In den vergangenen Jahren hat die Anzahl von Cyberattacken auf Unternehmen massiv zugenommen. Um dieser Herausforderung zu begegnen, sollten Unternehmen mit erfahrenen Managed Security Providern zusammenzuarbeiten. Obgleich die Bandbreite an Sicherheitssoftware groß ist, existiert keine dedizierte Lösung, die einen Rundumschutz gewährleistet. Im Blogbeitrag zeigen wir Ansätze, damit Sie sich und Ihr Unternehmen optimal gegen Cyberangriffe schützen können. Dabei gehen wir unter anderem darauf ein, wie Sie am besten ein Security Incident & Event Management System (SIEM) orchestrieren, das passgenau auf Ihre IT-Umgebung zugeschnitten ist. Und wir zeigen, wie Sie ein Security Operations Center (SOC) nutzen können, das 24x7x365 reagiert.
Jede Sekunde werden zwei neue Malware-Varianten von Angreifern entwickelt. Es gilt also, sich gegen eine Vielzahl an unterschiedlichen Attacken effektiv zu schützen und alle wesentlichen Aspekte der Informationssicherheit zu überwachen. Dafür ist es erforderlich, die IT-Landschaften permanent zu warten, auf aktuellem Stand zu halten (patchen) sowie die Sicherheitsvorgaben stets darauf zu prüfen, inwiefern sie noch greifen. Für diese vielfältigen Aufgaben kommen meist verschiedene Szenarien, Methoden und Techniken zum Einsatz. Das ist für sich genommen schon hinreichend komplex. Deshalb sollte auf Spezialisten zurückgegriffen werden, die den Rundumblick haben und alle Prozesse orchestrieren. Hier gibt es zwei Optionen: Entweder baut die eigene IT-Abteilung die Organisationseinheit aus, was je nach Unternehmensgröße jedoch oftmals unwirtschaftlich ist, oder es wird ein Dienstleister hinzugezogen, der diese Aufgaben für die jeweilige IT-Landschaft übernimmt.
Die Funktionsweise des SIEM
GISA als IT-Security-Experte setzt dabei auf hochmoderne Softwarelösungen, die ein Maximum an Sicherheit bieten. Eine Variante ist SIEM (Security Incident and Event ). Oftmals versteht man darunter eine Software, die im Netz des Unternehmens installiert wird. Auf diese Weise schützt sie die Unternehmenswerte und meldet, wenn Ungereimtheiten auftreten. Die Umsetzung ist in der Praxis aber nicht immer einfach.
Ein SIEM sollte aus mehreren Teilgebieten bestehen und benötigt ein SOC (Security Operation Center) zur Steuerung der Prozesse. Auf dieser Grundlage kann die IT-Abteilung wiederum die Feststellungen und Findings.
Das SIEM und seine Funktionen
1. Identifikation der zu überwachenden IT-Landschaft (Komponenten, Systeme und Services, die überwacht und geschützt werden sollen)
2. Festlegen der Security Logs und Controls der zu überwachenden Landschaft
3. Definition und Auswahl der Anwendungen, um die Logs in ein zentrales Repository zusammenzuführen und die entsprechenden Sec. Controls durchzuführen
4. Aufbau und Betrieb des Data Lake (Sammlung und Zentralisierung aller notwendigen Informationen und Logs)
5. Schwachstellenmeldungen & Indicators of Compromise (Sammeln von Hinweisen zu öffentlich bekanntgewordenen Angriffen und Schwachstellen)
6. Analyse und Vergleich der Schwachstellenmeldungen mit den gesammelten Informationen der überwachten IT-Landschaft (Nutzung von KI-Funktionalitäten für Anomalieerkennung, Deltaauswertung, etc.)
7. Reporting und Alerting Funktion für das SOC
Durch die Bandbreite und Komplexität der zu überwachenden IT-Landschaften ist es ratsam, nicht nur auf einen Hersteller zu setzen. Je breiter die Überwachung mit Tools unterschiedlicher Hersteller aufgestellt ist, desto höher ist die Wahrscheinlichkeit, Schwachstellen ausfindig zu machen. Ist ein SIEM passend zur IT-Landschaft konzipiert, wird es durch das SOC betrieben. Das SOC überwacht 24x7x365 mit Hilfe des SIEM die IT-Landschaft wie auch gemeldete Schwachstellen und bewertet die Auswirkung von Findings. Im Anschluss veranlasst das SOC entsprechende Security Incidents oder definierte Notfallprozesse. Entweder führt es diese im Ernstfall selbst durch oder beauftragt dafür die verantwortliche IT-Abteilung.
Unsere Empfehlung lautet daher:
Für den maximalen Schutz Ihrer IT-Landschaft sind Full managed IT Security Services sinnvoll. Das Rundumpaket beinhaltet die Konzeption der SIEM und die Beauftragung des SOC für den Betrieb. GISA kann als maßgeblicher Unterstützer Ihrer IT wirken und damit für die bestmögliche Sicherheit Ihres IT-Betriebs sorgen.
Haben Sie Fragen oder benötigen Unterstützung? Wir sind für Sie da. Kontaktieren Sie uns gern über kontakt@gisa.de. Lesen Sie mehr dazu im Blogbeitrag, welche Chancen sich durch das Service Management und Zertifikate für IT-Sicherheitsstandards eröffnen. Weitere Informationen zu unseren Leistungen finden Sie hier.