In der heutigen digitalen Arbeitswelt können Angriffe auf Systeme enorme Schäden an Handlungsfähigkeit und Reputation eines Unternehmens ausrichten. Ein schnelles und effektives Incident Detection und -Response Management ist daher von höchster Bedeutung. Im Folgenden erfahren Sie, was Incident Detection und -Response sind und warum es in Zusammenhang mit dem Zero Trust Security Framework so wichtig ist.
Was ist Incident Detection?
Incident Detection lässt sich in drei Unterbereiche aufteilen. Diese sind das Erkennen möglicher Sicherheitsvorfälle, die Bewertung dieser und das Melden der tatsächlichen Vorfälle an die Verantwortlichen. Mögliche Sicherheitsvorfälle können unter anderem durch das Überwachen von Aktivitäten, Logdaten oder Systemprotokollen und das Verwenden von „Intrusion Detection Systems“ (ID Systeme) oder eines „Security Information and Event Management Systems“ (SIEM Systeme) erkannt werden.
Die Überwachung von Aktivitäten oder Systemprotokollen kann beispielsweise aufdecken, wenn kompromittierte Benutzer versuchen auf das System zuzugreifen. Auch Versuche, ohne Berechtigung auf bestimmte Daten zuzugreifen oder diese zu manipulieren, können so erkannt werden. Das unbefugte Downloaden von Software und das Versenden von verdächtigen Inhalten können Sicherheitsorganisationen ebenfalls so aufdecken.
ID-Systeme können diesen Prozess automatisieren. Auf Basis von Algorithmen und Machine Learning können Verhaltensmuster analysiert und unübliches Verhalten identifiziert werden. ID-Systeme sind meist auf das Überwachen von Systemprotokollen eines einzelnen Systems spezialisiert.
SIEM-Systeme führen Erkenntnisse aus mehreren ID-Systemen zusammen. Aus der Korrelation derer Daten können Sicherheitsteams weitere potenzielle Gefährdungen erkennen, da mehr Daten und Informationen aus der Infrastruktur einer Organisation für den Kontext zur Bewertung beigezogen werden können. SIEM-Systeme bieten außerdem die Möglichkeit, automatisierte Reaktionsmaßnahmen auslösen. Das hat den Vorteil, dass Sicherheitsteams entlastet werden, da sie die Vorfälle nicht mehr manuell bewerten müssen. Auch hier bietet die künstliche Intelligenz und Machine Learning sehr viel Potenzial.
Was ist Incident Response?
Incident Response umfasst die Reaktion auf Erkenntnisse und Vorfälle aus der Incident Detection. In der Praxis sind dabei meist SIEM-Systeme involviert, die in erster Linie die automatisierte Vorfallreaktion ausführen. Nebst der technischen Vorfallreaktion darf aber auch der organisatorische Teil nicht vernachlässigt werden.
Wenn ein möglicher Vorfall erkannt oder von den Systemen gemeldet wird, ist Handlungsgeschwindigkeit von höchster Bedeutung. Das bedeutet, dass klare Zuweisungen der Zuständigkeiten und das Ernennen von Vertretungen sehr wichtig ist und im Vorfeld geklärt werden muss. Es muss zudem klar definiert sein, inwieweit geprüft werden soll, ob es sich tatsächlich um einen Sicherheitsvorfall handelt und auf welche Art und Typ von Sicherheitsvorfall auf welche Weise zu reagieren ist.
In erster Linie sollte zuerst bei jedem kritischen Vorfall der Schaden begrenzt werden. Danach muss die Bedrohung beseitigt und zuletzt die Systeme wieder voll funktionstüchtig gemacht werden. Eine Nachanalyse des Vorfalls sollte auf jeden Fall durchgeführt werden, um Verbesserungspotenzial im Reaktionsprozess zu ermitteln und diesen kontinuierlich weiterzuentwickeln. Wenn Sie mehr darüber erfahren wollen, wie ein effektives Incident Response System aufgebaut werden kann, lesen Sie folgenden Beitrag.
Der Einfluss des Zero Trust Security Frameworks
Das Zero Trust Security Framework beschreibt eine Reihe von Prinzipien, welche die Infrastruktur und Daten in der digitalen Welt schützt und sichert. Fünf Grundprinzipien dieses Frameworks sind:
Durch die Anwendung der Prinzipien des Zero Trust Security Frameworks, werden Incident Detection und Response automatisch mitberücksichtigt. Effektives Monitoring und Überwachung aller Systeme ist einer der Grundprinzipien von Zero Trust und wie initial beschrieben die Grundlage für Incident Detection. Je mehr Daten und Informationen den ID- und SIEM-Systemen zur Verfügung gestellt werden, desto höher ist die Wahrscheinlichkeit, dass Sicherheitsvorfälle erkannt werden. Das Ziel jedes Incident Detection Systems sollte daher sein, eine End-to-End Sichtbarkeit in der Organisation zu erzielen. Das Verifizieren von Meldungen aus sämtlichen Systemen in regelmäßigen Zeitabständen und an mehreren strategisch platzierten Stellen in der Infrastruktur, hilft unübliche Verhaltensmuster frühzeitig zu erkennen und mögliche Schäden effektiv zu begrenzen – auch dies ist wiederum ein Grundprinzip von Zero Trust und dem Incident Response Aspekt.
Automatisierte Vorfallreaktion ist ein wichtiger Teil des Incident Response Managements, da Systeme schneller bestimmte Gegenmaßnahmen durchführen können als Menschen. Außerdem ist die Reaktionsfähigkeit von Systemen nicht von Arbeitszeiten oder ähnlichem beeinflusst. Die Begrenzung des Wirkungsgrads und das Verhindern von lateraler Bewegung innerhalb des Systems gehen Hand in Hand miteinander und der regelmäßigen Verifizierung. Sie ermöglichen, dass die Ursache eines Sicherheitsvorfalls schneller identifiziert werden kann. Dadurch kann diese auch schneller bekämpft und Maßnahmen gegen ähnliche Angriffe in der Zukunft ergriffen werden. Zusätzlich können Organisationen Systeme nach einem Angriff in der Regel auch schneller wieder funktionstüchtig machen. Ein starkes Incident Detection und -Response Management unterstützt demnach sämtliche Aspekte und Prinzipien von Zero Trust und wird daher als einer der Schlüsselfaktoren gesehen.
Wenn Sie mehr über das Zero Trust Security Framework und warum es effektive Incident Detection und Response ermöglicht erfahren wollen, lesen Sie hier weiter.
Bei Fragen oder Anregungen zum Thema Zero Trust Security, IT-Security oder Security Governance stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.