Mit einem Security Operations Center virtuellen Gefahren entgegenwirken

Ransomware, DDoS-Attacken, Spear Phishing – die Methoden der Angreifer im Cyber-Raum werden einerseits zusehends komplexer, andererseits nimmt ihre Anzahl kontinuierlich zu. Eine umfassende Security-Infrastruktur ist für Unternehmen wie auch Behörden unabdingbar, greift in den meisten Fällen jedoch zu kurz. Eine erfolgreiche Security-Strategie beinhaltet deswegen zusätzlich den Einsatz eines Security Operations Center (SOC).

Der Cyberangriff durch «WannaCry» im Mai dieses Jahres sowie die im Juni erfolgte Attacke mit «Petya» haben die Welt einmal mehr daran erinnert, von welch entscheidender Wichtigkeit eine fundierte Strategie für Internetsicherheit und Online-Prozesse ist. Offensichtlich weisen Konzepte zum Schutz älterer Infrastrukturen und zur Internetsicherheit allzu viele Schwachstelle auf. Dass WannaCry in der Schweiz nicht mehr Schaden anrichtete, war denn vor allem auch mit Glück in Verbindung zu bringen. Eines der Hauptprobleme: veraltete Software infolge ineffektiver Patch-Prozesse. Es liegt auf der Hand: Daten sind zu einem unserer wichtigsten Güter herangereift. Doch die bisherigen IT-Sicherheitskonzepte reichen oft nicht aus, um Unternehmensdaten umfassend zu schützen. Und sie entbehren der notwendigen Agilität, damit der Schutz.

SECURITY OPERATIONS CENTER: DAS SECURITY-GEHIRN 

IT-Sicherheitskonzepte basierend auf Standardlösungen der IT-Security wie Virenscanner, traditionelle (Stateful-Inspection) Firewalls und Anti-Spam-Filter greifen angesichts der vielfältigen Bedrohungsszenarien zu kurz. Cyberkriminelle sind heutzutage zu gewieft; einen Weg ins Netzwerk finden sie auch über andere Methoden. Darum ist eine umfassende Security-Infrastruktur bestehend aus Intrusion-Detection-/Intrusion-Prevention-Systemen, Advanced Endpoint Protection, Next-Generation-Firewall-Plattform, Data Loss Prevention, Privileged Account Management, DDoS-Schutz und vielem mehr schlicht unabdingbar geworden. Während Cyber-Attacken damit in den meisten Fällen erfolgreich abgewehrt werden, geht eine erfolgreiche Cybersecurity-Strategie einen Schritt weiter und nimmt den zusätzlichen Einsatz eines Security Operations Center (SOC) in das IT-Sicherheitskonzept mit auf. Ein Security Operations Center ist die zentrale Kommandobrücke für alle Sicherheitsanliegen eines Unternehmens oder einer Behörde. Ein Team bestehend aus Spezialisten – Security-Analysten, Security-Engineers – überwacht und analysiert die Sicherheitslage rund um die Uhr mit dem Ziel, Cybersecurity-Vorfälle aufzuspüren, zu analysieren und darauf zu reagieren. Genutzt wird dafür eine Kombination modernster technologischer Lösungen sowie klar definierter Prozesse. Unterschiedliche Teams arbeiten Hand in Hand zusammen, um sicherheitsrelevante Problemstellung ausfindig zu machen und zu beheben. Damit wird sichergestellt, dass Sicherheitsprobleme nach erfolgter Entdeckung auch schnellstmöglich adressiert und effektiv gelöst werden.

ANOMALIEN FRÜHZEITIG ERKENNEN UND SICHERHEITSVORFÄLLE UNMITTELBAR ADRESSIEREN

Vom SOC aus werden sämtliche Aktivitäten des Netzwerks, der Server, der Applikationen, der Webseiten sowie anderer relevanter Systeme überwacht und analysiert – 24/7. Ausschau gehalten wird nach Aktivitäten, die auf ein sicherheitsrelevantes Ereignis oder eine Kompromittierung der Sicherheit hindeuten könnten. Der Aufgabenbereich des SOC liegt denn auch darin sicherzustellen, dass allfällige sicherheitsrelevante Zwischenfälle korrekt identifiziert, analysiert, abgewehrt, untersucht und gemeldet werden. Damit solche abweichenden Aktivitäten frühzeitig erkannt werden, ist eine der wichtigsten Aufgaben für ein jedes SOC die Verarbeitung der anfallenden Informationen. Die Log Files, in denen Kennwerte wie Bedrohungs- und Risikodaten der einzelnen im Einsatz stehenden Sicherheitslösungen sichtbar werden, gilt es zu analysieren und in einen Zusammenhang zu bringen. Mittels Security Information and Event Management (SIEM) können Anomalien dank Echtzeitanalyse frühzeitig erkannt und Sicherheitsvorfälle unmittelbar adressiert werden. Der Ansatz gewährleistet einen holistischen Überblick über die komplette IT-Security eines Unternehmens. Dabei kombinieren und analysieren die Security-Engineers Logdateien von einem breiten Spektrum an Quellen, um Abweichungen von der Norm zu erfassen. Indem dabei eine sogenannte «Correlation Engine» (Daten und Events aus mehreren Tools werden erfasst und zueinander in Bezug gesetzt) sowie Regeln spezifisch für das Unternehmen zum Einsatz kommen, können Gefahren aufgedeckt werden, die bei der Analyse einer einzelnen Komponente nicht zum Vorschein kommen würden. Zudem wird die Überwachung sowie die Analyse bestmöglich automatisiert. Damit können Vorfälle schneller, effizienter und mit grösserer Genauigkeit erkannt werden. Für eine bestmögliche Automation werden Use Cases definiert: dem Tool wird beigebracht, auf was reagiert, worauf geachtet werden soll.

Atos TOC Visit at the Olympics on August 10, 2016 in Rio de Janeiro, Brazil. Während den Olympischen Spielen in Rio 2016, wurde 510 Millionen Security Events im Atos Technology Operations Center verarbeitet

SPEZIALISTEN UND WELTWEITE ABDECKUNG FÜR GARANTIERTE SICHERHEIT

Mit der Detektion von Vorfällen darf das Monitoring jedoch nicht enden. Ein erfolgreiches Security Operations Center bedingt ein Team, das nicht nur auf Warnungen reagiert, sondern diese bis zum Massnahmenbeschluss begleitet. Zusätzliche Dienstleistungen wie IT-Forensik, die Erstellung von Lageberichten oder Audits und Penetration Tests runden eine umfassende IT-Sicherheitsstrategie ab. Qualifiziertes Personal ist denn auch das A und O eines erfolgreichen SOC, einer erfolgreichen IT-Sicherheitsstrategie allgemein. Doch solches Personal ist Mangelware. Hinzu kommt, dass sich der Aufbau eines SOC schnell sehr zeitaufwändig und kostenintensiv gestaltet. Vor diesem Hintergrund bietet es sich in den meisten Fällen an, die in einem SOC gebündelten Tätigkeiten bei einem externen Anbieter wie Atos einzukaufen bzw. an diesen auszulagern – im Idealfall an einen Anbieter, der weltweit mehrere SOC betreibt. Eine professionelle Betreuung rund um die Uhr während sieben Tagen die Woche ist damit gewährleistet. Hinzu kommt, dass ein weltweit tätiger Anbieter über Angriffe in anderen geografischen Märkten bereits Bescheid weiss, bevor die Bedrohung die Schweiz erfasst hat. Denn meist fallen Attacken zuerst in Ländern wie den USA, Deutschland oder Grossbritannien an, bevor sie Schweizer Unternehmen heimsuchen. Und nicht zuletzt ist die Rekrutierung sowie die Ausbildung von geeignetem Personal für ein SOC aufwändig und eine langfristige Investition. Den damit verbundenen Aufwand und die Kosten zu stemmen, lohnt sich für die wenigsten Unternehmen, allen voran nicht für kleinere Betriebe.

SECURITY ANALYTICS UM RISIKEN VORHERZUSAGEN UND CYBER-ATTACKEN AUTOMATISCH ZU NEUTRALISIEREN 

Um der steigenden Anzahl der immer komplexeren Cyber-Attacken gegenüberzutreten, hat Atos im Juli 2017 das weltweit erste Prescriptive Security Operations Center in Betrieb genommen. Durch die Kombination von Big Data, Security Analytics, Machine Learning und Supercomputing basierend auf McAfee Technologie bietet Atos seinen Kunden die Möglichkeit, Cyber-Attacken ein Schritt voraus zu sein. Die umfassende Datenanalyse und Überwachung in Echtzeit ermöglicht eine einzigartige und kontinuierliche präskriptive Security. Die Bedrohungen der Kunden können nun prognostiziert und automatisch neutralisiert werden, bevor sie ihre Ziele erreichen.

 

IAM & Cybersecurity Forum:
14. November 2017, Gottlieb Duttweiler Institut, Rüschlikon
Beschleunigen sie ihre Sicherheit mit einem ganzheitlichen Cybersecurity-Konzept.
Jetzt anmelden!