Jedes Unternehmen hat sie wohl – eine Firewall. Und das ist auch gut so, denn auf Firewall-Systemen existieren vielseitige Security-Features, die je nach Wahl der zugrundeliegenden Policies bestimmte Aktionen zulassen oder blockieren und so vor Cyberangriffen schützen. Eine Firewall kann allerdings keinen hundertprozentigen Schutz bieten. Denn dieser ist nur so gut wie das Regelwerk, das für die Firewall aufgesetzt wurde.
Warum die Firewall notwendig aber nicht ausreichend ist
Sind Firewall-Regeln restriktiv, werden auch Events blockiert, die nicht notwendigerweise kritisch sein müssen. Für die meisten Unternehmen dramatischer wird es allerdings dann, wenn das Regelwerk weniger restriktiv ist. Gehen die Hacker sehr geschickt vor und nutzen unterschiedliche Angriffspunkte, können sie in diesen Fällen bisweilen erfolgreich sein und sich unbemerkt im Unternehmensnetzwerk einnisten.
Doch selbst wenn sie nicht ins System eindringen, haben Hacker die Möglichkeit, dies unentdeckt weiter zu versuchen, bis ihre Strategie unter Umständen von Erfolg gekrönt ist. Die Firewall blockt im Idealfall zwar eine Vielzahl potenzieller Angriffe. Diese werden von der Firewall üblicherweise auch mitgeloggt und abgespeichert. Eine Alarmierung gibt es nur in den seltensten Fällen, sodass auch keine entsprechenden weiteren Schutzmaßnahmen getroffen werden.
Unternehmen, die die Protokolle ihrer Firewalls nicht regelmäßig auswerten, bemerken einen potenziellen oder tatsächlichen Angriff daher im Zweifel nicht oder erfahren erst davon, wenn es zu spät ist, Daten gestohlen oder verschlüsselt wurden und der Schaden bereits entstanden ist.
Mit Security Monitoring auch potenzielle Angriffe erkennen
Umso wichtiger ist es, ein Monitoring System zu etablieren. Es sorgt dafür, dass Angriffe, ob sie erfolgreich waren oder nicht, erkannt werden.
Hierzu werden die Events und Cyberattacken, die durch die Firewall-Systeme protokolliert werden, nicht nur abgespeichert, sondern auch tatsächlich ausgewertet. Die so gesammelten sicherheitsrelevanten Informationen fügen sich dann zu einem Gesamtbild zusammen. Wenn die vorhandenen Daten eine gewisse Kritikalität aufweisen, wird Alarm geschlagen und die Kunden werden automatisch informiert.
Würde ein Alarm über die Firewall selbst ausgelöst und der Kunde jedes Mal sofort benachrichtigt, wäre dies nicht zielführend. Denn nicht alles, was die Firewall meldet, ist auch tatsächlich auf einen Cyberangriff zurückzuführen. Die Vielzahl und Unterschiedlichkeit der Events würde den Menschen überfordern. Eine Entscheidung basierend auf Logevents wäre immens aufwendig. Erst indem die Informationen, die durch die Firewall gesammelt werden, angereichert und gemeinsam bewertet werden, entsteht ein komplexes Bild, auf dessen Basis Meldungen generiert werden, die genauer betrachtet werden sollten, weil sie eine höhere Kritikalität aufweisen und auf einen Hackerangriff hindeuten können.
Security Monitoring und System Monitoring – der feine Unterschied
Das ein oder andere Unternehmen hat bereits System Monitoring im Einsatz. Daher mag die Frage aufkommen, weshalb denn auch noch Security Monitoring hinzugeschaltet werden sollte. Eine berechtigte Frage, auf die es eine simple Antwort gibt. Security Monitoring ist dem System Monitoring vom Grundsatz her sehr ähnlich. Bei letzterem geht es allerdings um harte Werte, die die Systeme aufweisen, wie beispielsweise die Temperatur der Systeme oder die Funktionsfähigkeit von Netzteil oder Lüftung.
Beim Security Monitoring ist die Sachlage etwas komplexer. Denn ähnliche Aktionen können zu unterschiedlichen Zeitpunkten gefährlich oder ungefährlich sein. Es ist notwendig, tiefer in die Events hineinzugehen, auch andere Quellen zur Bewertung hinzuziehen, um zu prüfen, ob ein singuläres Ereignis oder auch die Summe verschiedener Events auf einen Angriffsvektor hinweisen. So sollen möglichst wenige false Positives generiert und nur im Falle wirklich kritischer Events Alarm geschlagen werden.
Security Monitoring: Der kleine Bruder von MDR
Security Monitoring kann kein 100-prozentiger Schutz sein, da hier nur die Firewall-Daten betrachtet werden. Zwar bieten gerade Next Generation Firewalls viele Security Features wie unter anderem Threat Prevention und URL Filter, die in das Security Monitoring einbezogen werden. Dennoch ist Security Monitoring für viele Unternehmen ein großer Schritt in Richtung einer verbesserten IT-Sicherheit und auch mit kleinem Budget umsetzbar.
Denn die Informationen sind vorhanden und werden ohnehin protokolliert. Entsprechend sollten sie auch ausgewertet werden, sodass beachtenswerte und kritische Events nicht untergehen und in den Firewall-Logs schlummern, die kaum Beachtung finden. Einmal als Managed Security Service eingerichtet, läuft das Security Monitoring. So wird der Kunde bei kritischen Vorfällen umgehend per E-Mail alarmiert. Entsprechend schnell kann er dann reagieren und die notwendigen Sicherheitsmaßnahmen ergreifen.
Noch tiefer und detailliertere Überblicke über kritische Aktionen erhalten Unternehmen durch indevis Managed Detection and Response (MDR). Denn durch MDR können auch andere Datenquellen des Kunden angebunden werden. So werden noch mehr Informationen gesammelt, die Aufschluss über mögliche Angriffe geben. Außerdem werden die Findings zusätzlich von den indevis Experten analysiert und Gegenmaßnahmen mit dem Kunden eingeleitet.
Unternehmen, für die MDR aus verschiedenen Gründen aktuell nicht in Frage kommt, sollten sich auf jeden Fall mit Security Monitoring auseinandersetzen. Denn diese kostengünstige Alternative macht das Unternehmensnetzwerk zwar nicht zu einer uneinnehmbaren Bastion, bietet aber einen bedeutsamen zusätzlichen Schutz vor Cyberkriminellen, indem deren Versuche, das System zu infiltrieren aufgedeckt werden. Angriffe werden erkannt, bevor es zu spät ist.
