Cybersecurity Monitoring: das Was, Warum und Wie
Der letzte Newsletter des Sportmode-Riesens JD Sports drehte sich nicht um die besten Looks der Saison, wie die meisten Abonnenten es wahrscheinlich erwartet hätten. Stattdessen warnte er sie, vor potenziellem Betrug auf der Hut zu sein, nachdem eine erfolgreiche Cyberattacke die Daten von ca. 10 Millionen Kunden kompromittiert hatte – vollständige Namen, Liefer- und Rechnungsanschriften, E-Mail-Adressen, Telefonnummern und Einzelheiten zu Bestellungen. Anders ausgedrückt: alles, was Betrüger benötigen, um eine großflächige und sehr gezielte Phishing-Kampagne in die Wege zu leiten.
John Davis, Geschäftsleiter für das Vereinigte Königreich und Irland am SANS Institute, einer führenden Schulungsorganisation für Cybersicherheit, erwähnte gegenüber Forbes: „Die Angriffe durch [Cyberkriminelle] sind weiter verbreitet, ausgefeilter und schwerer zu erkennen. Der gute Ruf von Marken und ihre Beziehungen zu ihren Kunden stehen auf dem Spiel. Kunden werden Unternehmen belohnen, die sie davon überzeugen können, dass sie für die Verwaltung ihrer Daten bestens gerüstet sind.“
Was Cybersicherheit betrifft, ist Prävention die beste Verteidigung. In diesem Artikel werden wir behandeln, welche Rolle das Cybersecurity Monitoring – also die Überwachung von Cybersicherheit – hierbei spielt und was genau der Begriff bedeutet, wie es funktioniert und welche bewährten Verfahren Sie anwenden sollten, um Ihre IT-Infrastruktur gegen Cyberbedrohungen wasserdicht zu machen.
Was ist Cybersecurity Monitoring? Definition und wichtige Fakten
Cybersecurity Monitoring bezieht sich auf die Echtzeit-Überwachung – oder nahezu Echtzeit-Überwachung – von Events und Aktivitäten, die allzeit in Ihrem Netzwerk stattfinden. Es ermöglicht es Unternehmen, zu gewährleisten, dass Sicherheitskontrollen zum Schutz der Integrität, Vertraulichkeit und Verfügbarkeit ihrer Datenbestände nicht kompromittiert sind und jegliche Bedrohungen oder Schwachstellen aufgedeckt und adressiert werden können, bevor sie zu einem Datensicherheitsvorfall führen.
Es ist wichtig, daran zu denken, dass Informationssicherheit ein dynamischer Prozess ist, warnt das National Institute of Standards and Technology (NIST). Das bedeutet, dass sie effektiv und proaktiv gemanagt werden muss, damit Unternehmen mit der sich schnell weiterentwickelnden Cyberrisiko-Landschaft einerseits und mit den regelmäßigen Veränderungen ihrer eigenen Unternehmensarchitektur und Betriebsumgebung andererseits Schritt halten können.
Die US-Regierungsbehörde weist außerdem darauf hin, dass durchgängiges Monitoring ein entscheidender Bestandteil der Risikomanagementrichtlinien von Unternehmen sind, und befürwortet die Implementierung des sogenannten „Information Security Continuous Monitoring“, kurz ISCM. Hierbei handelt es sich um die Aufrechterhaltung eines „kontinuierlichen Bewusstseins für Informationssicherheit, Schwachstellen und Bedrohungen, um organisationsbezogene Entscheidungen in Bezug auf Risikomanagement zu unterstützen.“
Wie funktioniert das Monitoring von Netzwerksicherheit? Ein Beispiel
Das kontinuierliche Netzwerk-Monitoring ist in der Tat ein zirkulärer Prozess. „Organisationen stärken das Situationsbewusstsein durch verbesserte Monitoring-Funktionalitäten und erhöhen infolgedessen den Einblick in die Verfahren und die Kontrolle von den Prozessen, die zur Verwaltung unternehmensbezogener Sicherheit verwendet werden. Der verstärkte Einblick in Sicherheitsverfahren und die verbesserte Kontrolle von Sicherheitsprozessen steigert wiederum das Situationsbewusstsein“, erklärt NIST in Special Pm Hublication 800-137 und bringt dafür das folgende Beispiel an.
Die Sicherheitsinformationen über ein Inventory einer Systemkomponente werden genutzt, um die Compliance mit dem CM-8 Information System Component Inventory. zu bestätigen. Zuerst werden die Informationen bewertet, um herauszufinden, ob die Kontrollmaßnahme effektiv (und das Inventory somit akkurat) ist – oder nicht. Sollte Letzteres der Fall sein, wird eine Analyse in die Wege geleitet, um die Grundursache des Problems zu identifizieren. Dabei kann es sich um etwas Harmloses handeln, wie einen veralteten Prozess für die Verbindung von Komponenten mit dem Netzwerk, oder aber auch um eine sehr beunruhigende Sache, wie eine Cyberattacke. Anschließend werden auf der Analyse basierende, angemessene Reaktionen eingeleitet, wie z. B. ein Update des Inventory durch die verantwortlichen Parteien, das Update relevanter unternehmensbezogener Prozesse, Mitarbeiterschulungen oder die Sperrung von fehlerhaften Geräten.
Die sicherheitsbezogenen Informationen zum Inventory der Systemkomponente können ebenfalls zur Unterstützung vordefinierter Metriken herangezogen werden. Akkuratere Inventorys für Systemkomponenten können Unternehmen dabei helfen, die Effektivität anderer Sicherheitsdomänen zu verbessern, wie z. B. Patch- oder Schwachstellen-Management. Anders ausgedrückt: Die bei der Auswertung einer Sicherheitskontrolle gesammelten Daten können dazu genutzt werden, eine Metrik zu berechnen, und Input für eine Reihe von unternehmensbezogenen Prozessen bieten. Darüber hinaus kann ein ans Tageslicht gebrachtes Problem zur Bewertung weiterer vom Unternehmen eingesetzter Kontrollen und zur Aktualisierung relevanter sicherheitsbezogener Informationen führen und die Compliance mit Sicherheitsprogrammen verbessern.
IT Security Monitoring am Arbeitsplatz: Warum dies wichtiger als je zuvor ist
Laut Gartner, sind 91% aller Unternehmen an irgendeiner Form von digitalen Initiativen beteiligt und 87% von leitenden Führungskräften sehen Digitalisierung als eine Priorität für ihr Unternehmen an. Fast alle Unternehmen heutzutage setzen Kundenbeziehungsmanagement, Ressourcenplanung, Projektmanagement, Marketingautomatisierung oder Content Management Software ein.
Darüber hinaus hat die Coronavirus-Pandemie der Implementierung neuer Technologien für ortsunabhängiges Arbeiten – einschließlich Tools für Videokonferenzen, zur Projektnachverfolgung, für den Datentausch und für die Zusammenarbeit – einen enormen Aufschwung gegeben. Deloitte fand heraus, dass seit Mai 2020 drei Viertel aller Büroangestellten in Großbritannien mindestens zwei neue Arten von Technologien für ihre Arbeit verwenden müssen.
Dieser Grad von ortsunabhängiger Vernetzung zwischen Unternehmen und externen Partnern – egal, ob Mitarbeitern oder Zulieferern – führt mit großer Wahrscheinlichkeit zu neuen Netzwerk- und Endpunktsicherheitslücken. Und diese bringen dann wiederum ein erhöhtes Bedürfnis für das kontinuierliche Monitoring von Datenbeständen, Nutzern, Geräten und Aktivitäten innerhalb von Firmennetzwerken mit sich.
3 entscheidende Herausforderungen beim Monitoring von Informationssicherheit
Endpunkt-Monitoring beiseite – das kontinuierliche Monitoring bringt eine Vielzahl von Herausforderungen für Sicherheitsteams mit sich. Lassen Sie uns einen Blick auf die Bedeutendsten davon werfen, mit freundlicher Genehmigung von Cisco und der Enterprise Strategy Group (ESG).
- Die wachsende Anzahl und zunehmende Raffinesse von Cyberattacken
- Der rapide zunehmende Netzwerkverkehr, der im Auge behalten werden muss
- Durch interne und externe Faktoren verursachte tote Winkel im Netzwerk
Im Jahr 2021 erhielt das FBI eine Rekordzahl Beschwerden bezüglich Cyberkriminalität von Mitgliedern der Öffentlichkeit (847.376, um genau zu sein). Die damit verbundenen potenziellen Verluste überstiegen 6,9 Milliarden US-Dollar. Über die „üblichen Verdächtigen“ wie Erpressersoftware und die Kompromittierung von Firmen-E-Mail-Adressen hinaus machen mit Kryptowährung verbundene Betrügereien nun den Großteil der gemeldeten Vorfälle aus.
Laut dem globalen Marktforschungsunternehmen für Telekommunikation TeleGeography, hat die Internetbandbreite im Jahr 2022 um 28% zugenommen und liegt nun bei 997 Terabit pro Sekunde. Das bedeutet, dass die globale Internetbandbreite sich seit 2018 nahezu verdreifacht hat und wir uns der Ära nähern, in der Netzwerkverbindungen in Petabit pro Sekunde gemessen werden.
Dreiundsiebzig Prozent von IT- und Sicherheitsexperten sind der Meinung, dass Netzwerksicherheit aufgrund der mangelnden Transparenz in Bezug auf den öffentlichen Cloudverkehr, des Nutzerverhaltens, der fernen Standorte von Netzwerken und des Verkehrs von nicht firmeneigenen Geräten zwischen Unternehmen und ihren Geschäftspartnern sowie über das interne WLAN schwieriger geworden ist.
6 Schritte zum Erstellen eines Programms zum Monitoring von Cybersicherheitsbedrohungen
NIST empfiehlt die folgenden Schritte für die Entwicklung und Implementierung Ihrer ISCM-Strategie:
- Beurteilen Sie die Risikotoleranz Ihres Unternehmens und passen Sie Ihre Strategie dementsprechend an. Stellen Sie sicher, dass sie Ihnen ausreichend Einblick in Datenbestände, Schwachstellen und aktuelle Informationen zu potenziellen Bedrohungen und deren Auswirkungen bietet.
- Entwickeln Sie ein ISCM-Programm, das Metriken, die Häufigkeit des Status-Monitoring und der Kontrollbewertung sowie die technische ISCM-Architektur darlegt, einschließlich Tools, Technologien und Methoden – manuell oder automatisiert.
- Implementieren Sie ein ISCM-Programm und sammeln Sie alle sicherheitsbezogenen Informationen, die für die vordefinierten Metriken, Beurteilungen und Berichte zu Personen, Verfahren und Technologien nötig sind, sowie sämtliche bereits vorhandene Beurteilungen von Sicherheitskontrollen.
- Analysieren Sie die gesammelten Daten und Berichtergebnisse, damit die relevanten Mitarbeiter eine Entscheidung darüber fällen können, wie potenzielle Risiken gehandhabt werden sollen. Es kann nötig sein, zusätzliche Informationen zusammenzutragen, um bereits vorhandene Monitoring-Daten zu klären oder zu ergänzen.
- Reagieren Sie auf Ergebnisse aller Ebenen gemäß der Risikotoleranz Ihres Unternehmens. Die Reaktionen können Risikominderung, -akzeptanz, -vermeidung oder -ablehnung oder -teilung oder -transfer beinhalten.
- Denken Sie daran: Kontinuierliches Monitoring in Cybersicherheit ist alles andere als statisch. Prüfen und aktualisieren Sie Ihr ISCM-Programm und passen Sie Ihre ISCM-Strategie an, um den Einblick in Datenbestände und Schwachstellen aufrechtzuerhalten und die Widerstandsfähigkeit Ihres Unternehmens zu stärken.
3 bewährte Verfahren für Cybersecurity Monitoring 2023
- Automatisieren, automatisieren und nochmals automatisieren
- Machen Sie Mitarbeiter zu Ihren stärksten Verbündeten
- Achten Sie auf Ihre Metriken – und deren Häufigkeit
Halten Sie wann immer möglich nach automatisierten Lösungen Ausschau, um Ihre Monitoring-Bemühungen im Hinblick auf Cybersicherheitsbedrohungen effektiver, zuverlässiger und kostengünstiger zu machen. Diese Tools können schnell Trends, Muster und Korrelationen erkennen, die dem menschlichen Auge entgehen können – besonders dann, wenn ein hohes Volumen sicherheitsbezogener Informationen gesammelt, analysiert und verstanden werden muss (z. B. bei der Prüfung technischer Einstellungen für individuelle Netzwerk-Endpunkte).
Menschen sind für eine gut geölte Strategie für kontinuierliches Cybersecurity Monitoring genauso wichtig, wie Tools und Verfahren. Mitarbeiter, die ein gutes Verständnis von Cybersicherheitsrisiken und ihren Konsequenzen für sie selbst und das gesamte Unternehmen haben, werden System- und Anwendungsupdates mit größerer Wahrscheinlichkeit regelmäßig installieren, vor verdächtigen Netzwerkaktivitäten auf der Hut sein und genau wissen, welche Schritte als Reaktion auf einen potenziellen Angriff unternommen werden müssen.
Stellen Sie sicher, dass die von Ihnen für die Risikobeurteilung und -verwaltung Ihres Unternehmens genutzten Metriken auf bestimmten Zielsetzungen basierend ausgewählt werden, die Ihre Sicherheitslage aufrechterhalten oder verbessern. Außerdem ist es wichtig, die Häufigkeit des Monitorings zu definieren, d. h. wann die Metriken aktualisiert werden sollten. So können z. B. logische Asset-Informationen sich von einen Tag auf den nächsten ändern, während Richtlinien und Verfahren zur Netzwerkkonnektivität meist einmal im Jahr geprüft werden sollten.