Threat Detection

Mit Security Analytics die Nadel im Heuhaufen finden

Hinweise auf Sicherheitsbedrohungen gehen im «Heuhaufen» von Logdateien und anderen Quellen leicht unter. Security Analytics hilft, die «Nadel» in Form von relevanten Informationen zu finden. Und erkennt Zusammenhänge, die bei der manuellen Analyse nicht gesehen werden.

Text: Andreas Heer, Bilder: iStock by Getty Images, 22. August 2018

Die Analyse von IT-Security-Vorfällen erinnert an die Suche nach der berühmten Nadel im Heuhaufen. Nur dass sich diesmal die Nadel nicht in einem Heu-, sondern einem Nadelhaufen versteckt. Beispielsweise verzeichnen die Logdateien von Netzwerkgeräten – Router, Firewall, Computer, Proxy und dergleichen – eine Unmenge von Einträgen. Welche sind nun wirklich sicherheitsrelevant?

Erschweren wir die Aufgabe noch etwas: Nun suchen Sie nicht mehr nach einer Nadel in einem Nadelhaufen, sondern nach zwei gleichen Stricknadeln in zahlreichen Nadelhaufen. Ein aussichtsloses Unterfangen. Aber genau dieses Vorgehen ist bei der Analyse von Logdateien und diversen anderen Quellen nötig: Erst, wenn Sie Vorfälle aus verschiedenen relevanten Quellen korrelieren, erhalten Sie ein Bild über die effektive Sicherheitsbedrohung.

Mit Security Analytics Bedrohungen besser einschätzen

Doch zum Glück haben Sie Hilfe bei der Suche. Nämlich eine Big-Data-Plattform als Basis und eine Applikation namens Security Analytics, die alle relevanten Informationen zusammenzieht und Zusammenhänge zwischen einzelnen Vorfällen über die gesamte Datenmenge hinweg erkennt. Voilà, da sind sie, die beiden gesuchten Stricknadeln! Und selbst wenn Sie nicht genau wissen, nach was Sie suchen: Anomalien werden ebenfalls erkannt und können auf Cyber-Attacken hinweisen.

Damit hilft Security Analytics, Bedrohungen frühzeitig zu erkennen und reale Gefahren von Fehlalarmen zu unterscheiden. Das Ergebnis der Security Alert eignet sich dazu, um nun weitere Analysen einzuleiten und auf die Bedrohung angemessen zu reagieren. Die Analyse-Tätigkeit und eine entsprechende Reaktion werden typischerweise von einem Security-Analysten durchgeführt.

Ein Beispiel dazu: Ein Mitarbeiter meldet ein Phishing-Mail in seinem Posteingang. Über das Security-Analytics-Dashboard schauen die Spezialisten nun nach, welche Mitarbeitenden dieses Mail ebenfalls erhalten haben. Dazu dient der Betreff-Eintrag in der Log-Datei des Mailservers.

Dies alleine wäre noch kein Grund, den Vorfall prioritär zu behandeln. Leider haben aber zwei Mitarbeitende auf den Link im Mail geklickt. Das haben die Security-Spezialisten erkannt, weil sie in der Security-Analytics-Plattform die Logdateien des Proxys nach der bekannten Domain des Phishing-Mails durchsucht haben. Mit der hinterlegten Client-IP-Adresse war es ein Leichtes, die zwei Rechner und damit die Mitarbeitenden ausfindig zu machen. Hierzu haben wiederum die Aufzeichnungen des DHCP-Servers beigetragen. Dank der zentralen Datenspeicherung auf der Big-Data-Plattform und den Werkzeugen von Security Analytics konnten die Spezialisten sehr schnell auf den Vorfall reagieren und weitere Massnahmen einleiten.

Verschiedene Szenarien

Die Erkennung von Bedrohungen (Threat Detection) wie in obigem Beispiel ist nur ein Anwendungsszenario für Security Analytics. Der Einsatz kann auf verschiedenen Ebenen erfolgen. Aus einer technischen Perspektive unterstützt Security Analytics die Erkennung von Cyber-Angriffen und von Datenabfluss. Mögliche Threat Detection Use Cases sind das Erkennen von Angriffen auf Endgeräte, von verdächtigen Aktivitäten beim Internet-Zugang, aber auch die Gefahrenerkennung von Cloud-Applikationen.

Zudem lassen sich dank der Analyse unterschiedlicher Quellen unternehmensspezifische Bedrohungsszenarien erkennen wie etwa dieses: Mitarbeiter S. hat um 7:53 mit seinem Badge den Hauptsitz in Bern betreten. 19 Minuten später registriert die Remote-Desktop-Umgebung einen Zugriff desselben Mitarbeiters aus Fernost. Darauf löst die Security-Analytics-Plattform einen Alert aus. Denn erst die Korrelation der – für sich alleine unverdächtigen – Informationen aus dem Zutrittssystem und aus den Logdateien hat auf eine mögliche Gefährdung hingewiesen.

Damit ist Security Analytics ein effizientes Werkzeug, um bekannte und unbekannte Gefährdungen zu erkennen, zu analysieren und passende Schritte einzuleiten. Damit Unternehmen ihre IT-Security-Prozesse nicht mit der heissen Nadel stricken müssen.

Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?

> zur Anmeldung

Den Angreifern eine Nasenlänge voraus

Webinar Aufzeichnung

Threat Detection & Response

Wollen Sie Werkzeuge kennenlernen, um Cyber-Attacken frühzeitig zu verhindern, zu erkennen und adäquat zu bekämpfen?