Security Monitoring-Systeme generieren Alarme – doch nur erfahrene Analysten schöpfen das Potenzial voll aus!

/Blog
Erstellt von Oliver Locher

Security Monitoring Systeme sind für die Effektivität und Effizienz des Unternehmens unerlässlich. Wenn berechenbares Verhalten vorliegt sind Monitoring Systeme hochwirksam: Sie erkennen Anomalien automatisiert, schnell, sehr verlässlich, und sie erstellen gute Trendberechnungen, um präventive Massnahmen auszulösen. Ganz anders jedoch, wenn Anomalien von Menschen hervorgerufen werden, wie bei Advanced Persistent Threats. Diese Angriffe haben eigene, unberechenbare Charaktere, daher sind sie allein technisch nicht beherrschbar: Erfahrene Analysten müssen die Meldungen der Systeme richtig interpretieren und bewerten, sowie False Positives von True Positives unterscheiden und die richtigen Schritte einleiten. Wesentlich ist, dass Analysten mit all ihrer Erfahrung die Unternehmen zu Bedrohungen und möglichen Massnahmen beraten, und damit die Wahrscheinlichkeit von erfolgreichen Angriffen signifikant reduzieren. Daraus entsteht die wichtige Erkenntnis: Ohne menschliche Analysten, die aufgrund sehr langer Erfahrung agieren, geht es nicht.

Anomalien in IT-gestützten Geschäftsabläufen können Symptome ernster Probleme sein. Sie weisen eventuell auf Wirtschaftsspionage, Datendiebstahl oder auf Angriffe gegen wichtige Unternehmenssysteme hin. Also müssen sie zeitnah erkannt und bearbeitet werden, ansonsten drohen Ausfälle, hohe Kosten und erhebliche Aufwände. Daher ist ein Security Monitoring System zur Anomalieerkennung extrem wichtig. Vom Stellenwert her ist es vergleichbar mit dem Finanz-Monitoring oder der Performance- und Verfügbarkeits-Überwachung.

Anomalien als Bedrohung

Grundsätzlich lassen sich im Monitoring zwei Typen unterscheiden. Bei Systemen, die berechenbares Verhalten repräsentieren, z.B. Verfügbarkeitsmessungen, ist hoch automatisiertes Monitoring und eine verlässliche Alarmierung möglich. Das Normalverhalten (Baselining) kann über eine gewisse Zeit erlernt werden und wird über die gesamte Messzeit stetig verbessert. Daher können Anomalien schnell, automatisiert und mit sehr hoher Richtigkeit (True Positive) erkannt werden. Weiterhin können hierbei auch sehr realitätsnahe Trendberech­nungen erstellt werden, worauf dementsprechend präventive Massnahmen vor Eintreffen der Anomalie ausge­löst werden. In diesen Fällen greifen Monitoring Systeme also sehr gut.

Im zweiten Fall, bei Anomalien im Bereich Informationssicherheit z.B. bei Advanced Persistent Threats, ist die Ausgangslage völlig anders. Diese Anomalien sind nicht systembedingt: Sie sind auf bewusste oder unbewusste Handlungen einzelner Menschen oder Gruppierungen zurückzuführen. Jeder Angreifer hat nach erfolgreichem Eindringen das Hauptziel, möglichst lange unerkannt in einem System bzw. in einer Umgebung zu bleiben. So kann er frei agieren und stetig kleine Veränderungen oder Datendiebstähle vornehmen. Er kann Daten kopieren, manipulieren, löschen oder sie Dritten gegen Geld oder aus sonstigen Gründen zugänglich machen.

Generell sind von Menschen verursachte Angriffe und die daraus folgenden Anomalien unberechenbar, dynamisch und nicht vorhersehbar. Die rein technische Alarmierung ist also wichtig, reicht jedoch bei weitem nicht aus. Der Analyst ist gefordert.

Erfahrene Analysten für trennscharfe Beurteilungen

Security Monitoring ist sehr leistungsfähig, darf sich jedoch keinesfalls auf die technischen Komponenten (SIEM Security Incident und Event Management) beschränken. Entscheidend ist, dass erfahrene Analysten aufgrund der Technik die richtigen Schlüsse ziehen (SOC Security Operations Center). Diese Experten haben über Jahre trainierte Fähigkeiten, systemgenerierte Alarme richtig zu bewerten (False Positive Verhinderung) und sie im Gesamtkontext des Unternehmens zu interpretieren (Alarm-Anreicherung und Kritikalitätsbewertung). Die Analystenbewertung der Alarme ist eine Schlüsselkompetenz im Security Monitoring Umfeld. In erster Linie kommt es also auf das Können und die Erfahrung des Analystenteams (SOC) an. Technologien und Prozesse sind als Basis für die Analysen wichtig – alleinig sind sie jedoch nicht leistungsfähig genug.

Die vom System generierten Alarme müssen so verlässlich wie möglich sein. Daher ist sehr wichtig, False Positive Alarme zu verhindern. Ansonsten vermindert sich der Wert eines Systems erheblich: Der Umgang mit False Positives erzeugt grossen Aufwand, die Glaubwürdigkeit der Alarme leidet, und das Vertrauen in das System ist dahin. Folglich ist die Bewertung der Alarme durch die Analysten eine wesentliche Aufgabe, die eben nicht vom technischen System erbracht werden kann. Ist ein Alarm als False Positive identifiziert, gilt es, sofort die Regeln, welche diesen Alarm generiert haben, zu optimieren. Ein solches Regel Tuning ist abhängig von der eingesetzten Security Monitoring Technologie und setzt grosse Erfahrung in der Analyse, dem Scripting und der Programmierung voraus.

True Positive: Angriffe stoppen – Angriffe verhindern

True Positives erkennt man u. a. durch Sammlung aller Kenntnisse zum Alarm. Weiterhin ziehen die Analysten das Wissen aus bekannten Bedrohungen (Threat Intelligence) und die Informationen aus zusätzlichen Log-Quellen und deren Korrelierung hinzu. Liegen True Positives vor, muss sofort eine «Remediation» Empfehlung erarbeitet werden. Sie beinhaltet eine Schritt für Schritt Sequenz, um schnell Massnahmen auszuführen. Im Fall einer Attacke ist zuerst der Angriff zu stoppen und einzudämmen – weiterhin ist zu verhindern, dass ein ähnlicher Angriff Erfolg haben kann. Dies ist Aufgabe der Analysten. Sie haben Erfahrung in komplexen Situationen komplizierter IT Umgebungen und empfehlen die richtigen Aktionen. Weiterhin unterstützen die Analysten die Personen vor Ort (CSIRT Computer Security Incident Response Team, kurz: Incident Response) und sichern Beweise (z.B. Speicher- oder Festplattenkopien für die spätere Analyse). Danach werden die betroffenen Systeme oder Dienste wieder in ihren Ursprungszustand zurückversetzt (z.B. durch Wiederherstellung aus einem Backup oder Neuinstallation des Systems).

Analystenteams schöpfen Spitzentechnik aus

Aufgrund ihrer speziellen Fertigkeiten beraten Analysten (CERT Computer Emergency and Response Team) Kunden und unternehmensinterne Geschäftsbereiche bezüglich Sicherheitsbedrohungen und möglicher Massnahmen. So wird die Wahrscheinlichkeit von erfolgreichen Angriffen reduziert, und im Angriffsfall lassen sich die Schäden so gering wie möglich halten. Security Monitoring (SOC/SIEM) besteht also primär aus einem erfahrenen und gut zusammenarbeitenden Team, das ausgefeilte Technologien und Prozesse beherrscht. Die Qualität im SOC/SIEM-Bereich entsteht nicht durch die gewählten Technologien, sondern sie wird von Menschen gemacht, welche diese Technologien richtig einsetzen und bedienen. Sie können Technologien ausreizen, effektive und effiziente Prozesse erstellen, die Systeme optimieren und alle Ergebnisse fundiert bewerten.

Zusammen. Sicher.

Die Spezialisten der ISPIN stehen Ihnen gerne mit Rat und ausgefeilten Cyber Defense Services zur Verfügung.

Kontaktieren Sie uns für ein persönliches Gespräch via infoispinch oder +41 44 838 3111.