3 minuutin luku
Mit Security Monitoring dem Angreifer einen Schritt voraus
Eine Firewall ist notwendig - aber nicht ausreichend. Security Monitoring ist ein Schritt in die richtige Richtung, um Ihr Unternehmensnetzwerk noch sicherer zu machen.
3 minute gelesen
Wolfram Dorfner | 22.08.2022
Eine Vielzahl potenzieller Angriffe werden im Idealfall von der Firewall geblockt – und diese Vorgänge werden von der Firewall üblicherweise mitgeloggt und abgespeichert. Jedoch erfolgt nur in den seltensten Fällen auch eine Alarmierung, sodass im Nachgang auch keine entsprechenden weiteren Schutzmaßnahmen getroffen werden. Was gefährlich ist, denn man kann davon ausgehen: Nach vielen erfolglosen Versuchen kommt irgendwann einmal ein erfolgreicher Angriff.
Nicht handeln hat direkte Konsequenzen: Unternehmen, die die Protokolle ihrer Firewalls nicht regelmäßig auswerten, bemerken einen potenziellen oder tatsächlichen Angriff im Zweifel überhaupt nicht. Oder sie erfahren davon erst, wenn es zu spät ist, Daten gestohlen oder verschlüsselt wurden und der Schaden bereits entstanden ist.
Umso wichtiger ist es, ein Monitoring System zu etablieren. Es sorgt dafür, dass Angriffe, ob sie erfolgreich waren oder nicht, erkannt werden. Hierzu werden die Events, die durch die Firewall-Systeme protokolliert werden, nicht nur abgespeichert, sondern auch tatsächlich ausgewertet. Wenn die vorhandenen Daten eine gewisse Kritikalität aufweisen, wird Alarm geschlagen und die Anwender bzw. Kunden werden automatisch informiert.
Warum ist es aber nicht zielführend, Alerts über die Firewall selbst auszuführen und dann den Anwender/Kunden jedes Mal sofort zu benachrichtigen? Ganz einfach: Nicht alles, was die Firewall meldet, ist tatsächlich durch einen Cyberangriff ausgelöst. Ein Mensch wäre von der Vielzahl und Unterschiedlichkeit der Events schlichtweg überfordert. Eine Entscheidung basierend auf Logevents wäre außerordentlich aufwändig. Erst indem die durch die Firewall gesammelten Informationen aggregiert und angereichert werden, entsteht ein komplexes Bild. Auf dieser Basis werden Meldungen generiert, die eine höhere Kritikalität aufweisen und die genauer betrachtet werden sollten, weil sie auf einen Hackerangriff hindeuten können.
System Monitoring ist möglicherweise schon bei dem ein oder anderen Unternehmen im Einsatz. Daher stellt sich die Frage, weshalb dann noch zusätzlich ein Security Monitoring hinzugeschaltet werden sollte. Auf diese berechtigte Frage gibt es eine simple Antwort: System Monitoring und Security Monitoring sind sich vom Grundsatz her zwar sehr ähnlich. Beim System Monitoring geht es allerdings um harte Werte, die die Systeme aufweisen, wie z.B. die Funktionsfähigkeit eines Netzteils, oder die Lüftung oder die Temperatur der Systeme.
Beim Security Monitoring ist die Sachlage deutlich komplexer: Security Monitoring reagiert auf singuläre Events, die eventuell nochmal gegen eine Threat-Intelligenz abgeglichen werden. Dies ist der erste Schritt zur Analyse von Cyberbedrohungen – aber in seiner Aussagekraft noch relativ eingeschränkt. Denn zu unterschiedlichen Zeitpunkten können ähnliche Aktionen gefährlich oder ungefährlich sein. Für eine umfassende Analyse ist es notwendig, tiefer in die Events hineinzuschauen und idealerweise auch andere Quellen zur Bewertung hinzuziehen, um zu prüfen, ob ein singuläres Ereignis oder auch die Summe verschiedener Events auf einen Angriffsvektor hinweisen. Denn letztlich sollen möglichst wenige False Positives generiert und nur im Falle wirklich kritischer Events Alarm geschlagen werden.
Security Monitoring kann zwar keinen vollumfänglichen Schutz bieten, da hier nur die Firewall-Daten betrachtet werden. Dennoch ist Security Monitoring für viele Unternehmen ein großer Schritt in Richtung einer verbesserten IT-Sicherheit und auch mit kleinem Budget als Service umsetzbar. Denn in das Security Monitoring können viele Security Features gerade von Next Generation Firewalls einbezogen werden, wie unter anderem Threat Prevention und URL Filter.
Diese Informationen sind ohnehin vorhanden und werden laufend protokolliert. Entsprechend bietet es sich an, sie auszuwerten. Auf diese Weise verringert sich die Gefahr, dass beachtenswerte und kritische Events untergehen und in den häufig ignorierten Firewall-Logs „beerdigt“ werden. Einmal als Managed Security Service eingerichtet, läuft das Security Monitoring. Ab diesem Zeitpunkt wird der Kunde bei kritischen Vorfällen umgehend per E-Mail alarmiert, kann schnell reagieren und die notwendigen Sicherheitsmaßnahmen ergreifen.
Noch tiefere und detailliertere Überblicke über kritische Aktionen erhalten Unternehmen durch indevis Managed Detection and Response (MDR). Mit MDR können auch andere Datenquellen des Kunden angebunden und verschiedene Daten miteinander verglichen werden. Dadurch lassen sich noch mehr sicherheitsrelevante Informationen sammeln, die Aufschluss über mögliche Angriffe geben.
Alle Findings werden von den indevis-Experten analysiert, zu einem Gesamtbild zusammengefügt und den Kunden entsprechende Gegenmaßnahmen empfohlen. Zudem ist in Einzelfällen und in enger Absprache mit den Kunden auch eine direkte Intervention durch indevis möglich.
Unternehmen, für die ein solcher MDR-Service aus diversen Gründen aktuell nicht in Frage kommt, sollten sich trotzdem unbedingt mit Security Monitoring auseinandersetzen. Denn diese kostengünstige Alternative bietet gleichwohl einen bedeutsamen zusätzlichen Schutz vor Cyberkriminellen. Security Monitoring macht das Unternehmensnetzwerk zwar nicht zu einer uneinnehmbaren Bastion, aber es hilft dabei, Versuche aufzudecken, das Netzwerk zu infiltrieren. Angriffe können somit erkannt und bekämpft werden, bevor es zu spät ist.
Head of Marketing, indevis
3 minuutin luku
Eine Firewall ist notwendig - aber nicht ausreichend. Security Monitoring ist ein Schritt in die richtige Richtung, um Ihr Unternehmensnetzwerk noch sicherer zu machen.
3 minuutin luku
Selten fällt ein neues SD-WAN Projekt zu dem Zeitpunkt an, an dem auch die Firewall ausgetauscht werden muss. Dabei wäre es für Unternehmen äußerst praktisch, wenn sich die IT-Abteilung nur einmal um den Rollout kümmern müsste. Bei indevis erhalten Sie SD-WAN und Firewall auf einem Device und können beides flexibel hinzuschalten.
3 minuutin luku
Die Integration von Microsoft-Applikationen in den indevis Managed Detection and Response Service bietet Unternehmen eine umfassende Lösung zur proaktiven Bedrohungserkennung und -abwehr. Mit Google Chronicle als zentralem Sicherheitstool können nun auch die Log-Informationen von Microsoft-Anwendungen mit den SIEM und SOAR Security-Tools innerhalb des indevis SOC überwacht und analysiert werden.