Incident Response – warum SIEM allein nicht ausreicht

Es folgt die Einschätzung von Monika Schaufler, Regional Director, DACH bei Proofpoint: Die Statistiken sind ernüchternd: Laut des diesjährigen PWC Global State of Information Security Report stiegen im Jahr 2013 die Gesamtzahl der Angriffe auf die IT-Sicherheit von Unternehmen im Vergleich zum Vorjahr um 48% auf 42,8 Millionen an. Das sind umgerechnet 117.330 Angriffe pro Tag. Allein die bloße Anzahl der gemeldeten Angriffe zeugt davon, dass IT-Teams trotz intensiver Bemühungen große Probleme haben, gezielte Angriffe zu erkennen und zu bekämpfen. Egal ob gross oder klein, kein Unternehmen der Welt scheint vor diesen Bedrohungen gefeit zu sein. Und das, obwohl die Konsequenzen – von Bußgeldern bis hin zu Gewinnverlusten und Imageschädigung – fatal sein können. So entstand im Jahr 2013 weltweit ein Verlust von geschätzten 2,7 Millionen Dollar pro Angriff.
Wie ist es also möglich, dass so viele betroffene Firmen wertvolle Unternehmensinformationen an die Cyberkrimellen verlieren? Bieten die oft so Antwort auf alle Probleme gepriesenen SIEM-Technologien die Lösung? Und kann der Channel Unternehmen überhaupt helfen, sich erfolgreich gegen Angriffe schützen?

Eine Sache des Timings

Bei Cyberattacken ist Schnelligkeit ist ausschlaggebend. Meist fängt die Phase der Datenausschleusung unmittelbar nach der Infizierung an. Laut dem Verizon Data BreachInvestigations Report 2014 hat bei nahezu 90 Prozent der Datenschutzverletzungen an Point-of-SaleTerminals die Datenausschleusung bereits innerhalb von Minuten oder Sekunden nach dem Eindringen begonnen. Jedoch dauerte es bei über 90 Prozent der Angriffe auf Webanwendungen mehrere Tage oder noch länger, um den Zwischenfall in den Griff zu bekommen.

Unternehmen haben die besten Chancen, eine Katastrophe abzuwenden, wenn eine Bedrohung unmittelbar nach der Erkennung ermittelt, untersucht und gestoppt wird. Und genau dies scheint IT-Teams die größten Problemezu bereiten. Als Beispiel sei die Datenpanne bei Target genannt. Der Angriff wurde zwar erkannt und die Sicherheitsteams benachrichtigt. Jedoch konnte das Unternehmen dennoch nicht verhindern, dass 40 Millionen Kreditkartennummern aus dem Netzwerk geschleust wurden, bevor eingegriffen wurde. Die erste Warnung wurde nicht erkannt. Jegliche Verzögerungen derIncident Response Maßnahmenführen schnell zum weiteren Verlust von Daten und Einnahmen sowie zum Vertrauensverlust der Kunden. Wieso also fällt es den Unternehmen so schwer, rasch zu reagieren?

Einsicht ist gut, Verständnis ist besser

Es liegt auf der Hand, dass man um auf ein Problem reagieren zu können dieses erst einmal erkennen muss. Hier bieten SIEM- und Malware Detection Technologien wie ArcSight, NetIQ, Palo Alto und FireEye wervolle Informationen, die essenziell für die Bekämfung der Gefahr sein können. So weiss das Unternehmen nun, dass es ein Problem hat, hat jedoch keine Ahnung, wie man die Gefahr eindämmt und bewältigt. Denn was diese Lösungen nicht bieten ist eine einheitlich Vorgehensweise zur Zusammenführung und Auswertung aller Alerts von allen Tools – und hier beginnt das wirkliche Problem. Betrachtet man einmal alle Schritte, die von der Erkennung bis zur Eindämmung und Behebung unternommen werden müssen wird der Grund für die verzögerte Reaktionszeit schnell klar:
• Bestätigung und Zusammenführung von Sicherheitswarnungen
• Erfassung von Daten zum angegriffenen Benutzer und System, Terminfestlegung für den Servicedesk und Erfassung lokaler Systemdaten zum angegriffenen Endpunkt
• einheitliche Analyse der Systeminformationen und der angegriffenen Daten, Untersuchen von Domänenregistrierungen und Virenerkennungssystemen sowie von Intelligenz-Systemen
• Reaktionsentscheidungsanalysen
• und schlussendlich die Durchsetzungsmaßnahme, die unter anderem Ticketing, Änderungskontrolle und abteilungsübergreifende Verhandlungen für die endgültige Maßnahmen umfasst.

Als ob dies nicht Herausforderung genug wäre, sind herkömmliche Incident Response Maßnahmen auf manuelle Prozesse für Dateneingabe, Datenübertragung und Verhaltensanalysen angewiesen – und unterliegen oft einer doppelten Kontrolle. Die schiere Anzahl, Komplexität und Raffinesse der Bedrohungen und Gegenmaßnahmen für die IT-Teams sind schlicht überwältigend und das Volumen an neuer Malware übersteigt schnell die Fähigkeit, Abwehrmaßnahmen und qualifiziertes Personal einzusetzen. Außerdem kämpfen die meisten Unternehmen damit, den erforderlichen Zeitaufwand und die nötigen Ressourcen aufzubringen, um neue Sicherheitstechnologien effizient zu entwickeln und einzusetzen.Bei globalen Unternehmen werden die Incident Response Maßnahmen zudem häufig zusätzlich durch Zeitunterschiede und Mitarbeiterverfügbarkeit über verschiedene Abteilungen erschwert.

Bereits direkt nach der Implementierung können IT-Angestellte schnell unvorhergesehen von den komplexen Codierungen der Drittlösungen überwältigt werden. Daher lässt sich selbst wenn ein Unternehmen Hunderttausende oder sogar Millionen Euro in hochentwickelte SIEM- und Erkennungstechniken investiert hat, anhand der Systeme oft nur bestätigen, dass im Unternehmensnetzwerk Malware aktiv ist – wie in 70 bis 95 Prozent anderer Unternehmensnetzwerke weltweit auch.

Für kleinere Unternehmen, denen die nötigen Mittel für einen hohen Aufwand an Zeit und Ressourcen für die Entwicklung spezieller Maßnahmen fehlen, ist das Problem noch größer. Es ist kein Zufall, dass einige der größeren zuletzt aufgetretenen Datenpannen über kleinere Partner der angegriffenen Firmen verursacht wurden, indem Cyberkriminelle zuerst in weniger komplexen Systemen Fuß fassten, bevor sie Anschläge auf das Hauptangriffsziel verübten. Zahlreiche Firmen werden erst durch behördliche Benachrichtigungen darauf aufmerksam gemacht, dass ihre Netzwerke gefährdet sind. Die Bereinigungen allein können über einen Monat dauern. Das Ponemon Institute schätzt, dass die Nachwirkungen eines Angriffs erst nach 45 Tagen vollständig beseitigt sind.

Die Suche nach Kontext

Um eine erfolgreiche Verteidigung zu gewährleisten, ist ein detaillierter Überblick über die verschiedenen Systeme , Alerts und Tools erforderlich. Denn diese bieten individuell alle relevant Informationen – jedoch ist es Aufgabe des Unternehmens, diese auszuwerten und die geeigneten Gegenmaßnahmen zu ermitteln. Den meisten Unternehmen fehlt es an der Infrastruktur und den erforderlichen Daten um diese Mammutaufgabe bewältigen zu können. Zudem sind Lösungen, die benutzerdefinierte Module, Integration und Wartung benötigen, in der Praxis sehr schnell genauso kostenintensiv wie der Aufwand für das Erstellen neuer und Pflegen vorhandener dedizierter Lösungen. Das Ergebnis kann die Fähigkeit eines Unternehmens, sofort auf Gefahren zu reagieren, verzögern oder sogar behindern.

Auch von Drittanbieternentwickelte Code zur Identifizierung und Überwachung von Bedrohungsvektoren birgt den Nachteil, dass IT-Teams den Code für die neuen Funktionen oft nur schwer an die spezifische Umgebung anpassen können. Einige Unternehmen mussten aufgrund derartiger SIEM- und anderer intelligenter Lösungen bis zu 500 Regeln erstellen, um den Durchblick über ihre Sicherheitsprozesse nicht zu verlieren – wobei das Endergebnis immer nochnicht die nötige Genauigkeit und verwertbaren Informationen bietet.
Das Fazit: SIEM ist wichtig – aber allein reicht es nicht aus. Der Channel kann mit den folgenden Tips helfen, eine Sicherheitsstrategie zu implementieren, die nicht nur eine zeitgerechte Erkennung und Analyse von Angriffen sicherstellt, sondern auch umsetzbare Gegenmaßnahmen für eine erfolgreiche Abwehr bietet:
• IntrusionDetection und Prevention Maßnahmen müssen konsequent ausgeführt und rund um die Uhr auf dem neuesten Stand in Bezug auf Angriffsvektoren gehalten werden. Auf manuellem Wege oder mit begrenzten internen Ressourcen ist dies schlicht unmöglich.

• Werkzeuge zur Verschlüsselung und Blockierung bekannter Bedrohungen sowie Mitarbeiterschulungen zur Sensibilisierung auf verdächtige Muster (wie bei Phishing-E-Mails) tragen samt und sonders dazu bei, die Wahrscheinlichkeit eines erfolgreichen Angriffs zu minimieren.

• Eine offene Plattform, die Features zur Erkennung und Eindämmung von Bedrohungen verschiedener SIEM-Anbieter vereint bietet einen transparenten Überblick über sämtliche Bedrohungsdaten und ermöglicht es IT-Teams so, schneller und flexibler sowie zuverlässiger und präziser zu reagieren.

• Selbst die zeitnahesten Warnungen sind sinnlos, wenn das IT-Team dieInformationen nicht schnell genug auswerten kann. Unternehmen benötigen eine optimierte, automatisierte Incident Response Technologie, bei der die Daten aller Tools im richtigen Kontext eingegrenzt werden. Sobald die Prioritäten für die Bedrohungen gesetzt sind, unterstützt das System IT-Teams dabei, die Ressourcen für den Schutz des Unternehmens vor Bedrohungen zu bündeln und gezielt zu handeln.

Detection und Prevention sind nur der erste Schritt. Selbst mit den neuesten SIEM- und Prevention Systemem, die korrekt funktionieren, auf dem neuesten Stand sind und immer überwacht werden wird es trotzdem erfolgreiche Angriffe geben. Das Ausmaß und die Konsequenzen der Vorfälle können jedoch mit intelligenten Incident Response Technologien drastisch reduziert werden.