Die 23 gängigsten Cybersecurity-Fachbegriffe erklärt (Teil 1)

Der Cybersecurity-Bereich ist leider berühmt-berüchtigt für den ausladenden Gebrauch von Fachbegriffen. Wir erklären in einem Doppel-Blog die 23 gängigsten Fachbegriffe und zeigen auf, wie diese in der Praxis umgesetzt werden. Im ersten Teil fokussieren wir auf die Begriffe 1 - 11.

1. Incident Prevention

Was bedeutet Incident Prevention in Cybersecurity und was wird gemacht?

Prävention in der Cybersicherheit bezeichnet Massnahmen, um Sicherheitsvorfälle im Voraus zu verhindern und Cyberangriffen vorzubeugen. Dazu gehören das Festlegen und Umsetzen von Sicherheitsrichtlinien, die Nutzung von Firewalls, regelmässige Updates und Patches aller Systeme sowie das Schulen von Mitarbeitenden. Im Grossen und Ganzen ist es das Ziel, die Cyberresilienz von Unternehmen kontinuierlich steigern zu können.

Wie funktioniert Incident Prevention in der Praxis?

Die Prävention ist ein grosses Aktionsfeld. Gängige Massnahmen sind:

• Regelmässige Erstellung von Backups
• Einspielen von Updates
• Schutz von Benutzeridentitäten durch Multifaktor-Authentifizierung
• Erhöhung der Security Awareness durch Trainings sowie Angriffs- und Phishingsimulationen
• Vorgängiges Festlegen und Üben eines Incident-Response-Prozesses
• Etablieren eines Security Operation Centers

Wie wir Updates und Patches auf den Kundensystemen installieren und warum wir manchmal bewusst zuwarten mit der Installation, haben wir in diesem Blog im Detail beschrieben.

Jeden Monat beleuchte ich in der Serie «Philippes monthly Report», welche Schwachstellen dringend geschlossen werden müssen, da diese besonders kritisch sind oder gar bereits ausgenutzt werden. 

2. Incident Detection

Was bedeutet Incident Detection in Cybersecurity und was wird gemacht?

Detection in der Cybersicherheit bezieht sich auf die Erkennung von potenziellen Bedrohungen, Sicherheitsverletzungen und Anomalien im System. Dies umfasst das Monitoring von Netzwerken, Systemen und Benutzeraktivitäten mithilfe spezialisierter Tools und Teams.

Wie funktioniert Incident Detection in der Praxis?

In der Praxis steht die Extended Detection and Response-Software (XDR) im Zentrum, beispielsweise der Microsoft Defender.  

Laufend erfasst und bewertet die XDR-Software Millionen von Signalen aus der überwachten IT-Umgebung. Bei verdächtigen Aktivitäten gibt das Überwachungstool automatisch Alarme aus. Security Analysten schauen sich alle Aspekte und Eigenschaften dieser Alarme an und bewerten, ob es sich um ungefährliche Aktivitäten oder um sicherheitsrelevante Vorfälle handelt. 

3. Incident Response

Was bedeutet Incident Response in Cybersecurity und was wird gemacht?

Response in der Cybersicherheit umfasst alle Massnahmen, die nach der Identifikation eines Sicherheitsvorfalls ergriffen werden, um die Auswirkungen zu minimieren, den Vorfall einzudämmen und betroffene Systeme wiederherzustellen.

Wie funktioniert Incident Response in der Praxis?

Bei schweren Vorfällen mit grosser Tragweite werden Incident-Respones-Teams aufgeboten, um betroffene Systeme zu isolieren, Spurensicherung zu machen und die weitere Ausbreitung zu verhindern. Bei kleinen Sicherheitsvorfällen kann die XDR-Software, wenn sie dementsprechend konfiguriert ist, eigenständig Sofortmassnahmen ergreifen und beispielsweise Benutzeraccounts deaktivieren.

Der NZZ-Hack als Incident-Response Praxisbeispiel

Im März 2023 wurde die NZZ Opfer eines Ransomware-Angriffs. Sofort wird ein Krisenstab geformt, der nächtelang durcharbeitet. Wie dieser Stab vorgeht, das schildert die NZZ in einem detaillierten Artikel. Ein äusserst seltener Blick hinter die Kulissen eines echten Incident-Rsponses. 

4. Endpoint Detection and Response (EDR)

Was bedeutet Endpoint Detection and Response (EDR) und wofür wird es verwendet?

Endpoint Detection and Response (EDR) ist ein Sicherheitsvorgehen, welches Endgeräte wie Smartphones, Laptops, Desktops und Server vor Bedrohungen schützt. Sie ermöglicht die Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle direkt am Endpunkt, wo Angriffe oft beginnen. EDR-Systeme erfassen kontinuierlich Daten von Endgeräten, um potenzielle Bedrohungen wie Malware, Ransomware oder unautorisierte Zugriffe zu identifizieren und zu bekämpfen.

Wie funktioniert Endpoint Detection and Response (EDR) in der Praxis?

Mit EDR-Tools wie bspw. dem Microsoft Defender for Endpoint werden folgende Massnahmen umgesetzt:

• Kontinuierliche Endpunktüberwachung: Die Software sammelt Daten zu Aktivitäten wie Dateiänderungen, Netzwerkzugriffen und Benutzeraktionen.

• Automatische Bedrohungserkennung: Mithilfe von KI und Verhaltensanalysen werden verdächtige Muster erkannt und priorisiert.

• Echtzeitwarnungen: Sicherheitsvorfälle wie Malware-Infektionen oder unautorisierte Zugriffsversuche lösen automatische Benachrichtigungen aus.

• Isolierung betroffener Geräte: Infizierte Endpunkte können schnell vom Netzwerk getrennt werden, um die Ausbreitung zu verhindern.

• Integrierte Forensik-Tools: Detaillierte Analysen der Bedrohung ermöglichen eine schnelle Identifikation von Schwachstellen.

• Automatisierte und manuelle Reaktionsoptionen: Administratoren können Skripte ausführen, um Angriffe einzudämmen oder Wiederherstellungsprozesse zu starten.

5. Network Detection and Response (NDR)

Was bedeutet Network Detection and Response (NDR) und wofür wird es verwendet?

Ein NDR-System analysiert den Netzwerkverkehr auf Anomalien. Im Gegensatz zu einer Firewall mit einem integrierten Intrusion Prevention System IPS geht die Kommunikation nicht durch die NDR-Lösung sondern nur eine Kopie der Kommunikation. Dadurch kann die NDR-Lösung viel tiefer gehende Analysen durchführen, ohne dass sich dies negativ auf die Benutzererfahrung auswirkt, bspw. durch Geschwindigekeitsreduktion beim Surfen.

Wie funktioniert Network Detection and Response (NDR) in der Praxis?

Network Detection and Response wird in der Praxis durch die folgenden Massnahmen umgesetzt. Dabei setzen wir die Secure Network Technologien von Fortinet und weiteren führenden Herstellern ein:

• Analyse des gesamten Netzwerkverkehrs: Der Traffic wird kontinuierlich auf verdächtige Signale gescannt.

• Anwendung von Verhaltensanalysen: Künstliche Intelligenz und maschinelles Lernen identifizieren Anomalien und verdächtige Muster im Netzwerk.

• Integration mit bestehenden Sicherheitstools: NDR-Systeme arbeiten oft mit XDR- und SIEM-Lösungen zusammen, um Warnungen zu korrelieren.

• Automatische Bedrohungserkennung und Alarmierung: Identifizierte Bedrohungen werden automatisch gemeldet, sodass Sicherheitsteams schnell reagieren können.

• Forensische Analyse und Spurensicherung: NDR-Tools speichern und analysieren Netzwerkprotokolle, damit diese bei Sicherheitsvorfällen herbeigezogen werden können.

• Regelmässige Updates der Bedrohungsdatenbank: Dadurch bleibt das System gegen neue Angriffsvektoren effektiv.

Regelmässige Updates zu neu bekanntgewordenen Schwachstellen gibt's auch von mir 😉. Jeden Monat am Patch Tuesday veröffentlicht Microsoft eine Liste an Patches und Updates, um Sicherheitslücken zu schliessen. Jeden Monat schaue ich mir die Liste an und ordne ein, welche der Patches besonders wichtig und dringend sind!

6. Extended Detection and Response (XDR)

Was bedeutet Extended Detection and Response (XDR) und wofür wird es verwendet?

Extended Detection and Response (XDR) ist eine ganzheitliche Sicherheitsplattform, die Bedrohungen über mehrere Bereiche einer Unternehmens-IT hinweg erkennt, analysiert und darauf reagiert. XDR ist ein moderner und schlanker Ansatz, mit dem sich auch KMU ein Security Operations Center leisten können.

Im Gegensatz zu bereichspezifischen Sicherheitslösungen integriert XDR verschiedene Sicherheitswerkzeuge wie Endpoint Detection, Schutz von Identitäten, E-Mail-Sicherheit und Serverschutz in einer zentralen Plattform, um eine effizientere Bedrohungserkennung und -abwehr zu ermöglichen.

Eine weitverbreitete XDR-Lösung ist die Microsoft Defender-Produktepalette. Wir setzen diese in den Security Operation Center-Services für unsere Kundinnen und Kunden ein, um deren IT gesamtheitlich abzudecken.

Wie funktioniert Extended Detection and Response (XDR) in der Praxis?

In der Praxis umfasst XDR folgende Massnahmen:

• Zentrale Datenaggregation: Sammeln und Korrelation von Sicherheitsdaten aus Endpunkten, Netzwerken, Servern und Cloud-Anwendungen.

• Automatisierte Bedrohungserkennung: Verwendung von KI-Algorithmen, um verdächtige Muster und bekannte Angriffsmethoden zu identifizieren.

• Einheitliche Alarmierungsplattform: Zusammenführung aller Warnungen aus verschiedenen Systemen in einem einzigen Dashboard für bessere Übersicht.

• Schnelle Incident Response: Automatisiertes Isolieren infizierter Endpunkte und Bereitstellen von Handlungsempfehlungen für Sicherheitsteams.

• Integration bestehender Sicherheitslösungen: Zusammenarbeit mit SIEM, EDR und NDR, um Daten und Analysen zu verbessern.

• Kontinuierliche Bedrohungsanalyse: Regelmässige Updates zu neuen Bedrohungen und bekannten Schwachstellen.

7. Security Information and Event Management (SIEM)

Was bedeutet Security Information and Event Management (SIEM) und was ist der Zweck?

Security Information and Event Management (SIEM) ist eine Plattform, die Sicherheitsereignisse und Protokolldaten aus verschiedenen Quellen sammelt, analysiert und korreliert, um eine möglichst ganzheitliche Sicht auf die zu schützende IT-Umgebung zu ermöglichen.

Wir verfolgen in unseren Security Services einen «XDR first»-Ansatz und ergänzen mit SIEM, wenn dies sinnvoll und nötig ist. Im Markt ist noch immer der «SIEM first»-Ansatz verbreitet. Dies ist unseres Erachtens in vielen Fällen nicht nötig und daher unnötig teuer und aufwendig. 

Wie funktioniert Security Information and Event Management (SIEM) in der Praxis?

Die SIEM-Lösung von bspw. Microsoft heisst Microsoft Sentinel. In Sentinel können einerseits die Tools aus der Defender-Produktpalette eingebunden werden, andererseits sind viele Konnektoren für weit verbreitete Drittanwender-Softwares vorhanden wie bspw. Amazon Web Services, Atlassian, Google, Salesforce, Slack, VMWare, Zoom. Auf den Sentinel-Dashboards wird eine umfassende Sicht auf die IT-Umgebung ermöglicht.

8. Conditional Access

Was bedeutet Conditional Access und wofür wird es verwendet?

Conditional Access ist eine Sicherheitsmassnahme, die den Zugriff auf IT-Systeme nur unter bestimmten Bedingungen (Conditions) erlaubt. Diese Bedingungen können auf Faktoren wie Standort, Gerätetyp oder Benutzerrolle basieren. Conditional Access wird neben Multifaktor-Authentifizierung MFA verwendet

Wie funktioniert Conditional Access in der Praxis?

In der Praxis werden sogenannte Conditional Access Policies definiert. Das sind Regelsets mit Anwendungs- und Gültigkeitsbereichen. Ein Beispiel kann die geografische Einschränkung sein: In Microsofts Identitätenverwaltung Entra ID wird bestimmten Usern oder ganzen Benutzergruppen der Zugriff automatisch blockiert, wenn dieser von ausserhalb einer festgelegten Region kommt.

9. Cyber Defence

Was bedeutet Cyber Defence?

Cyber Defence ist der Überbegriff für alle Massnahmen mit dem Ziel, IT-Infrastrukturen vor Cyberangriffen zu schützen und Angriffe abzuwehren.

Wie funktioniert Cyber Defence in der Praxis?

Unternehmen orientieren sich in der Praxis beispielsweise am NIST Cybersecurity Framework, um die Cyberabwehr strukturiert im Unternehmen aufbauen zu können. Das Framework umfasst fünf zentrale Funktionen:

• Identify: Identifizieren von Assets, Risiken und Schwachstellen.

• Protect: Implementierung von Sicherheitsmassnahmen wie Zugangskontrollen und Schulungen.

• Detect: Erkennen von Bedrohungen durch Monitoring und Analysen.

• Respond: Reagieren auf Vorfälle, um Auswirkungen zu minimieren.

• Recover: Wiederherstellung von Systemen und Prozessen nach Sicherheitsvorfällen.

Die Best Practice zur Implementierung einer wirksamen Cyber Defence ist das Etablieren eines Security Operation Centers SOC. Wie ein SOC genau funktioniert und wie es Unternehmen vor Bedrohungen schützt, habe ich hier im Detail beschrieben.

10. Security Posture

Was bedeutet Security Posture und was ist der Zweck?

Security Posture beschreibt den aktuellen Stand der Sicherheitsmassnahmen eines Unternehmens und gibt Auskunft über dessen Cyberresilienz. In Microsoft Defender for Cloud beispielsweise wird die Security Posture mit einem Prozentwert angegeben.

Wie funktioniert Security Posture in der Praxis?

In der Praxis wird die Security Posture mit folgenden Massnahmen gemessen und verbessert:

• Inventarisierung aller sicherheitsrelevanten Assets: In einer XDR- oder SIEM-Lösung werden alle wichtigen Artefakte einer Unternehmens-IT eingebunden.

• Messung der Umsetzung von Sicherheitsmassnahmen: Es wird gemessen, ob gängige Sicherheitsmassnahmen umgesetzt wurden, was den Security Posture-Score verbessert.
  

11. Data Loss Prevention (DLP)

Was bedeutet Data Loss Prevention (DLP) und wofür wird DLP verwendet?

Data Loss Prevention (DLP) hat zum Ziel, den Verlust oder die unbefugte Weitergabe sensibler Daten zu verhindern. Solche unerwünschten Datenabflüsse können einerseits bei Cyberangriffen passieren, durch böswillig motivierte Insider oder auch aufgrund eins unsachgemässen Umgangs.

Wie funktioniert Data Loss Prevention (DLP) in der Praxis?

In der Praxis werden folgende Massnahmen umgesetzt:

• Klassifizierung schützenswerter Daten: Identifizieren und Markieren vertraulicher Informationen, um sie vor unbefugtem Zugriff zu schützen.

• Monitoring von Datenbewegungen: Überwachung von Dateien und Kommunikation wie bspw. E-Mails oder Cloud-Dienste wie SharePoint Online, um verdächtige Aktivitäten zu erkennen.

• Richtlinienbasierte Zugriffssteuerung: Einschränkung des Zugriffs auf sensible Daten basierend auf Benutzerrollen und Sicherheitsrichtlinien.