Vom Monitoring zum SIEM.

Nebel des Grauens oder Licht am Ende des Tunnels?

Stellen Sie sich vor, Sie fahren nachts bei Nebel mit Sicht unter 50 Metern auf einer Autobahn. Würden Sie mit Vollgas auf der Überholspur fahren? Wohl kaum. Die meisten Unternehmen verhalten sich leider so ähnlich im Bereich Netzwerk- und Event-Monitoring. Folgende Fragestellungen können dabei helfen, den Nebel sicher zu verlassen und trotzdem schnell ans Ziel zu kommen.

• Können Sie verlässlich zu jeder Zeit sagen, wie es um Ihr Unternehmensnetzwerk steht, wer sich gerade im Netzwerk befindet und welche Zugriffe getätigt werden?
• Können Sie sagen, ob letzte Woche ein Mitarbeiter bspw. Daten auf eine Online-Fileshare-Plattform hochgeladen hat und wenn ja, auf welche?
• Kennen Sie alle Systeme, die sich in Ihren Netzwerk befinden, welche Kommunikation diese aufbauen und warum?
• Würden Sie einen Cyber-Angriff erkennen und forensische Maßnahmen durchführen können, um das Schadensausmaß zu beziffern und den Angriffsvektor zu finden?

Monitoring muss nicht zum lästigen Zeiträuber werden.

Das sind zugegebener Maßen viele Fragen, deren Beantwortung einiges an Zeit kosten würde. Vorausgesetzt die Daten existieren. Um hier wertvolle Zeit zu sparen, kam vor einigen Jahren eine Lösung auf den Markt: SIEM

Security Information and Event Management (SIEM) generiert aus Millionen von Logeinträgen von unterschiedlichen Geräten wenige Events (verschiedene Logeinträge, die einen gemeinsamen Kontext haben), die genau diese Fragen (und viele mehr) beantworten können. Der eigentliche Nutzwert ergibt sich jedoch aus der Definition der sogenannten Use Cases, also der Annahme von Ereignissen, welche erkannt werden sollen.

Wertvolle Tipps zur Definition dieser Ereignisse:

1. Überlegen Sie aus Ihrer eigenen Risikobetrachtung heraus, welche Bereiche besonders schützenswert sind und mit welchen Maßnahmen diese abgesichert wurden.
2. Sind Authentifizierungs- und Autorisierungssysteme für diese Maßnahmen behilflich, so sollten die aufgezeichneten Logon Events (Anmeldeereignisse) in Betracht gezogen werden, um diese Maßnahmen zentral zu analysieren.
3. Sind Netzwerkabsicherungsmaßnahmen im Einsatz, wie zum Beispiel Netzwerksegmentierungen durch Firewall-Systeme, sollten diese Logeinträge zusätzlich analysiert werden.
4. Definieren Sie Ereignisse, welche auf jeden Fall Sicherheitsvorfälle darstellen und untersucht werden müssten. Einige Beispiele dafür sind:

• Anmelden über ein bestimmtes Benutzerkonto an einem bestimmten Gerät und optional ab einer bestimmten Anzahl in einem definierten Zeitraum
• Netzwerkverkehr eines bestimmten Gerätes zu einem Ziel, welches nicht autorisiert ist.
• Überschreitung des Datenvolumens in einem bestimmten Zeitraum

Datenschutz geht vor.

Beachten Sie bei diesen Maßnahmen auch die gültige Datenschutzverordnung und stimmen Sie diese mit Ihrem Datenschutzbeauftragten ab. Datensparsamkeit wirkt im Bereich Eventanalyse kontraproduktiv, da im Ernstfall keine Forensik mehr durchgeführt werden kann. Ein besonderes Augenmerk liegt auch auf angemessenen Löschfristen und der Absicherung der gespeicherten Informationen vor unbefugten Zugriff.

Unsere gemanagten Firewall- und EndPoint-Lösungen liefern Ihnen auf Knopfdruck die Antworten auf die Fragen vom Anfang. Secure Net bietet nicht nur mehr Sichtbarkeit des Netzwerkverkehrs, sondern die Integration von Authentifizierungssystemen und sorgt dafür, effizient Sicherheitsvorfälle zu erkennen, zu verhindern und dabei trotzdem Datenschutzkonform zu arbeiten. Sprechen Sie unsere Experten an.