Firewalls: unabdingbar – aber nicht ausreichend
Eine Vielzahl potenzieller Angriffe werden im Idealfall von der Firewall geblockt – und diese Vorgänge werden von der Firewall üblicherweise mitgeloggt und abgespeichert. Jedoch erfolgt nur in den seltensten Fällen auch eine Alarmierung, sodass im Nachgang auch keine entsprechenden weiteren Schutzmaßnahmen getroffen werden. Was gefährlich ist, denn man kann davon ausgehen: Nach vielen erfolglosen Versuchen kommt irgendwann einmal ein erfolgreicher Angriff.
Nicht handeln hat direkte Konsequenzen: Unternehmen, die die Protokolle ihrer Firewalls nicht regelmäßig auswerten, bemerken einen potenziellen oder tatsächlichen Angriff im Zweifel überhaupt nicht. Oder sie erfahren davon erst, wenn es zu spät ist, Daten gestohlen oder verschlüsselt wurden und der Schaden bereits entstanden ist.
Security Monitoring erkennt auch potenzielle Angriffe
Umso wichtiger ist es, ein Monitoring System zu etablieren. Es sorgt dafür, dass Angriffe, ob sie erfolgreich waren oder nicht, erkannt werden. Hierzu werden die Events, die durch die Firewall-Systeme protokolliert werden, nicht nur abgespeichert, sondern auch tatsächlich ausgewertet. Wenn die vorhandenen Daten eine gewisse Kritikalität aufweisen, wird Alarm geschlagen und die Anwender bzw. Kunden werden automatisch informiert.
Warum ist es aber nicht zielführend, Alerts über die Firewall selbst auszuführen und dann den Anwender/Kunden jedes Mal sofort zu benachrichtigen? Ganz einfach: Nicht alles, was die Firewall meldet, ist tatsächlich durch einen Cyberangriff ausgelöst. Ein Mensch wäre von der Vielzahl und Unterschiedlichkeit der Events schlichtweg überfordert. Eine Entscheidung basierend auf Logevents wäre außerordentlich aufwändig. Erst indem die durch die Firewall gesammelten Informationen aggregiert und angereichert werden, entsteht ein komplexes Bild. Auf dieser Basis werden Meldungen generiert, die eine höhere Kritikalität aufweisen und die genauer betrachtet werden sollten, weil sie auf einen Hackerangriff hindeuten können.
System Monitoring, Security Monitoring – und was dann?
System Monitoring ist möglicherweise schon bei dem ein oder anderen Unternehmen im Einsatz. Daher stellt sich die Frage, weshalb dann noch zusätzlich ein Security Monitoring hinzugeschaltet werden sollte. Auf diese berechtigte Frage gibt es eine simple Antwort: System Monitoring und Security Monitoring sind sich vom Grundsatz her zwar sehr ähnlich. Beim System Monitoring geht es allerdings um harte Werte, die die Systeme aufweisen, wie z.B. die Funktionsfähigkeit eines Netzteils, oder die Lüftung oder die Temperatur der Systeme.
Beim Security Monitoring ist die Sachlage deutlich komplexer: Security Monitoring reagiert auf singuläre Events, die eventuell nochmal gegen eine Threat-Intelligenz abgeglichen werden. Dies ist der erste Schritt zur Analyse von Cyberbedrohungen – aber in seiner Aussagekraft noch relativ eingeschränkt. Denn zu unterschiedlichen Zeitpunkten können ähnliche Aktionen gefährlich oder ungefährlich sein. Für eine umfassende Analyse ist es notwendig, tiefer in die Events hineinzuschauen und idealerweise auch andere Quellen zur Bewertung hinzuziehen, um zu prüfen, ob ein singuläres Ereignis oder auch die Summe verschiedener Events auf einen Angriffsvektor hinweisen. Denn letztlich sollen möglichst wenige False Positives generiert und nur im Falle wirklich kritischer Events Alarm geschlagen werden.
Security Monitoring: prinzipiell gut – und am besten als Service
Security Monitoring kann zwar keinen vollumfänglichen Schutz bieten, da hier nur die Firewall-Daten betrachtet werden. Dennoch ist Security Monitoring für viele Unternehmen ein großer Schritt in Richtung einer verbesserten IT-Sicherheit und auch mit kleinem Budget als Service umsetzbar. Denn in das Security Monitoring können viele Security Features gerade von Next Generation Firewalls einbezogen werden, wie unter anderem Threat Prevention und URL Filter.
Diese Informationen sind ohnehin vorhanden und werden laufend protokolliert. Entsprechend bietet es sich an, sie auszuwerten. Auf diese Weise verringert sich die Gefahr, dass beachtenswerte und kritische Events untergehen und in den häufig ignorierten Firewall-Logs „beerdigt“ werden. Einmal als Managed Security Service eingerichtet, läuft das Security Monitoring. Ab diesem Zeitpunkt wird der Kunde bei kritischen Vorfällen umgehend per E-Mail alarmiert, kann schnell reagieren und die notwendigen Sicherheitsmaßnahmen ergreifen.
Der logische nächste Schritt: Managed Detection and Response
Noch tiefere und detailliertere Überblicke über kritische Aktionen erhalten Unternehmen durch indevis Managed Detection and Response (MDR). Mit MDR können auch andere Datenquellen des Kunden angebunden und verschiedene Daten miteinander verglichen werden. Dadurch lassen sich noch mehr sicherheitsrelevante Informationen sammeln, die Aufschluss über mögliche Angriffe geben.
Alle Findings werden von den indevis-Experten analysiert, zu einem Gesamtbild zusammengefügt und den Kunden entsprechende Gegenmaßnahmen empfohlen. Zudem ist in Einzelfällen und in enger Absprache mit den Kunden auch eine direkte Intervention durch indevis möglich.
Fazit: Kleiner Hebel – große Wirkung
Unternehmen, für die ein solcher MDR-Service aus diversen Gründen aktuell nicht in Frage kommt, sollten sich trotzdem unbedingt mit Security Monitoring auseinandersetzen. Denn diese kostengünstige Alternative bietet gleichwohl einen bedeutsamen zusätzlichen Schutz vor Cyberkriminellen. Security Monitoring macht das Unternehmensnetzwerk zwar nicht zu einer uneinnehmbaren Bastion, aber es hilft dabei, Versuche aufzudecken, das Netzwerk zu infiltrieren. Angriffe können somit erkannt und bekämpft werden, bevor es zu spät ist.
