Was ist Security Monitoring & wovor kann es schützen?

Hinter Security Monitoring verbirgt sich die fortlaufende Überwachung der Sicherheit von IT-Systemen. Damit sollen Abweichungen und verdächtige Vorgänge sichtbar gemacht werden, bei denen es sich um eine  Cyberattacke handeln könnte. Diese werden darauf hin geprüft und beurteilt, um dann die Möglichkeit zu haben, zeitnah darauf reagieren zu können. Auch wenn die Begriffe „Security Monitoring“ und „SIEM“ (Security Information and Event Management) von vielen synonym verwendet werden, gibt es durchaus Unterschiede.

SIEM ist dafür zunächst erstmal das zugrundeliegende System. Dabei werden im ersten Schritt, softwaregestützt Daten aus verschiedensten Log-Quellen (beispielsweise Firewall oder Active Directory) gesammelt. Im nächsten Schritt werden diese Daten in ein einheitliches, verständliches Format gebracht. Dabei  kann ein SIEM erste Analysen liefern und bei verdächtigen Aktivitäten im Netzwerk Alarm schlagen.

Nicht alle Schwachstellen können jedoch geschlossen werden, ohne dass die Funktionsfähigkeit des Unternehmens gefährdet wird. Ein SIEM kann deshalb Schwachstellen auch kontinuierlich bezüglich ihrer potentiellen Gefahr überwachen. Von Relevanz ist das im besonderen für Systeme, die oft mit dem Internet kommunizieren.

Doch worin unterscheidet sich dies vom Security Monitoring? Beim Security Monitoring wird im Gegensatz zum reinen SIEM noch ein Schritt weiter gegangen. Dafür bedarf es ein erheblich Mehr an menschlicher Analyse-Arbeit. Aus den gesammelten Informationen wird die Gefahrenlage betrachtet, um daraus typische Systemfehler nachzuvollziehen. Hierfür ein Beispiel: Angenommen, das System meldet eine Auffälligkeit bei der Anmeldung eines Nutzers. Dieser gibt nämlich mehrmals hintereinander das falsche Passwort ein. Somit könnte hier durchaus ein sog. Brute-Force-Angriff vorliegen. Das muss jedoch nicht sein. Es kann auch einfach ein Fall vorliegen, indem der Benutzer an diesem Tag dazu aufgefordert wurde, sein Passwort zu ändern, das neue noch nicht verinnerlicht hat und deshalb mehrfach das alte eingibt. Dies könnten Analysten erkennen und daraus eine Regel ableiten. Die Software „lernt“ also, dass ab dem Zeitpunkt eines Passwortwechsels, Falscheingaben verstärkt zu erwarten sind. Falsche Fehleralarme können so reduziert werden.

Ob und welche Aktivitäten im Netzwerk verdächtig sind und welche nicht, kann von der zu überwachenden Systemstruktur und dem Nutzerverhalten abhängig sein. Klare Regeln kristallisieren sich erst während des laufenden Betriebs des Security Monitoring heraus. Das Monitoring wird gewissermaßen angelernt, kontinuierlich weiterentwickelt und dadurch immer effizienter. Nach der Analyse abgegebener Alarme werden die Regeln ggf. angepasst. Jedes Unternehmen hat hier seine eigenen Parameter, weswegen diese individuelle Abstimmung des SIEM und der Monitoring-Systeme sehr wichtig ist. Durch den Einsatz von Machine Learning können zudem Angriffe entdeckt werden, die für herkömmliche Systeme unsichtbar sind.

Warum brauchen Unternehmen Security Monitoring?

In Zeiten immer unüberschaubar werdender Cyberkriminalität ist Security Monitoring eine effiziente Form, um für mehr Sicherheit zu sorgen. Für Unternehemen kann es insbesondere dabei hilfreich sein verschiedene Normen, darunter besipielsweise CIS Controls, ISO und BSI IT-Grundschutzkompendium, zu erfüllen.

Quelle Titelbild: iStock / gorodenkoff