zurück zur Übersicht

Incident Detection – Teure Fehlstarts vermeiden

Bei der Incident Detection sollten Fehltritte vermieden werdenGerne und oft wird bei Messen und Kongressen über das Next-Gen Security Operation Center (Next-Gen SOC) und dessen Fähigkeiten diskutiert. Dabei geht es auch um das Potential, das ein SOC der 2. Generation von der 3. Generation unterscheidet und warum jetzt UEBA (User & Entity Behavior Analysis) und Exploratory Security Analytics besonders en vogue sind, wenn es um Incident Detection geht. Wenn man nicht gerade CISO einer Bank, einer Versicherung oder eines globalen Großkonzerns ist, fragt man sich nur allzu oft – Wer soll das bezahlen? Gerade im Mittelstand findet man häufig die Situation vor, dass es noch nicht mal ein zentrales Log Management gibt. Hier mit Threat Hunting und Big Data Analytics einsteigen zu wollen, führt nur zu einem unnötigen und teuren Fehlstart. Wie kann man diesen vermeiden?

Das A & O der Incident Detection: Immer das Ziel im Blick

Zunächst einmal gilt es das Ziel zu definieren und fest im Blick zu behalten. Mit welchem Bedrohungspotential sehe ich mein Unternehmen konfrontiert? Welche daraus abgeleiteten Vorfallsszenarien muss ich eigentlich erkennen können, um mich davor zu schützen? Erst wenn die Definition dieser sog. Detection Use Cases erfolgt ist, kommt der nächste Schritt. SIEM-Integratoren und Managed Security Service Provider können hier in der Regel wertvolle Vorschläge für eine gute Basisabsicherung liefern und so aufzeigen, wie man Schritt für Schritt die Erkennungsfähigkeiten ausbauen kann. Crawl, Walk, Run lautet hier das Motto.

Viel hilft nicht immer viel

Viele gescheiterte SIEM-Implementierungen und Big Data Security Analytics Projekte haben eins gemeinsam: Den Trugschluss, dass man ja erstmal damit starten kann, alle Eventdaten zu sammeln. Über deren Verwendung macht man sich danach Gedanken und konstruiert entsprechende Use Cases. Weit gefehlt! Wie heißt es so schön: „Kannste schon so machen – Dann isses halt Kacke“. Das Ergebnis sind dann oft überteuerte und falsch dimensionierte Lösungen voller nutzloser Daten. Besser ist es bei der Incident Detection, strikt nutzungszweckbezogen zu agieren. Welche Daten brauche ich für welchen Use Case, in welcher Qualität und wie komme ich da ran?

Gerade in hochgradig outgesourcten Infrastrukturen kann die Bereitstellung von Logdaten ein Problem darstellen. Oft wurde das Thema in Verträgen mit Service Providern nicht berücksichtigt. Der Kunde hat dann eben auch keinen Anspruch auf die Bereitstellung der entsprechenden Protokolle. Hier kann es dann sinnvoll sein, die Analyse der Logdaten in eine spätere Projektphase zu verschieben, z.B. nachdem eine Lösung mit dem Service Provider im Rahmen einer Verhandlung zur Vertragsverlängerung gefunden wurde, und vorerst auf Sensorik zu setzen, die Angriffe anhand des Netzwerkverhaltens (NTA) oder des Verhaltens der Endpoints (EDR) erkennt.

Das richtige Team mit den richtigen Skills

Steht fest welche Use Cases umgesetzt werden sollen und welche Datenquellen dafür notwendig sind, braucht es die richtige Mannschaft zur Umsetzung. Sicher, die initiale Implementierung ist ein Projekt mit definiertem Beginn und Ende. Aber ohne kontinuierliche Pflege und Weiterentwicklung der Sensorik zur Angriffserkennung, büßen SIEM und Co. schnell den gewünschten Nutzen ein. Mitarbeiter mit dem richtigen Know-how für die Weiterentwicklung der Use Cases und die Bedienung der Systeme sind hier der Schlüssel zum langfristigen Erfolg. Nur wer sich sicher ist, auch mittelfristig ausreichend geeignetes Personal für diese Zwecke bereitstellen zu können, sollte das Thema in Eigenregie angehen. Ist das nicht der Fall, ist externe Unterstützung zwingend angeraten.

 

 

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer