Home » News » Cybersecurity » Wie Daten dabei helfen, die Resilienz zu steigern

Wie Daten dabei helfen, die Resilienz zu steigern

Cybersicherheit ist ein zentrales Anliegen für Unternehmen, insbesondere angesichts steigender Datenmengen und der ständig wachsenden Bedrohung durch Cyberangriffe. Um ihre IT-Infrastruktur effektiv zu schützen, sind Unternehmen darauf angewiesen, ihre Systeme genau zu überwachen und Sicherheitsbedrohungen frühzeitig zu erkennen. Zu diesem Zweck spielen Daten und Metriken eine entscheidende Rolle, da sie den Cybersicherheitsteams und den Security Operations Centern (SOC) wertvolle Informationen liefern.

3 Min. Lesezeit
SoC
Foto: ©AdobeStock/Gorodenkoffr

Zu den wesentlichen Instrumenten für die Sammlung und Auswertung von Sicherheitsdaten gehören EDR-Tools (Endpoint Detection and Response) und SIEM-Plattformen (Security Information and Event Management). Diese Technologien erfassen sicherheitsrelevante Informationen auf verschiedenen Ebenen des Unternehmenssystems – von der Endpunktebene über die Nutzerebene bis hin zur Netzwerkebene. Dadurch erhalten die Sicherheitsexperten einen umfassenden Einblick in die IT-Infrastruktur und können potenzielle Bedrohungen frühzeitig erkennen und abwehren. Jochen Koehler, VP EMEA Sales beim MXDR-Experten Ontinue, nennt exemplarisch essenzielle Metriken der jeweiligen Sicherheitsebene, die Unternehmen in jedem Fall im Auge behalten müssen.

Auf der Nutzerebene spielen User-IDs eine zentrale Rolle, da sie für Angreifer oft der einfachste Einstiegspunkt sind. Phishing-Angriffe, bei denen gefälschte E-Mails und Webseiten verwendet werden, um Nutzer zur Preisgabe sensibler Informationen zu verleiten, sind eine besonders große Bedrohung. Um erfolgreich gegen solche Angriffe vorzugehen, benötigen Sicherheitsexperten Informationen über die IP-Adressen der Nutzer bei jedem Login. Dadurch können ungewöhnliche Standorte oder nicht genehmigte Proxy-Server erkannt werden. Außerdem ist es wichtig, Daten darüber zu haben, ob die Nutzer eine Multi-Faktor-Authentifizierung erfolgreich durchgeführt haben. Ist dies nicht der Fall und findet ein erfolgreicher Login von einer verdächtigen IP-Adresse statt, muss der Benutzer umgehend blockiert werden. Falls alles andere jedoch normal aussieht, aber MFA nicht aktiv ist, sollten die IT-Abteilungen nach möglichen Schwachstellen auf der Endpunkt- oder Netzwerkebene suchen.

Auf der Endpunktebene liefern EDR-Tools eine Vielzahl von Informationen zu spezifischen Vorgängen auf den Endgeräten, sogenannte Events. Diese Daten sind äußerst wertvoll und können von EDR-Tools und SIEM-Plattformen miteinander korreliert werden, um eine frühe Erkennung von Gefahren zu ermöglichen. Zu den relevanten Events gehören beispielsweise Informationen über Datei-Ereignisse, die anzeigen, wann und wie Dateien auf einem Endgerät geöffnet, gelöscht, verändert, verschoben, geschlossen oder verschickt wurden. Ebenso liefern Informationen darüber, wie sich Prozesse verhalten, welche Unter-Prozesse sie öffnen, auf welche Daten oder IP-Adressen sie zugreifen oder welche Kommandos sie verwenden, wichtige Erkenntnisse über potenzielle Angriffe. Zusätzlich sind Log-on-Events von Bedeutung, um zu erfahren, wer sich mit welchen Daten wann auf einem Endgerät angemeldet hat und ob dies lokal oder remote über ein Netzwerk geschah. Auch Zugriffe von Anwendungen ohne gültiges Zertifikat auf Dateien sowie Registry-Änderungen sollten erfasst werden. Die Analyse dieser Events und Prozesse ermöglicht die Identifizierung von Mustern, die auf einen Cyberangriff hindeuten, und ermöglicht es den Experten, rechtzeitig Warnungen auszugeben und potenzielle Bedrohungen zu erkennen.

Auf der Netzwerkebene ist es wichtig, historisch gewachsene Netzwerkumgebungen genau zu überwachen, insbesondere im Bereich der Operational Technology. Sensoren werden eingesetzt, um die Netzwerkkommunikation aufzuzeichnen und eine Baseline für den normalen Netzwerkverkehr zu erstellen. Abweichungen von dieser Baseline können auf mögliche Angriffe hindeuten und Alarme auslösen. Auch Indizien für die Verbreitung von Malware und verdächtige Zugriffe auf interne oder externe Systeme sollten frühzeitig erkannt werden. Da solche Netzwerke oft viele Fremdkomponenten enthalten, die nur teilweise oder gar nicht von Unternehmen verwaltet werden, ist es wichtig, die Alarme von der Netzwerkebene mit zusätzlichen Log-Daten von verwalteten Endpunkten und Perimetern zu korrelieren. Dadurch erhalten Sicherheitsexperten genaue Informationen darüber, was passiert ist, und können betroffene Systeme gezielt blockieren.

Es ist jedoch eine Herausforderung, die große Menge an Sicherheitsdaten effektiv zu analysieren und die richtigen Schlussfolgerungen daraus zu ziehen. Hier kommen MXDR-Anbieter ins Spiel, die Unternehmen ein umfassendes und maßgeschneidertes Security Operations Center als Service anbieten. Dadurch werden die internen Sicherheitsexperten unterstützt und entlastet, und datenbasierte Sicherheitsmaßnahmen können effizienter umgesetzt werden. Die Kombination von EDR- und SIEM-Tools mit der Unterstützung von MXDR-Anbietern ermöglicht es Unternehmen, sich besser gegen Cyberangriffe zu wappnen und ihre IT-Sicherheit nachhaltig zu stärken. Indem sie alle verfügbaren Sicherheitsdaten auswerten und vernetzen, können Unternehmen potenzielle Bedrohungen proaktiv erkennen und effektiv darauf reagieren, um ihre geschäftskritischen Informationen und Systeme zu schützen.

Jochen Koehler
Foto: Ontinue

Jochen Koehler, VP EMEA Sales beim MXDR-Experten Ontinue

Andere interessante News

Datensicherheit, Cloud

Fehler bei SaaS-Datensicherheit vermeiden

Wenn es um SaaS-Datensicherheit mit geteilter Verantwortung für Datensicherheit in der Cloud geht, ist es wichtig, Modelle der geteilten Verantwortung (Shared responsibility) zu verstehen und kritische Fehler beim Schutz von SaaS-Daten vermeiden. Was bei der Nutzung von As-a-Service-Diensten und der Cloud zu beachten ist.

Phishing

Spear-Phishing-Methoden jetzt bei Massen-Phishing-Kampagnen entdeckt

Cyberkriminelle nutzen Methoden aus Spear-Phishing zunehmend für Massenkampagnen. Während herkömmliche Phishing-Mails generische, oft fehlerhafte Nachrichten an viele Empfänger senden, sind Spear-Phishing-Nachrichten hochgradig personalisiert und enthalten spezifische Details der Zielperson, wodurch sie glaubwürdiger wirken.

Mensch mit Smartphone

Wie Identity Fabric den Boden für Zero Trust bereitet

Identity Fabric (IF) ist eine moderne Infrastruktur für Identitäts- und Zugriffsmanagement (IAM) in hybriden und Multi-Cloud-Umgebungen. Sie kombiniert modulare IAM-Tools für hybride und Multi-Cloud-Umgebungen, unterstützt alle menschlichen und maschinellen Identitäten, bietet erweiterte Analysen und standardbasierte Integrationen – und ist ein wichtiger Schritt in Richtung Zero Trust.