Der Cybersecurity-Bereich ist leider berühmt-berüchtigt für den ausladenden Gebrauch von Fachbegriffen. Wir erklären in einem Doppel-Blog die 23 gängigsten Fachbegriffe und zeigen auf, wie diese in der Praxis umgesetzt werden. Im ersten Teil fokussieren wir auf die Begriffe 1 - 11.
Prävention in der Cybersicherheit bezeichnet Massnahmen, um Sicherheitsvorfälle im Voraus zu verhindern und Cyberangriffen vorzubeugen. Dazu gehören das Festlegen und Umsetzen von Sicherheitsrichtlinien, die Nutzung von Firewalls, regelmässige Updates und Patches aller Systeme sowie das Schulen von Mitarbeitenden. Im Grossen und Ganzen ist es das Ziel, die Cyberresilienz von Unternehmen kontinuierlich steigern zu können.
Die Prävention ist ein grosses Aktionsfeld. Gängige Massnahmen sind:
Jeden Monat beleuchte ich in der Serie «Philippes monthly Report», welche Schwachstellen dringend geschlossen werden müssen, da diese besonders kritisch sind oder gar bereits ausgenutzt werden.
Detection in der Cybersicherheit bezieht sich auf die Erkennung von potenziellen Bedrohungen, Sicherheitsverletzungen und Anomalien im System. Dies umfasst das Monitoring von Netzwerken, Systemen und Benutzeraktivitäten mithilfe spezialisierter Tools und Teams.
In der Praxis steht die Extended Detection and Response-Software (XDR) im Zentrum, beispielsweise der Microsoft Defender.
Laufend erfasst und bewertet die XDR-Software Millionen von Signalen aus der überwachten IT-Umgebung. Bei verdächtigen Aktivitäten gibt das Überwachungstool automatisch Alarme aus. Security Analysten schauen sich alle Aspekte und Eigenschaften dieser Alarme an und bewerten, ob es sich um ungefährliche Aktivitäten oder um sicherheitsrelevante Vorfälle handelt.
Response in der Cybersicherheit umfasst alle Massnahmen, die nach der Identifikation eines Sicherheitsvorfalls ergriffen werden, um die Auswirkungen zu minimieren, den Vorfall einzudämmen und betroffene Systeme wiederherzustellen.
Bei schweren Vorfällen mit grosser Tragweite werden Incident-Respones-Teams aufgeboten, um betroffene Systeme zu isolieren, Spurensicherung zu machen und die weitere Ausbreitung zu verhindern. Bei kleinen Sicherheitsvorfällen kann die XDR-Software, wenn sie dementsprechend konfiguriert ist, eigenständig Sofortmassnahmen ergreifen und beispielsweise Benutzeraccounts deaktivieren.
Im März 2023 wurde die NZZ Opfer eines Ransomware-Angriffs. Sofort wird ein Krisenstab geformt, der nächtelang durcharbeitet. Wie dieser Stab vorgeht, das schildert die NZZ in einem detaillierten Artikel. Ein äusserst seltener Blick hinter die Kulissen eines echten Incident-Rsponses.
Endpoint Detection and Response (EDR) ist ein Sicherheitsvorgehen, welches Endgeräte wie Smartphones, Laptops, Desktops und Server vor Bedrohungen schützt. Sie ermöglicht die Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle direkt am Endpunkt, wo Angriffe oft beginnen. EDR-Systeme erfassen kontinuierlich Daten von Endgeräten, um potenzielle Bedrohungen wie Malware, Ransomware oder unautorisierte Zugriffe zu identifizieren und zu bekämpfen.
Mit EDR-Tools wie bspw. dem Microsoft Defender for Endpoint werden folgende Massnahmen umgesetzt:
Kontinuierliche Endpunktüberwachung: Die Software sammelt Daten zu Aktivitäten wie Dateiänderungen, Netzwerkzugriffen und Benutzeraktionen.
Automatische Bedrohungserkennung: Mithilfe von KI und Verhaltensanalysen werden verdächtige Muster erkannt und priorisiert.
Echtzeitwarnungen: Sicherheitsvorfälle wie Malware-Infektionen oder unautorisierte Zugriffsversuche lösen automatische Benachrichtigungen aus.
Isolierung betroffener Geräte: Infizierte Endpunkte können schnell vom Netzwerk getrennt werden, um die Ausbreitung zu verhindern.
Integrierte Forensik-Tools: Detaillierte Analysen der Bedrohung ermöglichen eine schnelle Identifikation von Schwachstellen.
Automatisierte und manuelle Reaktionsoptionen: Administratoren können Skripte ausführen, um Angriffe einzudämmen oder Wiederherstellungsprozesse zu starten.
Ein NDR-System analysiert den Netzwerkverkehr auf Anomalien. Im Gegensatz zu einer Firewall mit einem integrierten Intrusion Prevention System IPS geht die Kommunikation nicht durch die NDR-Lösung sondern nur eine Kopie der Kommunikation. Dadurch kann die NDR-Lösung viel tiefer gehende Analysen durchführen, ohne dass sich dies negativ auf die Benutzererfahrung auswirkt, bspw. durch Geschwindigekeitsreduktion beim Surfen.
Network Detection and Response wird in der Praxis durch die folgenden Massnahmen umgesetzt. Dabei setzen wir die Secure Network Technologien von Fortinet und weiteren führenden Herstellern ein:
Analyse des gesamten Netzwerkverkehrs: Der Traffic wird kontinuierlich auf verdächtige Signale gescannt.
Anwendung von Verhaltensanalysen: Künstliche Intelligenz und maschinelles Lernen identifizieren Anomalien und verdächtige Muster im Netzwerk.
Integration mit bestehenden Sicherheitstools: NDR-Systeme arbeiten oft mit XDR- und SIEM-Lösungen zusammen, um Warnungen zu korrelieren.
Automatische Bedrohungserkennung und Alarmierung: Identifizierte Bedrohungen werden automatisch gemeldet, sodass Sicherheitsteams schnell reagieren können.
Forensische Analyse und Spurensicherung: NDR-Tools speichern und analysieren Netzwerkprotokolle, damit diese bei Sicherheitsvorfällen herbeigezogen werden können.
Regelmässige Updates der Bedrohungsdatenbank: Dadurch bleibt das System gegen neue Angriffsvektoren effektiv.
Extended Detection and Response (XDR) ist eine ganzheitliche Sicherheitsplattform, die Bedrohungen über mehrere Bereiche einer Unternehmens-IT hinweg erkennt, analysiert und darauf reagiert. XDR ist ein moderner und schlanker Ansatz, mit dem sich auch KMU ein Security Operations Center leisten können.
Im Gegensatz zu bereichspezifischen Sicherheitslösungen integriert XDR verschiedene Sicherheitswerkzeuge wie Endpoint Detection, Schutz von Identitäten, E-Mail-Sicherheit und Serverschutz in einer zentralen Plattform, um eine effizientere Bedrohungserkennung und -abwehr zu ermöglichen.
Eine weitverbreitete XDR-Lösung ist die Microsoft Defender-Produktepalette. Wir setzen diese in den Security Operation Center-Services für unsere Kundinnen und Kunden ein, um deren IT gesamtheitlich abzudecken.
In der Praxis umfasst XDR folgende Massnahmen:
Zentrale Datenaggregation: Sammeln und Korrelation von Sicherheitsdaten aus Endpunkten, Netzwerken, Servern und Cloud-Anwendungen.
Automatisierte Bedrohungserkennung: Verwendung von KI-Algorithmen, um verdächtige Muster und bekannte Angriffsmethoden zu identifizieren.
Einheitliche Alarmierungsplattform: Zusammenführung aller Warnungen aus verschiedenen Systemen in einem einzigen Dashboard für bessere Übersicht.
Schnelle Incident Response: Automatisiertes Isolieren infizierter Endpunkte und Bereitstellen von Handlungsempfehlungen für Sicherheitsteams.
Integration bestehender Sicherheitslösungen: Zusammenarbeit mit SIEM, EDR und NDR, um Daten und Analysen zu verbessern.
Kontinuierliche Bedrohungsanalyse: Regelmässige Updates zu neuen Bedrohungen und bekannten Schwachstellen.
Security Information and Event Management (SIEM) ist eine Plattform, die Sicherheitsereignisse und Protokolldaten aus verschiedenen Quellen sammelt, analysiert und korreliert, um eine möglichst ganzheitliche Sicht auf die zu schützende IT-Umgebung zu ermöglichen.
Wir verfolgen in unseren Security Services einen «XDR first»-Ansatz und ergänzen mit SIEM, wenn dies sinnvoll und nötig ist. Im Markt ist noch immer der «SIEM first»-Ansatz verbreitet. Dies ist unseres Erachtens in vielen Fällen nicht nötig und daher unnötig teuer und aufwendig.
Die SIEM-Lösung von bspw. Microsoft heisst Microsoft Sentinel. In Sentinel können einerseits die Tools aus der Defender-Produktpalette eingebunden werden, andererseits sind viele Konnektoren für weit verbreitete Drittanwender-Softwares vorhanden wie bspw. Amazon Web Services, Atlassian, Google, Salesforce, Slack, VMWare, Zoom. Auf den Sentinel-Dashboards wird eine umfassende Sicht auf die IT-Umgebung ermöglicht.
Conditional Access ist eine Sicherheitsmassnahme, die den Zugriff auf IT-Systeme nur unter bestimmten Bedingungen (Conditions) erlaubt. Diese Bedingungen können auf Faktoren wie Standort, Gerätetyp oder Benutzerrolle basieren. Conditional Access wird neben Multifaktor-Authentifizierung MFA verwendet
In der Praxis werden sogenannte Conditional Access Policies definiert. Das sind Regelsets mit Anwendungs- und Gültigkeitsbereichen. Ein Beispiel kann die geografische Einschränkung sein: In Microsofts Identitätenverwaltung Entra ID wird bestimmten Usern oder ganzen Benutzergruppen der Zugriff automatisch blockiert, wenn dieser von ausserhalb einer festgelegten Region kommt.
Cyber Defence ist der Überbegriff für alle Massnahmen mit dem Ziel, IT-Infrastrukturen vor Cyberangriffen zu schützen und Angriffe abzuwehren.
Unternehmen orientieren sich in der Praxis beispielsweise am NIST Cybersecurity Framework, um die Cyberabwehr strukturiert im Unternehmen aufbauen zu können. Das Framework umfasst fünf zentrale Funktionen:
Identify: Identifizieren von Assets, Risiken und Schwachstellen.
Protect: Implementierung von Sicherheitsmassnahmen wie Zugangskontrollen und Schulungen.
Detect: Erkennen von Bedrohungen durch Monitoring und Analysen.
Respond: Reagieren auf Vorfälle, um Auswirkungen zu minimieren.
Recover: Wiederherstellung von Systemen und Prozessen nach Sicherheitsvorfällen.
Security Posture beschreibt den aktuellen Stand der Sicherheitsmassnahmen eines Unternehmens und gibt Auskunft über dessen Cyberresilienz. In Microsoft Defender for Cloud beispielsweise wird die Security Posture mit einem Prozentwert angegeben.
In der Praxis wird die Security Posture mit folgenden Massnahmen gemessen und verbessert:
Inventarisierung aller sicherheitsrelevanten Assets: In einer XDR- oder SIEM-Lösung werden alle wichtigen Artefakte einer Unternehmens-IT eingebunden.
Data Loss Prevention (DLP) hat zum Ziel, den Verlust oder die unbefugte Weitergabe sensibler Daten zu verhindern. Solche unerwünschten Datenabflüsse können einerseits bei Cyberangriffen passieren, durch böswillig motivierte Insider oder auch aufgrund eins unsachgemässen Umgangs.
In der Praxis werden folgende Massnahmen umgesetzt:
Klassifizierung schützenswerter Daten: Identifizieren und Markieren vertraulicher Informationen, um sie vor unbefugtem Zugriff zu schützen.
Monitoring von Datenbewegungen: Überwachung von Dateien und Kommunikation wie bspw. E-Mails oder Cloud-Dienste wie SharePoint Online, um verdächtige Aktivitäten zu erkennen.
Richtlinienbasierte Zugriffssteuerung: Einschränkung des Zugriffs auf sensible Daten basierend auf Benutzerrollen und Sicherheitsrichtlinien.