Fachartikel

Gefahrenabwehr im SOC

Keine Technologie schützt gegen alle Bedrohungen. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Analysten gegenüberstehen. Sicherheit braucht Experten, die proaktiv Gefahren suchen und Lücken schließen sowie im Ernstfall unterstützend eingreifen. Wie die Spezialisten vorgehen und welche Anforderungsprofile Unternehmen an sie stellen können, zeigt der Fachartikel über Security Operation Center und ihren Mehrwert gegenüber MDR oder MSPs.
Blick in das Security Operations Center von Bitdefender, San Antonio (Texas).
Cyberattacken werden zunehmend komplexer. Auch mittelständische Unternehmen geraten zunehmend ins Visier von Kriminellen und deren Advanced Persistent Threats (APT). Die Angreifer haben es entweder direkt auf die Daten der Unternehmen abgesehen oder nutzen sie indirekt als Sprungbrett zum Angriff auf andere, größere Betriebe, mit denen die Opfer als Partner digital verbunden sind. Um sich gegen solche immer komplexeren Angriffe abzusichern, versuchen viele Organisationen die IT-Sicherheit zu verbessern, indem sie ihre digitale Abwehrmauer erhöhen. Dies reicht gegen fortschrittliche Angriffsmethoden jedoch nicht aus, denn um sich heute adäquat gegen solche Angriffe abzusichern, müssen Unternehmen proaktiv vorgehen. Dies bedeutet unter anderem, aktiv Sicherheitslücken zu schließen und nach Angreifern suchen, insbesondere nach denen, die sich bereits unbemerkt im Netzwerk befinden. Ein solch proaktiver Ansatz ist jedoch gerade bei kleineren Betrieben mit begrenzten Mitteln schwer umzusetzen.

Vielen Organisationen fehlt das notwendige Budget, um ein entsprechend qualifiziertes Team von IT-Sicherheitsexperten zu beschäftigen. Und selbst wenn Budget für ein SOC (Security Operation Center) und deren Fachkräfte vorhanden ist, so fehlen am Arbeitsmarkt oft die Spezialisten, die unter allen IT-Berufen derzeit mit Abstand am begehrtesten sind. Der Fachkräftemangel in diesem Bereich führt sogar schon dazu, dass selbst große Unternehmen nur sehr schwer ein kompetentes SOC-Team aufstellen und langfristig halten können. Als Lösung für dieses Problem setzen deshalb immer mehr Organisationen auf externe Expertenteams im Rahmen von Managed-Detection-and-Response-Diensten (MDR). Diese externen Services fungieren als externes SOC für Unternehmen, die kein In-House-SOC haben, oder fungieren als verlängerter Arm des SOCs, um dieses zu unterstützen und gemeinsam die Sicherheit der Organisation zu erhöhen.

MDR – externe IT-Sicherheit für Organisationen
Die Arbeit der Experten in einem SOC basiert auf Daten aus zahlreichen unterschiedlichen Quellen. Etwa Daten, die ein Endpoint-Detection-and-Response-Werkzeug (EDR) im Unternehmen sammelt, den aggregierten Daten in einem Security Information and Event Management (SIEM) oder Threat-Informationen aus der Telemetrie von Millionen anderer Endpunkte, die mit maschinellem Lernen interpretiert werden.

Externe Experten in MDR-Diensten tun im Prinzip dasselbe. Sie kombinieren den Nutzen der fortschrittlichsten Sicherheitslösungen auf dem Markt mit der notwendigen menschlichen Intuition – und langjähriger Expertise in der Arbeit für verschiedene Unternehmen und Organisationen. Dabei ist es ihre Aufgabe, ständig die Sicherheit ihrer Kunden im Blick zu haben. Sie beseitigen aktiv beispielsweise bereits erfolgreich installierte Malware, erkennen auffälliges Verhalten einer Fileless-Attacke und verhindern größere Schäden, falls doch einmal ein Angriff Erfolg hatte. Zudem beraten sie ihre Kunden aktiv, um die Abwehrmechanismen kontinuierlich zu verbessern.
So funktioniert MDR
Im Rahmen eines MDR-Dienstes arbeiten verschiedene Teams an der Sicherheit ihrer Kunden. Erste Ansprechpartner sind die Security Account Manager. Sie agieren zum einem als Schnittstelle zwischen Kunden und Expertenteam. Zum anderen bewerten sie alle Informationen basierend auf der Kenntnis der Unternehmensnetze. Sie veranlassen notwendige Recherchen, das Erstellen von Risikoprofilen oder die Definition von Abwehrmaßnahmen durch andere Sicherheitsanalysten. Zugleich beraten sie Kunden zu allen Fragen der IT-Sicherheit.

Ihre Arbeit basiert auf der Arbeit anderer Spezialistenteams: Eine Gruppe interpretiert aktuelle Sicherheitsalarme, andere schätzen individuelle Risiken ein. Dabei berücksichtigen sie Angriffe auf branchenspezifische IT-Technologien und Mitbewerber. Sie definieren außerdem kundenspezifische Kataloge mit Sofortmaßnahmen für den Ernstfall. Ein weiteres Team hält sämtliche Abwehr- und Infrastruktursysteme im SOC ständig verfügbar.

MDR-Dienste basieren auf vier Säulen
Je länger und besser die Expertenteams ihre Kunden kennen, umso besser können sie deren IT schützen. Ausgangspunkt ist dabei die ausführliche Bestandsaufnahme der IT des Unternehmens und seiner digitalen Prozesse zu Beginn der Zusammenarbeit. Hier geht es nicht nur um die jeweilige Risikolage, sondern vor allem auch darum, ein möglichst detailliertes Bild des normalen Betriebs zu zeichnen. Nur so lässt sich normales von abweichendem Verhalten unterscheiden. Ein kontinuierlich wirkender MDR-Dienst beruht auf vier Säulen:
  1. Prevention: Grundlegende Abwehrtechnologien filtern bekannte Malware und verdächtige Aktivitäten im Vorfeld heraus. So haben die Sicherheitsanalysten Zeit, sich auf unbekannte Gefahren und individuell entworfene APTs zu konzentrieren, die die Tools nicht sehen oder abwehren können. Zudem überprüfen die Experten, ob sich die Mitarbeiter an die Sicherheitsrichtlinien halten.
  2. Detection: Technologien zum Schutz von Endpunkten wie Bitdefender XEDR helfen bei der Abwehr von Risiken. MDR-Teams suchen zudem aktiv nach neuen Angriffen, die den Kunden, seine Technologie und die Branche besonders betreffen. Um dies frühzeitig zu erkennen, überprüfen sie vor allem Vorgänge, die von normalen Abläufen abweichen. Ein Beispiel: Eine ungefilterte Suche nach allen Prozessen und Aktivitäten eines PowerShell-Tools ist verdächtig. Denn ein berechtigter Administrator, der sich mit dem System auskennt, würde in der Regel gezielt nach bestimmten Prozessen filtern und sich nicht alles anschauen.
  3. Response: Ein wichtiger Pluspunkt für externe Sicherheit ist die schnelle Reaktionszeit im Ernstfall. SOC-Experten führen schon, ehe sie eine Gefahr melden, die Maßnahmen durch, welche Kunde und Dienstleister vorab gemeinsam abgestimmt und vereinbart haben: Sie blockieren zum Beispiel IP-Adressen, setzen Passwörter zurück, isolieren oder entfernen Systeme zu Beginn einer Ransomware-Attacke aus dem Netz. Was der externe Dienstleister im Ernstfall ohne Rücksprache tun darf, betrifft dabei aber niemals die Grundlagen der zu schützenden Infrastruktur.
  4. Reporting: Bericht zu erstatten ist vor allem hinsichtlich der Dokumentationsvorgaben durch die DSGVO wichtig. Kunden sind nicht von den Informationen abgeschnitten und können sich auch selbst einschalten: Sie können sich selbst in die Systeme des MDR-Dienstes einloggen und sehen so die gleichen Informationen wie die externen Experten. Zurückliegende Aktivitäten lassen sich nachvollziehen, um forensische Rückschlüsse über die Attacke zu ziehen.
Fazit
Alle Cyberangriffe, insbesondere sehr komplexe und gezielte Angriffe, werden von Menschen geplant und durchgeführt. Und solange die Angreifer aus Fleisch und Blut sind, spielt auch der Mensch eine entscheidende Rolle in der Abwehr. Denn Menschen handeln anders als Maschinen. Zwar helfen künstliche Intelligenz und maschinelles Lernen dabei, Attacken schneller zu erkennen, etwa über die Erkennung von Anomalien im Nutzerverhalten, doch es bedarf trainierter und erfahrener Analysten, um alle zugänglichen Informationen der Telemetrie zu nutzen und daraus die oftmals gut verschleierten Absichten der Angreifer zu erkennen. Organisationen, die nicht das nötige Budget haben, ein eigenes SOC aufzubauen oder die ihr bestehendes SOC mit erfahrenen Sicherheitsexperten unterstützen wollen, können auf MDR-Dienste setzen, um ihre IT-Sicherheit maßgeblich zu erhöhen. So fügen sie ihrem Arsenal technologischer Abwehrlösungen den Faktor Mensch hinzu.
22.09.2021/ln/Daniel Clayton, VP of Global Services bei Bitdefender

Nachrichten

Schutz vor Ransomware: Backups absichern [19.10.2021]

Da immer mehr Unternehmen mit Ransomware-Bedrohungen konfrontiert sind, müssen IT-Teams proaktive Schritte heranziehen, um Daten und Anwendungen zu schützen, die für Angreifer zu einem wertvollen Ziel geworden sind. Einer dieser Schritte ist die Aktivierung der Multi-Faktor-Authentifizierung insbesondere in der Backupumgebung. [mehr]

Smartphone-Sicherheit: Datenklau und Ransomware größte Gefahren [15.10.2021]

Das SANS Institute stellt die Ergebnisse des aktuellen Reports über die sichere Nutzung von Mobilgeräten vor. Der Bericht beschäftigt sich mit den größten Sorgen und Gefahren der Befragten zum Thema "Sichere Smartphone-Nutzung". Datenklau und Ransomware bereiten den meisten Teilnehmern Sorgen. [mehr]

Multipler Schutz [8.10.2021]

Tipps & Tools

Neu: Intensivseminar zu Kubernetes-Infrastrukturen [11.10.2021]

Mit Kubernetes verwalten IT-Verantwortliche containerisierte Arbeitslasten und Services und profitieren dabei von deklarativer Konfiguration und erleichterter Automatisierung. Die containerzentrierte Managementumgebung koordiniert die Computer-, Netzwerk- und Speicherinfrastruktur für die Workloads. Wie Admins Kubernetes einrichten und auf der Plattform Anwendungen sicher in Containern betreiben, zeigt unser Online-Intensivseminar im kommenden Frühjahr detailliert und praxisnah. Sichern Sie schon heute Ihren Platz, Abonnenten nehmen wie immer zum Vorzugspreis teil.  [mehr]

Studie: Über drei Viertel weltweiter Unternehmen nutzen Multicloud [17.08.2021]

Laut einer Umfrage von US-Anbieter Hashicorp setzen 76 Prozent der befragten, weltweit verteilten Unternehmen auf die Multicloud. Nähmen die Firmen nicht auch Hindernisse auf ihrem Weg in die Wolke wahr wie Kostenüberlegungen, Sicherheitsbedenken und Know-how-Mangel, wäre der Cloudanteil noch größer. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen