Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Umfassende Erkennung von Cyber-Gefahren durch Managed SIEM Services

Viele Unternehmen setzen zur Abwehr von Cyber-Gefahren auf Security Information & Event Management (SIEM)-Lösungen. Die Einrichtung und der Betrieb von SIEM-Lösungen setzt tiefes Fachwissen und Erfahrung bei der Erkennung von Cyber-Gefahren voraus – und zwar bei der Formulierung ebenso wie bei der Implementierung der Erkennungsmechanismen. Denn zur Erkennung von Ereignissen, also Security-relevanten Vorfällen, verwenden diese Systeme üblicherweise sogenannte Use Cases. Durch den Use-Case-Ansatz ist es möglich, sehr schnell aus der großen Anzahl täglicher Events potenzielle sicherheitsrelevante Vorfälle herauszufiltern. Der Systemintegrator und Managed Service Provider Controlware hat diesen Ansatz weiterentwickelt und kann so weitaus mehr Cyber-Gefahren erkennen und Attacken erfolgreich stoppen oder verhindern. Denn: In der Praxis beschränken sich die Use Cases der gängigen SIEM-Lösungen meist auf Compliance-getriebene Fälle. Darunter sind Basis Use Cases zu verstehen, die Verstöße gegen Compliance-Richtlinien erkennen oder Auffälligkeiten in System-Protokollierungen beziehungsweise Logdaten feststellen, die eventuell auf Security Incidents hindeuten. Diese Use Cases stellen eine Basisüberwachung sicher, eignen sich jedoch nicht zur vollständigen Erkennung „echter“ Cyber-Gefahren und Attacken.

Controlware hat deshalb seinen Use-Case-Katalog um Cyber-Security-Use-Cases auf Basis des MITRE ATT&CK-Modells erweitert. Bei diesen Use Cases liegt der Fokus auf der Erkennung von Cyber-Gefahren beziehungsweise Cyber-Angriffen. Hier wird versucht, die typischen Angreifer-Techniken in den unterschiedlichen Phasen eines Cyber-Angriffs über die Auswertung der entsprechenden Logdaten zu erkennen. Diese sind erheblich komplexer als Basis Use Cases und erfordern bei der Formulierung ein sehr profundes Verständnis der Techniken und Vorgehensweisen von Angreifern sowie Erfahrung bei der individuellen Anpassung an die Kundenumgebung. Zudem sind erweiterte Logquellen wie Sysmon- oder Powershell-Logs erforderlich.