIEM toolsSIEM für Ihr SOCReaktion auf VorfälleThreat intelligenceBedrohungserkennungBedrohungsjagd