So vermeiden Sie Datensicherheitsverletzungen in Ihrem Unternehmen
This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch
Gleich zu Beginn eine Tatsache, die eher weniger bekannt ist: Beim Verhindern von Datensicherheitsverletzungen kommt es nicht auf die Erkennung an. Moderne Sicherheitssysteme können eine Menge erkennen. Sie erkennen sogar zu viel. Laut einer Studie des IT-Sicherheitsunternehmens Bricata gehen in einem durchschnittlichen Security Operations Center (SOC) pro Tag über 10.000 Alarmmeldungen ein, die von unterschiedlichsten Überwachungs- und Erkennungslösungen stammen. An Erkennung mangelt es also nicht.
Das Problem liegt ganz klar woanders – nämlich nicht in der Erkennung, sondern in der Korrelation.
Erkennung ist einfach – aber was folgt dann?
Die einfachste Form der Erkennung ist ein Alarm. Führt ein Benutzer eine Aktion durch, wird ein Protokolleintrag erstellt. Moderne Cloud-Sicherheitssysteme sind auf Erkennung ausgelegt. Ein durchschnittliches SOC kann zwischen 5.000 und 40.000 Alarmen pro Tag generieren (für größere Netzwerke sogar noch mehr).
Problematisch ist bei der Erkennung jedoch, dass das Betrachten einzelner Alarme noch nichts aussagt. Fast jeder Protokolleintrag kann legitim sein oder nicht, je nachdem, in welchem Kontext er erfasst wurde.
Könnten Sie bei den folgenden Aktivitäten auf Anhieb sagen, ob es sich um einen legitimen Vorgang handelt?
- Ein Systemadministrator meldet sich von einem ungewöhnlichen Standort aus an. Ist er gerade im Urlaub, muss aber dringend eingreifen? Oder haben Hacker aus Osteuropa seine Anmeldedaten gestohlen?
- Ein Benutzer greift außerhalb der Geschäftszeiten auf das Netzwerk zu. Hat er vielleicht am Arbeitsplatz einen Notfall? Oder versuchen sich Hacker einzuschleichen?
- Ein DevOps-Mitarbeiter verwendet zum allerersten Mal einen bestimmten API-Aufruf. Führt er eine neue Produktversion ein oder möchte sich ein Hacker in Ihrem Netzwerk ausbreiten?
- Ein Datenbankadministrator greift auf einen Cloud-basierten Speicherbereich zu und exportiert alle darin enthaltenen Daten. Gehört das zu seinen Aufgaben oder hat gerade jemand Ihre gesamte Benutzerdatenbank gestohlen?
Tatsache ist, dass aus einem einzelnen Alarm nie die dahintersteckende Absicht hervorgeht.
[Das könnte Sie auch interessieren: Defense Against Vulnerabilities in the Cloud – Is It Too Late?]
Angriffe bleiben unentdeckt
Unsere Erfahrung mit der Analyse von Datensicherheitsverletzungen hat gezeigt, dass in den meisten Fällen zwar rechtzeitig Hinweise auf schädliche Aktivitäten vorliegen, diese aber trotzdem nicht entdeckt werden.
Das hat folgende Gründe:
- Protokollüberlast: Sicherheitsexperten werden unter einer Flut von Alarmen begraben und können aufgrund von Zeitmangel nur wenige davon analysieren. Folglich gehen wichtige Ereignisse in der Masse unter.
- Alarme mit niedriger Warnstufe: Viele Aktivitäten, die zu einer Datensicherheitsverletzung führen können, werden nicht als „hohes Risiko“ bzw. „große Auswirkung“ eingestuft, weil es sich um alltägliche Aktionen mit an sich geringem Risiko handelt. Deshalb werden sie häufig übersehen.
- Fehlender Kontext: Werden Aktivitäten unabhängig voneinander betrachtet, ist ihre tatsächliche Absicht nicht zu erkennen.
- Zeitlicher Umfang: Ereignisse können sich über Wochen oder sogar Monate erstrecken, bevor sie in einer Datensicherheitsverletzung resultieren. Da jeden Tag eine Unmenge an Protokollen eingehen, ist es unmöglich, sich an Alarme von vor mehreren Wochen zu erinnern und einen Zusammenhang zwischen einzelnen Aktionen herzustellen.
Angesichts dieser Realität des täglichen Sicherheitsmanagements sind jegliche Versuche, Alarme zwecks Erkennung schädlicher Aktivitäten manuell zu analysieren und im Kontext zu betrachten, von vornherein zum Scheitern verurteilt.
Erkennung ist wichtig, aber entscheidend ist Korrelation
Der Schlüssel zum Erfolg liegt somit nicht im Ausbau der Erkennung, sondern in der Korrelation.
Korrelation bezeichnet einen Prozess, bei dem unabhängige, scheinbar unzusammenhängende Ereignisse betrachtet und über mehrere Angriffsflächen, Ressourcen und Zeitfenster hinaus miteinander in Verbindung gesetzt werden.
Nehmen wir als Beispiel noch einmal die Liste mit Aktivitäten von oben. Jedes Ereignis an sich schien bedeutungslos bzw. die Absicht dahinter war nicht zu erkennen.
Aber stellen Sie sich nun folgende Aneinanderreihung vor:
- Ein Benutzer stellt von einem Remote-Standort aus zu einer ungewöhnlichen Uhrzeit, außerhalb der Geschäftszeiten, eine Verbindung her.
- Ein paar Tage später verwendet derselbe Benutzer zum allerersten Mal einen API-Aufruf, um alle seine Berechtigungen aufzulisten.
- Über mehrere Wochen hinweg verbindet sich der Benutzer wiederholt mit verschiedenen Speicherbereichen, die vertrauliche Informationen enthalten.
- Der Benutzer lädt Daten aus einem Speicherbereich an einen Standort außerhalb des Netzwerks herunter.
Werden diese Ereignisse als zusammenhängende Kette von Vorfällen betrachtet, erscheinen sie in einem ganz anderen Licht, als wenn jedes Ereignis nur einzeln analysiert wird. Korrelation spielt eine maßgebliche Rolle, weil Sie damit eine Datensicherheitsverletzung als Ganzes erkennen können, anstatt nur die einzelnen Ereignisse zu sehen, aus denen sie besteht.
Korrelation gilt als kritische Komponente der Cybersicherheit und kann entscheidend dazu beitragen, ob Sie eine Datensicherheitsverletzung noch unterbinden können – oder in der Presse davon lesen.