Phishing, Ransomware... Dieses Jahr ist die Zahl der Cyberangriffe auf Unternehmen förmlich explodiert. Um sich dagegen zu wehren, entscheiden sich immer mehr Unternehmen für die Einrichtung eines SOC : Security Operations Center. Diese Sicherheitseinrichtung erlaubt es, über einen einzigen Service die gesamte Infrastruktur und die gesamten Daten eines Unternehmens zu überwachen. Die Organisation verfügt über ein Sicherheitshauptquartier, das die Erkennung von potenziell gefährlichen Ereignissen für Ihr Netzwerk ermöglicht. Erläuterungen.
Security Operations Center (SOC): Der Wachturm für Ihre IT-Infrastruktur
Ihr IT-Netz verfügt über mehrere Sicherheitsebenen: Firewall, IDS/IPS, DDoS-Schutz, Endpoint Detection and Response (EDR)... Diese Einrichtungen sind wie die Mauern einer Burg, d. h. sie sollen Sie vor unerwünschten Eindringlingen schützen. Gleichzeitig ist es wichtig, die versuchten Einbrüche in Ihr Netzwerk zu überwachen und zu protokollieren. Dazu benötigen Sie einen Wachturm, der Ihnen volle Sicht auf Ihre verschiedenen Firewalls ermöglicht. Das ist die Aufgabe des SOC. Es beaufsichtigt die Eingänge und Ausgänge innerhalb ihrer IT-Infrastruktur: von der Netzwerkebene bis hin zu der am Arbeitsplatz installierten Software.
Wie funktioniert ein SOC?
Jede Komponente Ihres Netzwerks erzeugt eine große Menge an Protokollen, sogenannte Ereignisse : VPN-Verbindung, Ein- und Ausgänge, Zugang zu gemeinsam genutzten Dokumenten... Und dieser Service hat die Aufgabe, all diese Netzwerkinformationen zu sammeln und sie in einer riesigen Datenbank, dem sogenannten Data Lake, in einem einheitlichen Format kompatibel zu machen.
Somit können diese Daten analysiert werden, um mögliche Anomalien zu erkennen. Was genau ist unter einer Anomalie zu verstehen? Das ist bei jedem Unternehmen anders. Zum Beispiel wenn nach Mitternacht eine VPN-Verbindung hergestellt wird oder nacheinander Dutzende von freigegebenen Ordnern im Netzwerk durchsucht werden oder Daten vom Server auf den eigenen Computer heruntergeladen werden. Sämtliche solcher Anomalien werden von SIEM (Security Information and Event Management) erfasst und können so von Ihren Teams überprüft werden. Das heißt, der betreffende Mitarbeitende wird gefragt, ob wirklich er es war, der nach Mitternacht eine Verbindung aufgebaut hat.
Vor allem jedoch schickt ein gut konfiguriertes SOC Warnmeldungen an die Administratoren, wenn einige potenziell gefährliche Ereignisse aufeinander folgen, die darauf hindeuten, dass ein Cyberangriff im Gange sein könnte. In diesem Zusammenhang sind die Korrelationsregeln von Bedeutung. Schauen wir uns deren Funktionsweise einmal an.
Was besagt eine Korrelationsregel?
Eine Korrelationsregel teilt Ihrem System mit, welche Ereignisketten als Anomalien gelten, die mit einer Sicherheitslücke oder einem Cyberangriff verbunden sein könnten. Ganz konkret ist bei einer Korrelation festgelegt, dass beim Eintreten der Ereignisse „x“ und „y“ oder „x“ und „y“ plus „z“ die Administratoren zu informieren sind.
Nehmen wir einen Phishing-Versuch als Beispiel:
Der Angreifer sendet eine E-Mail mit einem Word-Dokument im Anhang. Der Nutzer öffnet den Anhang, der ein Makro (d. h. eine Folge von auszuführenden Befehlen) enthält, das dem Angreifer vollen Zugriff auf den Rechner des Nutzers erlaubt.
Um diesem Risiko entgegenzuwirken, identifizieren die SOC-Teams eine Korrelation zwischen diesen verschiedenen Ereignissen:
- ein Nutzer erhält eine E-Mail
- die Mail enthält einen Anhang
- der Nutzer öffnet das Dokument, das ein Makro enthält
- das Makro baut eine Internetverbindung auf
Diese Ereigniskette stellt die wichtigsten Schritte eines Cyberangriffs dar. In der Folge geht eine Warnmeldung an Ihre Netzwerkadministratoren, die nun so schnell wie möglich überprüfen müssen, ob Sie Opfer eines Angriffs sind oder nicht.
Allerdings sollte man sich vor Augen führen, dass es keine „magische Log-Datei“ gibt, die mit Sicherheit anzeigen kann, ob ein Angriff im Gange ist. Aus diesem Grund ist die Entwicklung von Korrelationsregeln ein entscheidender Schritt für Ihre Sicherheitsstrategie. Es geht darum, das richtige Gleichgewicht zu finden zwischen zu vielen Falsch-Positiv-Meldungen, die kostbare Zeit Ihrer Teams verschwenden würden, und dem Risiko, eine mögliche Ereigniskette, durch die ein Angriff aufgebaut wird, zu übersehen.
Die richtige Gewichtung für ein engmaschiges Sicherheitsnetz
Man kann bei der Bestimmung der Korrelation noch einen weiteren Schritt gehen, indem jeder Aktion oder jedem „Use Case“ eine Gewichtung zugewiesen wird (entsprechend der Wahrscheinlichkeit und den Folgen). Je riskanter ein Ereignis, desto stärker wird es gewichtet. Es werden also nicht nur alle Aktionen eines Nutzers (oder einer IP-Adresse) gespeichert, sondern sie werden darüber hinaus gewichtet. Auf dieser Grundlage wird schließlich die Gesamtgewichtung eines jeden Netzwerknutzers ermittelt. Wenn also ein Standardnutzer für außerordentlich viele vermeintlich „normale“ (niedrig gewichtete) Aktionen verantwortlich ist, kann das System dank der Gewichtung, die dem Nutzer daraufhin zugewiesen wird, eine Warnung ausgeben.
Obwohl es immer möglich ist, dass ein isoliertes Ereignis übersehen wird, besteht der Mehrwert eines SOC und seiner Korrelationsstrategie darin, ausreichend viele verdächtige Aktionen identifizieren zu können, um einen Angriff sicher zu erkennen.
Sie haben Fragen zur IT-Sicherheit in Ihrem Unternehmen? Lesen Sie weitere Artikel unserer Experten über die Bedeutung der richtigen Sicherheitsstandards oder den menschlichen Faktor in der Strategie für Cybersicherheit.
