Aufrufe
vor 1 Jahr

Cybersecurity 2019

  • Text
  • Bedrohungen
  • Angriffe
  • Mitarbeiter
  • Systeme
  • Malware
  • Cyber
  • Sicherheit
  • Schweiz
  • Cybersecurity
  • Unternehmen

DOSSIER KOMPAKT IN

DOSSIER KOMPAKT IN KOOPERATION MIT T-SYSTEMS Die Goldadern der IT-Security Eine moderne und komplexe IT-Landschaft kann man nicht schützen, wenn man nicht weiss wovor. Angriffe werden immer individualisierter und somit schützt generisches Wissen nur zum Teil. Die IT-Security muss massgeschneidert werden. Das ist aber keine einmalige Aktion, sondern eine konstante Aufgabe. Die meisten Firmen haben aus Compliance-Gründen bereits einen Log-Server im Betrieb, der alle relevanten Informationen von Geräten und Diensten in einem Netzwerk zentral speichert. Meistens fristet ein solcher Log-Server aber ein einsames und unbedeutendes Dasein, ausser es tritt ein Problem auf, bei dem die relevanten Informationen aus dem Server mehr oder weniger komfortabel extrahiert werden können. Informationen sind ja bekanntlich das Gold der Informatik. In einem Log-Server ruhen aus Sicht der Security grosse und wertvolle Goldadern, die eigentlich nur noch richtig ausgewertet werden müssen, um eine zeitnahe, umfassende und individuelle Sicht auf die IT-Security bieten zu können. Aufgrund der Fülle an Informationen, die auf einem Log- Server gespeichert werden, besteht die Schwierigkeit darin, bei der Auswertung der vorhandenen Logdaten die Spreu vom Weizen zu trennen. Das heisst, aus den vielen unbedeutenden Informationen sicherheitsrelevante Informationen zu generieren. Das Werkzeug der Wahl heisst hier Security Information Event Monitoring, kurz SIEM. Proxy Server Firewall Logs Logs Log-Management Logs Das zentrale Log-Management nimmt sämtliche Logs entgegen. Sicherheitsrelevante Logs werden an das SIEM weitergeleitet. Security Logs SIEM Der Autor Ronny Fischer, Security Evangelist, T-Systems Schweiz Korrelation und Kompression der Logdaten Mit einem SIEM werden vor allem die Korrelation und Kompression der Logdaten durchgeführt. Im Idealfall können so aus Millionen von Ereignissen ein paar wenige produziert werden, die dann auch mit einem vernünftigen Arbeitsaufwand manuell weiter inspiziert werden können. Korrelation dient dazu, Ereignisse mit ähnlichem Inhalt intelligent in Verbindung zueinander zu setzen. Beispielsweise wäre die Source-IP-Adresse, die bei einem Angriff auf der Firewall detektiert wurde, mit Ereignissen innerhalb des eigenen Netzwerks in Verbindung zu setzen. Sollte dieselbe IP-Adresse, die auf der Firewall mit einem Angriff identifiziert wurde, im eigenen Netzwerk gefunden werden, kann davon ausgegangen werden, dass ein erfolgreicher Angriff stattgefunden hat. Komprimierung hilft dabei, vor allem aus vielen gleichen Ereignissen wenige Ereignisse zu generieren und schliesslich mit der oben beschriebenen Korrelationsfunktion weiter zu verdichten. Ein gutes Beispiel dafür wäre eine Firewall, die im Millisekundentakt meldet, dass die gleiche Source-IP-Adresse die Firewall auf allen 65000 Ports abscannt. Mit der Komprimierungsfunktion wird aus den 65000 Ereignissen auf ein einziges Ereignis reduziert, das dokumentiert, welche Source-IP-Adresse auf welchen Ports einen Portscan durchgeführt hat. Die Schwierigkeit besteht darin, das Ganze möglichst intelligent durchzuführen. Werden richtige Ereignisse mit falschen Korrelationsregeln verarbeitet, entsteht daraus ein falscher oder kein Alarm. Wird die Komprimierung zu intensiv oder zu wenig durchgeführt, kann das durch weitere Korrelation zu einer unvollständigen Sicht oder zu vielen Fehlalarmen führen. Standard-Korrelations- und -Komprimierungsregeln sind zwar ein fester Bestandteil aktueller SIEM-Software, trotzdem sollte man sich nicht darauf verlassen, dass diese Regeln nie mehr modifiziert werden müssen. In Wahrheit ist ein SIEM eine recht aufwändige Angelegenheit, da die Regeln ständig auf Änderungen im Netzwerk und die Bedrohungslage angepasst werden müssen. Bevor man also eine SIEM-Software installiert und einfach mal schaut, wie man diese einsetzen kann, empfiehlt es sich, Experten mit ins Boot zu holen und zu klären, inwieweit ein externer Dienstleister einen bei dieser Aufgabe nachhaltig unterstützen kann. Wann was verwenden? In einer modernen, sicheren IT-Landschaft ist ein zentrales Log- Management mittlerweile ein fixer Bestandteil, der sowohl den operativen Betrieb erleichtert, als auch die Sichtbarkeit und Sicherheit erhöht. Log-Management allein ist heute jedoch nicht ausreichend, um den hohen Anforderungen an die IT-Sicherheit gerecht zu werden. Hier bietet eine SIEM-Lösung die Möglichkeit, strukturiert Anomalien oder Angriffe im Netzwerk erkennen und darauf reagieren zu können. 50 CYBERSECURITY

« KMUs sollten nicht versuchen, alles allein zu machen » Cyberattacken bedrohen jeden. Was die IT-Sicherheit angeht, spielen KMUs und Grossunternehmen jedoch in anderen Ligen: KMUs fehlen oft die erforderlichen Mittel. Andrew Hutchison, Cyber Security Spezialist bei T-Systems Schweiz, hat daher ein paar Tipps für KMUs. Interview: Coen Kaat DOSSIER KOMPAKT IN KOOPERATION MIT T-SYSTEMS Welchen Bedrohungen sind KMUs ausgesetzt? Andrew Hutchison: Die Bedrohungen von Cyberangriffen unterscheiden nicht zwischen grossen und kleinen Unternehmen. Jedoch ist es für KMUs ungleich schwieriger, die Sicherheit auf einem Niveau zu halten, wie es grösseren Organisationen möglich ist. Es gibt aber Strategien, die es auch kleineren Unternehmen erlauben, ihre Sicherheitslage zu kontrollieren und zu optimieren. Unternehmen müssen generell gegenüber Netzwerkangriffen aus dem Internet, gegenüber Viren oder Trojanern sowie gegenüber Social-Engineering-Angriffen wachsam sein. Letztere sind Angriffe, die direkt auf die Mitarbeitenden zielen und sie so manipulieren, dass sie auf schädliche Links klicken oder infizierte Dateien öffnen. Unternehmen im Manufacturing müssen zudem auch ihre «Betriebstechnologie» schützen und verstehen, dass ihre Prozesssteuerungssysteme ebenso angreifbar sind wie die Informationstechnologie. Wie können KMUs wachsam bleiben? Die Infrastruktur muss in Bezug auf Sicherheit aktiv gemanagt werden, damit ein gewisser «Basisschutz» gewährleistet ist. Systeme und Anwendungen sollten entsprechend den Anweisungen ihres Lieferanten laufend aktualisiert und im Bedarfsfall «gepatcht», also mit Updates zur Fehlerbehebung bespielt werden. Systeme, die Maschinen, Roboter oder ganze Produktionsprozesse steuern, sollten ebenfalls proaktiv geschützt werden. Die Unternehmen können hierbei auf bestehende Informationen zurückgreifen, wie beispielsweise Log-Daten, in denen nachvollzogen werden kann, ob es relevante Sicherheitsvorfälle gab. Bei der Verwendung von cloudbasierten Diensten kann eine professionell verwaltete Infrastruktur mit der Option auf Security-Management von Vorteil sein. Dies eröffnet KMUs die Möglichkeit, nach Bedarf zu skalieren. Auch bei on-premise respektive dezidierter Infrastruktur kann mit einem spezialisierten ICT-Security-Provider zusammengearbeitet und das Security- Management von besonderes kritischen Systemen und Infrastrukturen ausgelagert werden. Welchen Rat geben Sie KMUs, die sich um ihre Cybersecurity sorgen? Sie sollten nicht versuchen, alles allein zu machen. Das können nur grosse Unternehmen mit tiefgehender Sicherheitsspezialisierung. Ganz wichtig ist, sicherzustellen, dass Back-ups und Desaster-Recovery-Pläne vorhanden sind und im Ernstfall auch Andrew Hutchison, Cyber Security Spezialist, T-Systems Schweiz. funktionieren, wenn eine Systemrekonstruktion erforderlich ist. Die technologische Seite der Betriebssicherheit ist wichtig, aber darüber sollte die Nutzeraufklärung nicht vergessen gehen. Insbesondere bei Phishing- oder Social-Engineering-Angriffen sind Sensibilisierungsprogramme – sogenannte User-Awareness- Programme – für den Schutz der Organisation entscheidend. Der Endpunktschutz kann einen grossen Beitrag zum Geräteschutz leisten und die Angriffspunkte für schädliche Codes einschränken. Für die zentrale organisatorische Konnektivität bleibt eine Firewall-Lösung unabdingbar – idealerweise als Managed Service, um die Wirksamkeit dieser Investition sicherzustellen. Intrusion-Detection- und Protection-Module können hinzugefügt werden, oder es können auch «Next-Gen-Firewall» implementiert werden, um den Sicherheitsschutz zu erhöhen. In einigen Fällen, in denen viele Zweigstellen vorhanden sind oder Mitarbeiter an mehreren Standorten arbeiten, könnte auch ein cloudbasierter Sicherheitsperimeter-Service in Betracht gezogen werden, anstatt den gesamten Datenverkehr zur Inspektion an den zentralen Breakout-Punkt des Unternehmens zu transferieren. Artikel online: www.netzwoche.ch ▸ Webcode DPF8_133723 CYBERSECURITY 51

Archiv