Ganz gleich, welches Tool dazu eingesetzt wird: Entscheidend ist es, die mächtige Informationsflut zu interpretieren, um die richtigen, im Ernstfall rettenden Schlüsse zu ziehen und schnell geeignete Maßnahmen einzuleiten.
Die Realität sieht dabei vielerorts anders aus. Einer Studie der Enterprise Strategie Group (ESG) zufolge sind Analysten häufig von der Menge der Sicherheitswarnungen derart überwältigt, dass 42 Prozent der Befragten angeben, eine beträchtliche Anzahl einfach zu ignorieren. Über 30 Prozent würden mehr als die Hälfte ignorieren – ein fataler Zustand angesichts der Tatsache, dass bereits ein einziger Alarm den entscheidenden Hinweis auf einen potenziell verheerenden Vorfall geben könnte. Die vom Monitoring-Tool generierte, riesige Datenflut sorgt dafür, dass IT-Administratoren häufig erschlagen werden, oft ratlos und handlungsunfähig zurückbleiben. Umso wichtiger ist es, die Datenflut zu beherrschen.
Grundvoraussetzung dafür ist eine effektive Justierung der eingesetzten Tools. Bei 8com erreichen wir das durch die Modellierung von Use Cases in enger Abstimmung mit den IT-Verantwortlichen unserer Kunden während der Inbetriebnahme und die individuelle Abstimmung sämtlicher Sicherheitsprozesse auf die Geschäftsprozesse und -risiken. Von Beginn an hilft die enge Abstimmung uns dabei, False Positives und damit auch die Anzahl der ausgegebenen Alarme erheblich zu reduzieren. So bleibt mehr Zeit, die effektiv zur Analyse echter Alarme genutzt werden kann.
Kümmern Sie sich um Ihr Geschäft, wir schützen Sie vor Cyberangriffen
Beim SOC as a Service übernimmt das Security Operations Center von 8com die Überwachung der gesamten IT- und/oder OT-Umgebung, um Kunden vor Cyberangriffen und daraus resultierenden Schäden zu schützen.
Zur Herstellung umfassender Transparenz muss sich das Netzwerk-Monitoring über sämtliche Hardware- und Software-Komponenten der IT-Infrastruktur erstecken. Eine gemeinsame, ausführliche Bestandsaufnahme legt daher immer den Grundstein jeder Zusammenarbeit.
Durch die Erfassung und Verarbeitung von Daten rund um die Uhr erhält das SOC einen Echtzeit-Einblick in die Leistung der Systeme, Verbindungen, die Verfügbarkeit sowie die aktuelle Nutzung und damit über das vorhandene Sicherheitsniveau. Überwacht werden dabei sowohl physikalische Komponenten wie Server, Router, Switches oder Firewalls als auch die Verfügbarkeit von Anwendungen, Diensten und virtualisierte Umgebungen.
Technologie als Basis
Die Basis zur Überwachung von IT-Systemen bildet das Security Information and Event Management (SIEM), das automatisiert Log-Daten erfasst, speichert und auf Anomalien und sicherheitsrelevante Ereignisse hin untersucht – rund um die Uhr und an 365 Tagen im Jahr. Zur Erkennung verdächtiger Aktivitäten greift das SOC u. a. auf Bedrohungsinformationen aus unterschiedlichen Threat Intelligence Feeds, Honeypots und Machine-Learning-gestützten Verhaltensanalysen (z. B. UEBA = User Entity and Behavior Analytics) zurück. Entsprechend vordefinierter Use Cases werden verdächtige Vorkommnisse innerhalb der Kundeninfrastruktur alarmiert. Diese Alarme werden direkt in das Case Management des 8com SOC eingespielt und von Level-1-Analysten (24/7/365) bearbeitet.
Zur Überwachung von OT-Systemen setzt das 8com SOC zusätzlich speziell auf diesen Anwendungsbereich abgestimmte Tools wie den Rhebo Industrial Protector ein. Auch Lösungen zur Endgerätesicherheit (EDR/XDR) kommen zum Einsatz. Der große Vorteil daran: Abwehrmaßnahmen können damit direkt vom 8com SOC aus im Kundensystem eingeleitet werden.
Umfassende Bewertung durch Level-1-Analysten (24/7/365)
Wichtiger als die Erfassung und Bereitstellung umfassender Datenmengen ist jedoch ihre Interpretation. Und weil Cyberkriminelle global agieren und rund um die Uhr aktiv sind, befassen sich auch im 8com SOC 24/7 und an 365 Tagen im Jahr Level-1-Analysten mit der Bewertung von Alarmen, um schnelle Echtzeitreaktionen jederzeit zu ermöglichen.
Der Level-1-Analyst hat die Aufgabe, in der Vielzahl ausgegebener Alarme die sogenannten True Positives herauszufiltern und an den Level-2-Analysten weiterzugeben, der sie einer umfassenden Bedrohungsanalyse unterzieht. Durch diese Arbeitsteilung wird sichergestellt, dass nur echte Bedrohungen eingehender Analysen unterzogen werden. Gleichzeitig bleibt garantiert, dass der Level-1-Analyst weiterhin auf die Abarbeitung sämtlicher neu eingehender Alerts fokussiert bleibt – unerlässlich, damit wirklich kein Hinweis verlorengeht.
Eine weitere wichtige Funktion des Level-1-Analysten: Durch die Identifizierung von False Positives, Alarmen also, die nicht zum Vorfall hochgestuft werden müssen, kann das SOC wichtige Erkenntnisse ziehen. Diese Informationen helfen dabei, Alarmregeln und Erkennungstechnologien weiterzuentwickeln und somit die Erkennungsfähigkeiten insgesamt zu verbessern.
Tiefgreifende Analyse durch Level-2-Analysten
Level-2-Analysten wiederum konzentrieren sich ausschließlich auf die tiefergehende Bedrohungsanalyse von True Positives. Fehlen Informationen, um auf Basis des ausgegebenen Alarms entsprechende Handlungsempfehlungen geben zu können, erstellen die Experten eine sogenannte Triage zur Priorisierung und beschaffen sich dann zusätzliche Informationen, um schnellstmöglich Zusammenhänge herzustellen. Wurde beispielsweise auf einem Endpunkt eine Virensignatur identifiziert, wird im Zuge der Analyse untersucht, ob es Hinweise gibt, dass das Virus bereits ausgeführt wird, um gegebenenfalls weitere Reaktionsmetriken hinzuzuziehen. Um die Qualität der vorhandenen Bedrohungsdaten zu erhöhen, zieht der Level-2-Analyst weitere Datenquellen hinzu.
Fazit
Security Monitoring und der Einsatz von Überwachungstools sind unerlässlich, um IT- und OT-Infrastrukturen zu schützen. Allerdings nutzt der Einsatz bester und vieler Technologien wenig, wenn die generierte Datenflut nicht entsprechend kanalisiert und interpretiert wird. Noch entscheidender ist daher der Aufbau unterschiedlicher Kompetenzen, Organisationsstrukturen sowie sinnvolle Arbeitsteilung. So wird sichergestellt, dass aus der Unmenge gesammelter Informationen schnell und effizient die richtigen Schlüsse gezogen werden.
Bild (c) Elchinator / Pixabay