Cyberangriffe gehören heute zum Security-Alltag und sind längst nicht mehr ausschließlich das Werk einzelner Hacker. In kriminellen Kreisen hat es sich etabliert, Ransomware-Kits oder gleich auch die nötigen Experten im Darknet sozusagen im Paket einzukaufen. Im Visier der Angreifer stehen inzwischen alle Branchen und Betriebsgrößen. Um größere Schäden von ihrem Unternehmen abzuwenden, müssen auch Mittelständler in der Lage sein, Bedrohungen schnell zu erkennen und zu stoppen.
Sicherheitsdaten auf einer Meta-Ebene intelligent zusammenführen
In der Regel haben sie bereits verschiedene Security-Systeme wie Firewalls, Zwei-Faktor-Authentifizierung oder Identity Management installiert, die bei „Abnormitäten“ in der IT-Landschaft Alarm schlagen. Sie wirken wie Sensoren, weshalb man sie auch als Security-Sensorik-Systeme bezeichnen kann. Dabei muss ein Alarm nicht zwangsweise bedeuten, dass es sich bei der gemessenen Auffälligkeit um einen bösartigen Hacker-Angriff handelt. Meldet ein Identity-Management-System etwa einen „verdächtigen“ Login-Versuch aus einem anderen Land, kann es sich dabei auch schlicht um einen Mitarbeiter auf Dienstreise handeln. Loggt sich dieser aus dem Ausland über VPN in der deutschen Zentrale ein, sieht es für das System so aus, als ob sich dieselbe Person von zwei verschiedenen Standorten aus anmeldet und es schlägt Alarm.
Passive versus aktive Sensorik
Security-Sensorik-Systeme können sehr verschieden arbeiten. Passive Sensorik identifiziert und meldet lediglich einzelne Auffälligkeiten. Aktive Sensorik hingegen ist auch in der Lage, ein verdächtiges Finding zu blockieren – und etwa eine E-Mail mit einem auffälligen Anhang nicht in die Inbox weiterzuleiten oder auch weiter zu untersuchen: Mithilfe von modernem Sandboxing, einem Add-on für Firewalls, lassen sich verdächtige E-Mail-Anhänge in vom Netzwerk isolierten Bereichen ausführen und so ermitteln, ob sie tatsächlich schadhaft sind. Ob es jedoch im Netzwerk insgesamt bereits zu ähnlichen Auffälligkeiten gekommen ist, die in der Summe auf einen Angriff an verschiedenen Stellen hindeuten, kann so nicht ermittelt werden.
Gefragt ist also ein System, mit dem sich alle Findings der Sensorik-Systeme auf einer zentralen Plattform sammeln und korrelieren lassen. Vor allem größere Unternehmen und Konzerne haben bereits den ersten Schritt in die richtige Richtung unternommen und ein SIEM (Security Incident & Event Management) implementiert. Hier werden alle Security-Systeme, die das Unternehmen im Einsatz hat, angeschlossen und die Logdaten zentral gesammelt. Doch auch ein SIEM kann Auffälligkeiten lediglich identifizieren, aber nicht erkennen, ob sie sicherheitsrelevant sind. Die Folge: Das SIEM überflutet die meist sowieso schon überlasteten IT-Mitarbeiter mit Alerts. Theoretisch müssten diese dann jede einzelne Meldung untersuchen und entscheiden, ob es Handlungsbedarf gibt – oder es sich nur um einen von vielen False Positives handelt, verursacht etwa durch die Installation einer neuen Software.
Dass dabei die Gefahr groß ist, wirklich gefährliche Events zu übersehen, liegt auf der Hand. Hinzu kommt, dass Unternehmen häufig nach dem Motto „viel hilft viel“ verfahren und viele verschiedene Security-Sensorik-Lösungen kombinieren – und damit die Anzahl der Alerts zusätzlich erhöhen. Das ist zwar im Grunde nicht falsch, denn je mehr verschiedene Systeme in Betrieb sind, desto mehr Hinweise auf Bedrohungen gibt es. Doch das ist nicht gleichbedeutend mit höherer Sicherheit, solange Unternehmen die verschiedenen Analysen nicht miteinander in Verbindung bringen.
Vorhandene Security-Daten integrieren
Um ein wirkungsvolles Schutzlevel zu etablieren, müssen die gesammelten Daten aller Security-Sensorik-Lösungen auf einer Meta-Ebene ausgewertet werden. Ein Beispiel: Nehmen wir an, ein Mitarbeiter bekommt eine E-Mail mit bösartigem Anhang auf seine Firmen-Adresse geschickt. Das E-Mail-Security-System stuft die Mail als verdächtig ein, führt den Anhang in der Sandbox aus und leitet sie anschließend nicht in die Inbox des Mitarbeiters weitert, da der Anhang einen Virus enthält – die Gefahr ist gebannt. Nun checkt der Mitarbeiter aber über den Browser seine privaten E-Mails und hat hier die gleiche E-Mail bekommen. Wenn die Informationen aus der Sandbox bereits der Firewall vorliegen, kann diese sofort das Attachement beziehungsweise die Ausführung des Attachements blockieren.
Es geht also darum, die vorhandenen Sensorik-Lösungen bestmöglich zu orchestrieren. Dies gelingt mithilfe eines SOAR (Security Orchestration, Automation and Response). Ein solches System ist in der Lage, riesige Datenmengen zu verarbeiten und zu korrelieren. Es greift dabei auf verschiedene externe und interne Threat-Intelligence-Quellen zurück und kann damit einen Großteil der False-Positive-Meldungen eliminieren sowie Security-Mitarbeitern ein komplettes Bild eines Angriffsvektors aufzeigen. Es ist also in der Lage, nach dem Fund einer bösartigen Datei oder eines bösartigen Codes die Logs nach ähnlichen Vorfällen zu scannen. Zudem lassen sich mit SOAR die Reaktionen auf wiederkehrende Incidents automatisieren. Dies passiert mit sogenannten Playbooks, die entweder bereits vordefiniert sind oder individuell erstellt werden. Auf diese Weise reduziert ein SOAR die Alerts, die Mitarbeiter noch manuell untersuchen müssen erheblich und beschleunigt die Reaktion auf Sicherheitsvorfälle.
Mit Partnern Cyberattacken abwehren
Viele mittelständische Unternehmen schrecken noch vor dem Aufwand zur Inbetriebnahme einer SOAR-Lösung zurück – und das aus gutem Grund. Denn der initiale Aufwand ist erheblich. Zunächst sollten möglichst viele Logquellen und Datenbanken angebunden werden und im Anschluss daran möglichst viele Events über Playbooks automatisiert werden. Da sich Angriffe und Muster ändern, müssen im laufenden Betrieb die Playbooks angepasst und neue entwickelt werden. Für mittelständische Unternehmen lohnt es sich daher in der Regel nicht, ein eigenes SOAR zu betreiben. Empfehlenswert ist in diesem Fall Managed Detection & Response (MDR) von einem Managed Security Service Provider (MSSP). Ein guter Dienstleister liefert nicht nur die neueste Sicherheitstechnologie in Form entsprechender Soft- und Hardware. Er kümmert sich auch darum, das SOAR stets aktuell zu halten, beobachtet das Bedrohungsgeschehen, informiert bei Handlungsbedarf den Kunden und liefert nicht zuletzt wirksame Unterstützung für Gegenmaßnahmen. Kunden erhalten damit einen Rundum-Service aus einer Hand. Ganz aus der Verantwortung sind sie dadurch aber nicht. Denn der MSSP braucht einen Ansprechpartner, der eng mit ihm zusammenarbeitet. An ihn wenden sich die Security-Analysten, sobald sie einen Cybervorfall entdecken. Nur wenn es eine klare Schnittstelle zwischen den Partnern gibt und die Koordination gut funktioniert, kann es gelingen, einen Angriff schnell zu stoppen.
Fazit
Mittelständische Unternehmen haben längst erkannt, dass der Schutz vor Cyberangriffen für sie geschäftskritisch ist. Doch die Installation von verschiedenen Security-Systemen allein reicht heute nicht mehr aus. Vielmehr müssen die Informationen aus den verteilten Security-Sensoren in der IT-Landschaft sinnvoll zusammengeführt und analysiert werden. In Zeiten des Fachkräftemangels lohnt es sich für Mittelständler, auf externe Anbieter von Managed Detection & Response zurückzugreifen. Die Security-Experten beim Dienstleister integrieren die vorhandenen Sensorik-Systeme auf einer zentralen Plattform und werten die Daten mithilfe moderner SOAR-Technologie aus. So entsteht ein umfangreiches Bild von Angriffsvektoren und Attacken lassen sich – teils sogar automatisiert – vereiteln. Auf diese Weise sind mittelständische Unternehmen genauso gut geschützt wie große Konzerne.