Let’s talk!

COCUS_Blog_Security_Header_ohne_Text Angriffserkennung

Angriffs­erkennung 101: Unter­nehm­ens­sicher­heit mit Detektion und Security Information & Event Management (SIEM)

Angriffserkennung? Was ist das, wer braucht es und wie setzt man es um?

Die Angriffserkennung rückt derzeit besonders für die Unter­nehmen in den Vorder­grund, die Betreiber kritischer Infra­strukturen (KRITIS) sind. Das Bundes­amt für Sicher­heit in der Infor­mations­­technik (BSI) hat mit seiner Änderung des BSI-Gesetzes (BSIG) im Dezember 2021 alle Unter­nehmen mit KRITIS dazu verpflichtet, ab spätes­tens 01.05.2023 eigene Systeme zur Angriffserkennung zu betreiben.

Doch auch für Unter­nehmen ohne kritische Infra­­strukturen gewinnt die Angriffserkennung immer mehr Bedeutung. Bös­willige und gezielte Angriffe sind inzwischen sowohl fortge­schrittener in der Ausführung (Beispiel Lockbit – ein wiederkehrend erfolgreicher Angreifer) als auch schwer­­wiegender in ihren betriebs­kritischen Folgen. Detektion und Security Information & Event Management (SIEM) werden somit zu wichtigen Bestand­­teilen der Unternehmens­­sicherheit, für jedes Unternehmen unabhängig von Größe und Art der Infra­struktur.

Warum präventive Maßnahmen nicht mehr ausreichen

Heutzutage sind Themen wie Cyber-Security, Datenschutz und Informations­sicherheit in der Unternehmens­welt nicht mehr wegzudenken. Die Vorsorge durch Security-by-Design, verschiedene Security-Tools wie Anti-Malware, Firewalls oder Vulnera­bility Scanner sowie der Aufbau und Betrieb eines Information Security Management Systems bleibt notwendig, um nicht kontinu­ierlich durch opportu­nistische Hacker-Angriffe Schaden zu nehmen.

Die beschriebenen Systeme reichen jedoch alleine nicht mehr zur Gewähr­leistung der Unter­nehmens­­sicherheit aus. Grund dafür sind häufig einzelne, wenige Lücken im System, die von Hackern für einen initialen Zugang zum Unternehmens­netzwerk ausgenutzt werden. Die größte Schwach­stelle für einen Angriff trägt dabei vor allem der Mensch.

Stellt man sich die Sicher­heits­­architektur eines Unternehmens als eine Burg vor, die alle technischen Schutz­­maß­nahmen (zum Beispiel Zugbrücke, Stahl­tore und einen Wasser­graben) vollständig umgesetzt hat, bleibt trotzdem eine Gefahr bestehen: die Bevöl­kerung. Da jeder Bewohner der Burg ein Passwort für den Zugang hat, besteht das Risiko, dass das Passwort un­beabsichtigt oder auch vor­sätzlich an Angreifer über­mittelt wird oder aber der Bewohner selbst zum Angreifer werden kann. Einmal in die Burg ein­gedrungen, dient auch die stabilste Zugbrücke und der tiefste Wasser­graben nicht mehr zum Schutz.

Die Folge für Unter­nehmen und die Security Branche

Übertragen auf die Unter­nehmens­­­welt von heute bedeutet das: Social Engineering und Phishing sind ein tägliches Problem für alle Unter­­nehmen. Daneben gehört auch das Thema Insider-Attacker zum Alltag in deutschen Unter­­­nehmen, also Mitarbeiter, die absichtlich oder unabsichtlich die Informations­­­­sicherheit gefährden. Viele erfolg­­reiche Angriffe werden tatsächlich mit regulären Accounts, manchmal sogar mit Admin-Accounts durch­­geführt.

Von hier aus bewegen sich Angreifer wie ein scheinbar legitimer Nutzer innerhalb des Netzes und identi­fizieren und nutzen weitere Schwach­­­­stellen, bis sie schließ­­lich die eigent­liche Schad­­­­wirkung ausführen. Die Ziele der Attacke können unter­­schiedlich aussehen und von der Verschlüsse­lung wichtiger Daten, Exfil­tration von sensitiven Informationen bis zur Sabotage von Systemen reichen.

Die heutige Zeit ist geprägt von einem ständigen Wett­­rüsten darum, wer die nächste Sicher­­­­heits­lücke zuerst findet und schließt, oder eben ausnutzt. Der Begriff „Arms Race“ bezeichnet gleicher­maßen den anhaltenden Kampf darum, wer die nächste Malware unerkannt ausführt bzw. noch verhindern kann. Hundert­­­tausende Malware­­­varianten werden täglich gesichtet, und dennoch besteht das Risiko der Infektion durch eine Malware, die noch nicht durch die Endpoint-Protection erkannt wird.

BSIG: Das ändert sich ab Mai 2023 für Unternehmen

Die Änderungen im §8a des BSIG gibt vor, dass die durch das BSIG regulierten Betreiber von kritischen Infra­­­strukturen bis zum 01.05.2023 Systeme zur Angriffs­erkennung imple­mentieren müssen. Diese Implemen­­tierung muss wiederum spätestens zwei Jahre später extern validiert und gegen­über dem BSI nach­­gewiesen werden.

Was das konkret bedeutet, gibt das BSIG nur grob vor: „Die eingesetzten Systeme zur Angriffserkennung müssen geeig­nete Para­meter und Merkmale aus dem laufenden Betrieb konti­­nuierlich und auto­matisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fort­während Bedrohungen zu identi­­fizieren und zu vermeiden sowie für einge­tretene Störungen geeig­nete Beseitigungs­maßnahmen vorzusehen.“

Funktional muss ein solches System zur Angriffserkennung im Wesent­lichen die Bereiche Logging, Log Analyse und Detektion sowie eine ange­messene Reaktion bereit­stellen. Im Kern geht es also um SIEM-Systeme.

Wie Detektion und SIEM-Systeme zur Angriffserkennung beitragen

Das Grundprinzip der Angriffserkennung besteht darin, Anomalien oder Spuren von Angriffen zu erkennen. Typischer­weise verwendet man hierfür moderne SIEM-Systeme. Ein SIEM-System aggregiert, normalisiert und analysiert Daten gegen bekannte Angriffsmuster und stellt die Ergebnisse für Security Operations Center (SOC) Analysten bereit. Die SOC-Analysten können auf Basis der Ergebnisse entsprechende Reaktions­prozesse triggern. Teilweise lassen sich diese Aufgaben auch automa­tisieren, so dass die Reaktionen schneller und effizienter erfolgen. Zusätzlich informiert ein SIEM-System die relevanten Personen über den aktuellen Sicherheits-Status des Unternehmens. Einige einfache Beispiele für solche Events sind:
Diese Beispiele sind simpel und deren Über­wachung sollte zum Grund­bau­kasten eines Systems zur Angriffserkennung gehören. Ein effektives SIEM implementiert darüber hinaus die Erkennung atomarer Indikatoren bis auf Prozess- oder Paket­ebene und nutzt hierfür sowohl bewährte Frame­works wie Mitre Att@ck oder die Cyber Kill Chain als auch aktuelle Detektions­­muster aus Threat Intelligence Quellen.

Solche Detektionen müssen nicht zwingend einen Angriff darstellen, sondern können durch Fehler oder schlichtweg legitime und trotzdem ungewöhnliche Nutzungs­­szenarien entstehen. Daher müssen diese Fälle im Detail unter­sucht werden. Hierfür liefern moderne SIEM-Systeme wichtige Hilfe­stellung: Sie korrelieren Daten aus anderen Log Quellen zu solchen Events oder bieten Funktionen an, weitere Informationen zu solchen Vorgängen einzuholen. Hierdurch kann der Security Analyst schneller und sicherer entscheiden, ob ein tatsäch­licher Angriff vorliegt.

Wir unterstützen dich

Mit der Implementierung eines SIEM-Systems stellt jedes Unter­nehmen sicher, dass potenzielle und auch fort­ge­schrittene Angriffe schnellst­­möglich erkannt werden können. Für KRITIS Unter­nehmen sind diese Systeme die empfohlene Option zur Erfüllung der ab dem 01.05.2023 geltenden Gesetzes­­regelung. Die COCUS AG unterstützt Unternehmen bei der Einführung von SIEM Systemen, aber auch bei der Optimierung bestehender Implemen­tierungen oder der Migration und Austausch alter gegen modernere SIEM Systeme.
Wir bieten dir vollen Schutz, wenn es um die Sicher­heit deines Unter­nehmens geht.
Bleib informiert und folge uns
Bleib informiert und folge uns
Du hast das Potenzial für 5G-Lösungen bereits erkannt? Wir sind dein 5G-Enabler und realisieren gemeinsam mit dir deine Use Cases!
Du hast das Potenzial für 5G-Lösungen bereits erkannt? Wir sind dein 5G-Enabler und realisieren gemeinsam mit dir deine Use Cases!

Was dich auch interessieren könnte