Under Attack?
Search
Menu

So vermeiden Sie Datensicherheitsverletzungen in Ihrem Unternehmen

By Eyal AraziOktober 19, 2021

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Gleich zu Beginn eine Tatsache, die eher weniger bekannt ist: Beim Verhindern von Datensicherheitsverletzungen kommt es nicht auf die Erkennung an. Moderne Sicherheitssysteme können eine Menge erkennen. Sie erkennen sogar zu viel. Laut einer Studie des IT-Sicherheitsunternehmens Bricata gehen in einem durchschnittlichen Security Operations Center (SOC) pro Tag über 10.000 Alarmmeldungen ein, die von unterschiedlichsten Überwachungs- und Erkennungslösungen stammen. An Erkennung mangelt es also nicht.

Das Problem liegt ganz klar woanders – nämlich nicht in der Erkennung, sondern in der Korrelation.

Erkennung ist einfach – aber was folgt dann?

Die einfachste Form der Erkennung ist ein Alarm. Führt ein Benutzer eine Aktion durch, wird ein Protokolleintrag erstellt. Moderne Cloud-Sicherheitssysteme sind auf Erkennung ausgelegt. Ein durchschnittliches SOC kann zwischen 5.000 und 40.000 Alarmen pro Tag generieren (für größere Netzwerke sogar noch mehr).

Problematisch ist bei der Erkennung jedoch, dass das Betrachten einzelner Alarme noch nichts aussagt. Fast jeder Protokolleintrag kann legitim sein oder nicht, je nachdem, in welchem Kontext er erfasst wurde.

Könnten Sie bei den folgenden Aktivitäten auf Anhieb sagen, ob es sich um einen legitimen Vorgang handelt?

  • Ein Systemadministrator meldet sich von einem ungewöhnlichen Standort aus an. Ist er gerade im Urlaub, muss aber dringend eingreifen? Oder haben Hacker aus Osteuropa seine Anmeldedaten gestohlen?
  • Ein Benutzer greift außerhalb der Geschäftszeiten auf das Netzwerk zu. Hat er vielleicht am Arbeitsplatz einen Notfall? Oder versuchen sich Hacker einzuschleichen?
  • Ein DevOps-Mitarbeiter verwendet zum allerersten Mal einen bestimmten API-Aufruf. Führt er eine neue Produktversion ein oder möchte sich ein Hacker in Ihrem Netzwerk ausbreiten?
  • Ein Datenbankadministrator greift auf einen Cloud-basierten Speicherbereich zu und exportiert alle darin enthaltenen Daten. Gehört das zu seinen Aufgaben oder hat gerade jemand Ihre gesamte Benutzerdatenbank gestohlen?

Tatsache ist, dass aus einem einzelnen Alarm nie die dahintersteckende Absicht hervorgeht.

[Das könnte Sie auch interessieren: Defense Against Vulnerabilities in the Cloud – Is It Too Late?]

Angriffe bleiben unentdeckt

Unsere Erfahrung mit der Analyse von Datensicherheitsverletzungen hat gezeigt, dass in den meisten Fällen zwar rechtzeitig Hinweise auf schädliche Aktivitäten vorliegen, diese aber trotzdem nicht entdeckt werden.

Das hat folgende Gründe:

  • Protokollüberlast: Sicherheitsexperten werden unter einer Flut von Alarmen begraben und können aufgrund von Zeitmangel nur wenige davon analysieren. Folglich gehen wichtige Ereignisse in der Masse unter.
  • Alarme mit niedriger Warnstufe: Viele Aktivitäten, die zu einer Datensicherheitsverletzung führen können, werden nicht als „hohes Risiko“ bzw. „große Auswirkung“ eingestuft, weil es sich um alltägliche Aktionen mit an sich geringem Risiko handelt. Deshalb werden sie häufig übersehen.
  • Fehlender Kontext: Werden Aktivitäten unabhängig voneinander betrachtet, ist ihre tatsächliche Absicht nicht zu erkennen.
  • Zeitlicher Umfang: Ereignisse können sich über Wochen oder sogar Monate erstrecken, bevor sie in einer Datensicherheitsverletzung resultieren. Da jeden Tag eine Unmenge an Protokollen eingehen, ist es unmöglich, sich an Alarme von vor mehreren Wochen zu erinnern und einen Zusammenhang zwischen einzelnen Aktionen herzustellen.

Angesichts dieser Realität des täglichen Sicherheitsmanagements sind jegliche Versuche, Alarme zwecks Erkennung schädlicher Aktivitäten manuell zu analysieren und im Kontext zu betrachten, von vornherein zum Scheitern verurteilt.

Une image contenant texte, rideau, corbeille Description générée automatiquement

Erkennung ist wichtig, aber entscheidend ist Korrelation

Der Schlüssel zum Erfolg liegt somit nicht im Ausbau der Erkennung, sondern in der Korrelation.

Korrelation bezeichnet einen Prozess, bei dem unabhängige, scheinbar unzusammenhängende Ereignisse betrachtet und über mehrere Angriffsflächen, Ressourcen und Zeitfenster hinaus miteinander in Verbindung gesetzt werden.

Nehmen wir als Beispiel noch einmal die Liste mit Aktivitäten von oben. Jedes Ereignis an sich schien bedeutungslos bzw. die Absicht dahinter war nicht zu erkennen.

Aber stellen Sie sich nun folgende Aneinanderreihung vor:

  1. Ein Benutzer stellt von einem Remote-Standort aus zu einer ungewöhnlichen Uhrzeit, außerhalb der Geschäftszeiten, eine Verbindung her.
  2. Ein paar Tage später verwendet derselbe Benutzer zum allerersten Mal einen API-Aufruf, um alle seine Berechtigungen aufzulisten.
  3. Über mehrere Wochen hinweg verbindet sich der Benutzer wiederholt mit verschiedenen Speicherbereichen, die vertrauliche Informationen enthalten.
  4. Der Benutzer lädt Daten aus einem Speicherbereich an einen Standort außerhalb des Netzwerks herunter.

Werden diese Ereignisse als zusammenhängende Kette von Vorfällen betrachtet, erscheinen sie in einem ganz anderen Licht, als wenn jedes Ereignis nur einzeln analysiert wird. Korrelation spielt eine maßgebliche Rolle, weil Sie damit eine Datensicherheitsverletzung als Ganzes erkennen können, anstatt nur die einzelnen Ereignisse zu sehen, aus denen sie besteht.

Korrelation gilt als kritische Komponente der Cybersicherheit und kann entscheidend dazu beitragen, ob Sie eine Datensicherheitsverletzung noch unterbinden können – oder in der Presse davon lesen.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

Posted in: Cloud SecurityTags:

Eyal Arazi

Eyal is a Product Marketing Manager in Radware’s security group, responsible for the company’s line of cloud security products, including Cloud WAF, Cloud DDoS, and Cloud Workload Protection Service. Eyal has extensive background in security, having served in the Israel Defense Force (IDF) at an elite technological unit. Prior to joining Radware, Eyal worked in Product Management and Marketing roles at a number of companies in the enterprise computing and security space, both on the small scale startup side, as well as large-scale corporate end, affording him a wide view of the industry. Eyal holds a BA in Management from the Interdisciplinary Center (IDC) Herzliya and a MBA from the UCLA Anderson School of Management.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Contact Us Now

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
Close

What are you looking for?