Eine moderne IT-Infrastruktur besteht heute aus IT (Information Technology), OT (Operational Technology) und dem Netzwerk. Neu hinzugekommen sind Cloud-Dienste, in denen auf "fremder" Hardware Ihre Services im Internet bereitgestellt werden. Jede einzelne dieser Komponenten bietet sich bei schwachem Schutz, bestehenden Schwachstellen und unzureichender Konfiguration als Einfallstor für Hacker und Malware geradezu an.
Um diesem Problem proaktiv entgegenzuwirken, ist eine holistische Sicht auf die Security nötig. Außerdem müssen die Sicherheitsereignisse mit künstlicher und menschlicher Intelligenz sinnvoll gefiltert werden, sodass der Fokus auf den Alarmen liegt, die Schaden verursachen könnten. Durch eine Kombination verschiedener Security Technologien und einem Security Information Event Management (SIEM), das als Hauptwerkzeug für das Security Operation Center (SOC) dient, kann dieses Ziel erreicht werden.
Hierfür werden die Daten auf dem SIEM korreliert und komprimiert, um aus den vielen tausend Ereignissen, die pro Tag generiert werden, einzelne Vorfälle herauszufiltern, die besondere Aufmerksamkeit benötigen. Genau hier kommt das SOC ins Spiel. Das SOC besteht hauptsächlich aus Menschen bzw. Analysten, die jeden relevanten Alarm genau betrachten und aufgrund der Informationen, die vom SIEM geliefert werden, zeitnah entscheiden, ob der Alarm eskaliert wird und ggf. Schritte gegen einen potenziellen Angriff aufgegleist werden müssen.
Im Idealfall liefert das SOC auch die nötige Expertise und Tools, um Angriffe abzuwehren und steht beratend oder auch aktiv zur Verfügung, um forensische Analysen zu betreiben oder dem Service Owner zu assistieren, betroffene Systeme schnellstmöglich wieder online zu bringen.
Das SIEM als Hauptwerkzeug des SOC bringt aber überhaupt keinen Mehrwert, wenn nicht sinnvolle Datenquellen sicherheitsrelevante Ereignisse an das SIEM liefern. Hier gilt es eine gute Balance zwischen Daten sammeln und Daten auswerten zu finden. Meistens werden SIEMs auf Basis von Events per Second (EPS) – also der Anzahl der Ereignisse pro Sekunde, die in das SIEM einfließen – lizensiert. Werden nun große Datenmengen für das SIEM gesammelt, steigen natürlich auch die EPS. Das treibt jedoch den Preis für eine SIEM-Lizenzierung unnötig in die Höhe. Datenquellen, die out-of-the-Box schon sehr gute Sicherheitsinformationen liefern, sind beispielsweise Vulnerability Management, EDR und Threat Intelligence Feeds.
Vulnerability Management dient dazu, existierende Schwachstellen schnell, regelmäßig und zuverlässig aufzudecken. Schwachstellen in der Software sind immer noch der Hauptgrund dafür, dass Hacker und Malware in Ihre Infrastruktur gelangen können. Daher ist es elementar, diese Schwachstellen genau zu kennen und dementsprechend priorisiert Systeme zu patchen. Priorisiert heißt hier, dass der Kunde mit diesem Service genaue Kenntnisse über die Kritikalität von Schwachstellen erhält und entsprechend handeln kann. Es ist jedoch nicht immer ein Patch für eine bekannte Schwachstelle verfügbar, daher werden im Idealfall nicht nur Informationen über bestehende Schwachstellen geliefert, sondern auch gleich Empfehlungen hinsichtlich der Priorität und Behebung der Schwachstellen abgegeben.
Philipp Liebhart, Security Analyst bei T-Systems Alpine, erklärt im Video, wieso der Schutz Ihrer IT-, OT- und Cloud-Infrastruktur unerlässlich ist und wie Sie mit Security Intelligence as a Service (SIaaS) von T-Systems Ihre digitale Infrastruktur effektiv vor feindlichen Angriffen schützen können.
Als Endpoint Detection and Response bezeichnet man den Schutz der Desktop und Server Systeme gegen Hacker und Malware, mit der Möglichkeit auf Sicherheitsereignisse dynamisch reagieren zu können. So kann bei einer Malware Infektion zum Beispiel ein einzelner Computer oder eine Gruppe von Computern vom Netzwerk isoliert werden, um dadurch eine weitere Infektion im Netzwerk zu verhindern.
Via der EDR Software hat man aber immer noch vollen Zugriff auf die Systeme und kann dadurch auch weiterhin eine „Heilung“ bzw. die forensische Analyse bewerkstelligen. Moderne EDR Software basiert zudem auf Next-Gen-Technologien und benutzt keine klassischen Anti-Viren-Signaturen, sondern arbeiten auf der Basis von Verhaltens-, oder besser Anomaly-Analyse, indem Prozesse im System kontinuierlich überwacht werden und bei böswilligen Aktionen direkt im Prozessor gestoppt werden können.
Threat Intelligence Feeds werden in der Regel von Security Dienstleistern erstellt und können im Abo-Service in ein SIEM integriert werden. Diese Feeds bestehen aus Sicherheitsinformationen, die vom Dienstleister aufgrund seiner speziellen Kenntnisse im Sicherheitsbereich, zum Beispiel branchenspezifisch oder aber auch technologie-fokussiert erstellt werden.
Die Deutsche Telekom Gruppe verwendet hierfür unter anderem eine breite Installation von eigenen Honeypots, also eine Art Köder für Hacker und Malware. Dadurch kann man ganz genau dokumentieren, wie Angreifer vorgehen, um Systeme zu kapern und daraus lernen, wie man diese Angriffe am erfolgreichsten abwehrt.
Threat Intelligence Feeds können global und generisch über alle Industrien, aber auch sehr spezialisiert beispielsweise für Banken im Raum Alpine realisiert und entsprechend im SIEM verarbeitet werden. Selbstverständlich ist ein SIEM aber nicht nur auf die oben genannten Datenquellen beschränkt. Im Gegenteil: Je mehr Datenquellen in ein SIEM eingebunden werden, die relevante Sicherheitsereignisse liefern, umso besser kann die „Nadel im Heuhaufen“ gefunden werden.
Grundsätzlich sollte jede zusätzliche Datenquelle, die sicherheitsrelevante Ereignisse produziert und ein allgemein bekanntes Log-Protokoll (Syslog) senden kann, in ein SIEM integriert werden können. Für jede dieser Datenquellen existiert in einem gut entwickelten SIEM entsprechende „Use-Cases“, also Definitionen wie Daten korreliert und komprimiert werden. So kann zum Beispiel aus den Log-Daten eines Intrusion Detection Systems (IDS) und den Vulnerability Management Informationen eine größere Wahrscheinlichkeit eines erfolgreichen Angriffes herausgefiltert werden indem die Angriffssignatur mit den Informationen korreliert wird.
So kann festgestellt werden, ob der Angriff auf ein System überhaupt Erfolg haben könnte. Wenn dies der Fall ist, kann mit dem EDR ein weiterer Schutzwall gegen einen Angriff konfiguriert werden. Durch so einen virtuellen Patch können andere Systeme erfolgreich gegen spezialisierte Attacken geschützt werden.
Das ganze Konstrukt, das hier beschrieben wird, nennt man im Allgemeinen Security Intelligence und wie aus dieser Übersicht wahrscheinlich schon hervorgeht, ist die Thematik außerordentlich komplex und mit diversen Investitionen in Man-Power wie auch finanzieller Art verbunden. Falls Sie an einem Gesamtpaket zu einem klar definierten Preis interessiert sind, empfehlen wir Ihnen unser T-Systems Alpine SIaaS Angebot genauer anzusehen. Unsere ExpertInnen nehmen sich gerne Zeit für Sie, um Ihnen alle Fragen zu beantworten.
