Sergey Nivens - stock.adobe.com

Entwicklung eines bedrohungszentrierten Sicherheitskonzepts

Unternehmen können sich nicht mehr nur auf schwachstellenbasierte Technik verlassen. Ein bedrohungsorientierter Ansatz hilft, Risiken zu verringern.

IT-Sicherheitskonzepte basieren heutzutage häufig auf der Annahme, dass sich Angreifer in ein Netzwerk einhacken, indem sie auf Anwendungs- oder Betriebssystemebene eine Software-Schwachstelle ausnutzen.

Um diese Schwachstellen zu erkennen, werden traditionelle Host- und netzwerkbasierte Intrusion-Detection- und -Protection-Systeme eingesetzt, welche sich auf Malware-Signaturen stützen. Der Fokus dieses „vulnerability-centric approach“ (schwachstellenbasierten Ansatzes) liegt fast ausschließlich auf dem eingehenden (Inbound-) Netzwerkverkehr und achtet wenig auf den ausgehenden (Outbound-) und den seitlichen (internen) Netzwerkverkehr.

Diese schwachstellenbasierte Betrachtung der Bedrohungen ist universell und geht davon aus, dass jeder mit denselben Exploits angegriffen wird. Die Analyse der Angriffe erfolgt isoliert und stützt sich nur zu einem kleinen Teil auf Informationen zu diesen Bedrohungen und eine Beurteilung durch Experten. Ein Großteil der anschließenden Automatisierung orientiert sich am Protokoll-Management, mit wenig bis gar keiner Korrelation von Daten aus verschiedenen Quellen (Ereignisprotokolle, Anwendungsprotokolle, Syslog und so weiter).

Prävention alleine genügt nicht

Während dieser Ansatz in der Vergangenheit erfolgsversprechend war und als Modell für die heutigen Compliance-Standards dient, ist er inzwischen jedoch bei weitem nicht mehr in der Lage, das Risiko durch aktuelle Hackerangriffe zu verringern. Klar ist auch, dass Prävention alleine nicht ausreicht, da die Cyberkriminellen kontinuierlich unterschiedliche Werkzeuge, Taktiken und Prozeduren verwenden, um Angriffe auszuführen.

Selbst in Unternehmen, die die optimalen Werkzeuge zur frühzeitigen Erkennung und Prävention besitzen, findet ein motivierter Angreifer letztendlich einen Weg in das Netzwerk, entweder über Social-Engineering-Techniken oder einen Zero-Day-Exploit, für den es keine Signatur zur Erkennung gibt.

Sobald Unternehmen akzeptieren, dass sie über kurz oder lang gefährdet sind, können Ressourcen von rein präventiven Maßnahmen zu einem bedrohungszentrierten Ansatz verlagert werden und eine ausgewogene Mischung aus Erfassung, Erkennung und Analyse beinhalten. Der bedrohungszentrierte Ansatz umfasst sowohl die Kosten- als auch die Risikoanalyse. Damit lässt sich untersuchen, ob die Sicherheit intern aufrechterhalten werden kann oder an externe Experten auszulagern ist. Insgesamt gibt es drei Schritte, die zu beachten sind.

1. Erfassen

Der Schritt der Erfassung beinhaltet die Analyse, an welchen Stellen das größte Risiko in einem bestimmten Unternehmen besteht, das Erkennen von Bedrohungen für Unternehmensziele sowie die Ermittlung relevanter Datenquellen und Verarbeitungsmethoden für die Erhebung von Daten.

Im traditionellen schwachstellenbasierten Ansatz erfolgt die Erfassung in der Regel unfokussiert und ist nicht an Erkennungsziele gebunden. Die Tendenz besteht darin, dies zu überkompensieren und zu viele Daten zu sammeln. Dies erschwert die Rückschau zur Überprüfung von Indikatoren des Angriffs (IoA, Indicators of Attack) oder Indikatoren der Kompromittierung (IoC, Indicators of Compromise).

2. Erkennen

Methoden zum Nachweis von Angriffen müssen ebenfalls bedrohungszentrisch angelegt sein. Auf der Host-Ebene bedeutet dies, nach Verhaltensänderungen des Betriebssystems zu suchen. Das umfasst Prozesserstellung, Netzwerkaktivität, Registry-Zugriff sowie die Erstellung / Löschung / Umbenennung von kritischen Dateien und Speicheranalysen.

Auf der Netzwerkebene hingegen muss sowohl der ausgehende Netzwerkverkehr als auch der Verkehr zwischen Computern betrachtet werden. Änderungen oder Abweichungen vom normalen Traffic sollten zu einer genaueren Untersuchung der Vorgänge führen. Das Sammeln und Speichern von Daten aus diversen Quellen in einem zentralen Repository reicht hierfür nicht mehr aus.

Mit Hilfe von Analytik müssen Daten aus diesen verschiedenen Quellen korreliert werden, um Informationen über Indikatoren des Angriffs oder der Kompromittierung zu ermitteln. SIEM-Anwendungen (Security Information und Event Management) nutzen diese Host- und Netzwerkdaten, um, basierend auf korrelierten Ereignissen, einen Angriff zu erkennen.

3. Analysieren

Die Analyse erfolgt, wenn ein Mitarbeiter die Alert-Daten interpretiert und untersucht. Dies beinhaltet das Sammeln von Ermittlungsdaten aus anderen Quellen sowie die Erforschung von Open-Source-Informationen, abhängig von der Art der Alarmmeldungen, die durch den Erkennungsmechanismus erzeugt wurden. Des Weiteren werden in diesem Zusammenhang Recherchen an potenziell kompromittierten Hosts durchgeführt.

Kompetenzen in der Paketanalyse, Host- und Netzwerkforensik sowie Malware-Analyse sind entscheidend für diese Prozesse. Diese Phase ist in der Regel die zeitaufwendigste, aber Unternehmen müssen unbedingt feststellen, ob das analysierte Ereignis dessen Klassifizierung als risikoreichen Vorfall rechtfertigt. Im Anschluss können sie reaktive Maßnahmen starten. Die Ergebnisse aus der Erkennungs- und Analysephase helfen schließlich, die Strategien der Organisation zur Datensammlung weiter zu verfeinern und zu verbessern.

Herausforderungen bei der Implementierung

Ein bedrohungsorientierter Ansatz ist weitaus effektiver als herkömmliche Ansätze, wenn es darum geht, das Risiko von Datenverlust zu verringern und die Sicherheit und Integrität von Daten sicherzustellen. Die hierfür erforderlichen Fähigkeiten sind komplex und kostspielig für Unternehmen. Es erfordert etwa ein dediziertes 24x7x365 Security Operations Center (SOC) von Analysten mit spezialisierten Sicherheitskenntnissen.

„Der bedrohungsorientierte Ansatz ist wichtig, um die Gefahren zu bekämpfen. Man kann sich nicht mehr nur auf schwachstellenbasierte Technik verlassen.“

Alex Fürst, Rackspace

Expertise ist auch erforderlich, um Verfahren für die Erstellung von Erkennungssignaturen auf der Grundlage anderer Netzwerkereignisse und Informationen über Bedrohungen zu formalisieren. Diese Kompetenzen beinhalten auch die Fähigkeit, verschiedene Datenquellen manuell auf IoA und IoC zu durchforsten, anstatt sich allein auf automatisierte Erkennungswerkzeuge zu verlassen.

Das Finden dieser hochspezialisierten Sicherheitsexperten stellt nicht nur eine große Herausforderung dar, sondern ist auch teuer. Werkzeuge, die für ein 24x7x365 Sicherheits-Operations-Center benötigt werden und weitere Kosten sind nicht zu vernachlässigen.

Fazit

Der bedrohungsorientierte Ansatz ist wichtig, um die Gefahren von heute und morgen zu bekämpfen. Unternehmen können sich nicht mehr ausschließlich auf schwachstellenbasierte Technik verlassen und müssen eine Kosten- / Risikoanalyse durchführen, um festzustellen, wo ihre Schwerpunkte liegen.

In vielen Fällen, vor allem für Cloud-Implementierungen, kann es sinnvoller sein, diese Arbeit an einen Managed Services Provider auszulagern, der die notwendige Expertise im Security-Bereich mitbringt. Gleichzeitig müssen neben dem Personal auch Technologien vorhanden sein, um Bedrohungen proaktiv zu erkennen.

Über den Autor:
Alex Fürst ist Vice President DACH bei Rackspace.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ganzheitlicher Schutz dank Security Operations Center

Security Operations Center: Der bedrohungszentrierte Sicherheitsansatz

Checkliste IT-Sicherheit: Die Herausforderungen für Unternehmen

Threat Intelligence: Bedrohungsanalysen verstehen und richtig einsetzen

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de
Close