Messen Sie Ihre Bereitschaft – Sicherheitsüberwachungsprogramm

Im vorherigen Post der Serie Messen Sie Ihre Bereitschaft habe ich ein Framework zur Prüfung, Anpassung und Beschleunigung eines bedrohungsbasierten Incident-Behandlungsprogramms vorgestellt, das jede Art von Unternehmen dabei unterstützt, seine Reaktionsfähigkeit zu verbessern und auf unvorhergesehene Incidents vorbereitet zu sein.

Der zweite Post dieser Serie befasst sich mit dem Sicherheitsüberwachungsprogramm, das auch als Core-Service eines Security Operation Center gilt und von diesem überwacht wird. In diesem Zusammenhang liegt das Hauptziel bzw. die wichtigste Funktion eines erfolgreich implementierten Programms im Erkennen, Ermessen und Melden von “Verhaltensweisen”, die eine weitere Untersuchung durch die Sammlung, Korrelation und Analyse von Daten aus einem breiten Spektrum von Systemen, Anwendungen, Sicherheits- und Netzwerkgeräten und “Dingen” erfordern.

Die Erweiterung der Sammlung von Datenquellen, und zwar nicht nur um die Erfassung von Systemprotokollen und Anwendungsereignissen, sondern auch von Netzwerkpaketen (einschließlich der bedeutendsten Eingangs-/Ausgangspunkte), Endpunktdaten und -identität, Assets und Unternehmenskontexten, ermöglicht dem SOC-Team logischerweise eine tiefergehende Analyse. Dadurch können mehr Advanced Threats identifiziert und abgewehrt (und deren Bedrohungsdauer reduziert) werden. Dieser Prozess sollte mit einem Top‐down‐Ansatz beginnen, um zunächst die Ressourcen des Unternehmens zu identifizieren, die sensible Daten oder privilegierte Anwendungsfunktionen enthalten (u. a. durch die Verwendung einer vorausgehenden Geschäftsauswirkungsanalyse). Daraufhin sollte im Einklang mit den Prioritäten des Unternehmens eine Roadmap entwickelt werden, mit der die Überwachungsfunktionen allmählich auf ein breiteres Spektrum von Ressourcen ausgeweitet werden können. Dieser Ansatz ist im Hinblick auf begrenzte Ressourcen im SecOps-Team außerdem kostengünstig.

Der zweite Bestandteil dieser Strategie, der bei der Verwaltung von Sicherheitsrisiken bedacht werden muss, ist die Definition des Bedrohungsindikators (Threat Indicator, TI), also von Mustern, die auf mögliche Schwachstellen und schädliche Verhaltensweisen hindeuten. Diese TIs fördern die Entwicklung und Implementierung der Technologie, indem sie die zu überwachenden Ressourcen sowie kontextbasierte Daten und Logik faktorisieren, die für die Erkennung der Bedrohung, des Restrisikos für die Ressourcen (z. B. nach der Anwendung von Gegenmaßnahmen) und verwertbarer Bedrohungsinformationen erforderlich sind.

Aus diesem Grund umfasst ein einfaches und effektives Modell die folgenden wesentlichen Elemente:

  • TI-Umfang, technischer und geschäftlicher Eigentümer
  • Restrisiko
  • Technisches Indikatormuster
  • Kontextuell angereicherte Daten (intern oder extern)

Das oben genannte Modell erfordert eine strukturierte Entwicklung und fortgesetzte Bemühungen, TIs in einem Unternehmen zu pflegen, zu gewichten und zu optimieren, wobei Erfahrungen einfließen, die aus der Überprüfung von zuvor erkannten Incidents, Risikobewertungen und Bedrohungsanalysen gewonnen werden. Dieser Ansatz ermöglicht dem SecOps-Team, nicht nur eine größere Anzahl von Advanced Threats zu erkennen, sondern auch mit der Entwicklung der IT-Abteilung und der Bedrohungslandschaft Schritt zu halten.

Um eine kontinuierliche Sicherheitsüberwachungsstrategie korrekt zu implementieren, kann eine Reifegradmodellierung verwendet werden, womit der aktuelle Stand des Unternehmens sowie die langfristigen Roadmap-Erfordernisse ausgewertet werden können.

Level 1 – Einstieg (Prozesse unvorhersehbar, reaktiv)

  • Analysen: Begrenzte Transparenz des Netzwerks mit begrenzten Überwachungsplattformen. Es werden nur OOTB-Signaturen (Out of the Box) verwendet und selten aktualisiert.
  • Governance: Schwerpunkt der Überwachungs-Policy liegt auf der Einhaltung von Complianceanforderungen und behördlichen Auflagen.
  • Messung: OOTB-Metriken und technische KPIs (Key-Performance-Indikatoren) werden bereitgestellt. Berichte werden bei Bedarf manuell generiert.
  • Operativ: Überwachungsvorgänge (einschließlich Korrelation, Analysen und Generieren von Warnmeldungen) sind auf bestimmte Komponenten beschränkt, meist manuelle Korrelation; angetrieben durch behördliche Auflagen und Compliance.
  • Organisatorisch: Dem Überwachungsteam sind begrenzte Ressourcen zugeordnet und Zuständigkeiten werden mit der IT-Abteilung geteilt.

Level 2 – verwaltet (Prozesse entwickelt aber inkonsistent, häufig reaktiv)

  • Analysen: Verschiedene Überwachungs- und Analyseplattformen werden bereitgestellt und die Daten werden in mehreren Repositorys gesammelt. Eine “Sicherheits-Baseline” ist identifiziert und definiert.
  • Governance: Überwachungsrichtlinien und -verfahren wurden entwickelt, werden aber nicht konsistent befolgt und mit anderen Abteilungen kommuniziert.
  • Messung: Unternehmensspezifisch angepasste taktische Metriken sind als Basis für operative Entscheidungen verfügbar.
  • Operativ: Überwachungsvorgänge sind auf fast das gesamte Spektrum an IT-/Sicherheitsgeräten ausgeweitet und angetrieben durch Unternehmensrisiko. Eine begrenzte Anzahl an unternehmensspezifisch angepassten Bedrohungsindikatoren wurde entwickelt.
  • Organisatorisch: Ein dediziertes Sicherheitsüberwachungsteam ist während der Geschäftszeiten verfügbar. Funktionen und Zuständigkeiten sind zugewiesen.

Level 3 – definiert (Prozesse konsistent im gesamten Unternehmen, proaktiv)

  • Analysen: Analysetechnologien sind unternehmensweit bereitgestellt und Daten (einschließlich Netzwerkpaketerfassung) werden transparent und zentral gesammelt, gespeichert und aggregiert.
  • Governance: Überwachungsverfahren wurden für jede bestimmte Ressource entwickelt und mit der IT-Abteilung geteilt, einschließlich Telemetriedaten. Die Rechts- und Personalabteilung sind aktiv an der Festlegung der angemessenen Aufbewahrungs- und Datenschutz-Policy beteiligt. Verfahren werden proaktiv geändert, um etwaigen Veränderungen im Unternehmen zu entsprechen.
  • Messung: Bequem abrufbare unternehmensspezifisch angepasste Metriken und KPIs werden bereitgestellt, regelmäßig kommuniziert und unterstützen geschäftliche Faktoren, Ziele und Entscheidungen.
  • Operativ: Es besteht vollständige Transparenz von Netzwerk und Datenfluss. Die Zeit für die Erkennung und Ermittlung von Incidents wird nach und nach stark reduziert. Es wird ein proaktiver Ansatz zur Identifikation von Bedrohungen eingesetzt.
  • Organisatorisch: Ein dediziertes Sicherheitsüberwachungsteam ist an jedem Geschäftstag während der Geschäftszeiten (8×7) verfügbar und ein spezialisiertes Rapid Response Team ist per Rufbereitschaft verfügbar.

Level 4 – quantitativ verwaltet (Prozesse gemessen und kontrolliert)

  • Analysen: Kontextbezogene Sicherheitsanalyseplattformen werden bereitgestellt und täglich gepflegt. Langfristige Verlaufsdaten sind verfügbar und werden kontinuierlich analysiert sowie mit angepassten internen und externen Bedrohungsinformationen korreliert.
  • Governance: Überwachungsverfahren sind kategorisiert, unternehmensweit kommuniziert, von den Unternehmern akzeptiert und an die Geschäftsrisiken des Unternehmens angepasst.
  • Messungen: Aussagekräftige Risiko- und Bedrohungsmetriken werden konstant gemessen und sind zur Unterstützung von Unternehmensentscheidungen verfügbar.
  • Operativ: Ein risiko- und bedrohungsbasierter Überwachungsansatz wird angewendet. Unternehmensspezifisch angepasste Bedrohungsindikatoren werden basierend auf dem Restrisiko jeder “Ressourcenklasse” entwickelt und eingesetzt, um jede größere Änderung von Ressourcen wiederzugeben.
  • Organisatorisch: Ein dediziertes 24×7 verfügbares internes Team mit fundierter Kenntnis von Netzwerk und Plattformen ist in einem “Follow the sun”-Modell auf verschiedene Standorte verteilt.

Level 5 – Optimierung (Fokus auf Prozessverbesserung)

  • Analysen: Skalierbare und verteilte Datenverarbeitungsplattformen sind implementiert. Advanced-Threat-Analysesysteme sind optimiert mit Schwerpunkt auf Geschäftskontext und Identitätsinformationen des Unternehmens. Incidents werden aufgrund einer Berechnung des möglichen geschäftlichen Schadens priorisiert und Bedrohungen werden auch durch die Überwachung von Metadaten des verschlüsselten Datenverkehrs identifiziert.
  • Governance: Überwachungsverfahren werden kontinuierlich überprüft und an sämtliche größeren Veränderungen der IT-Umgebung des Unternehmens angepasst, um vollständige Transparenz durch Analysetechnologien zu bieten.
  • Messungen: Metriken und KPIs werden in Echtzeit generiert und an strategische Ziele/Risikoprofile angepasst. Metriken werden zur Unterstützung (tatsachenbasierter) taktischer und strategischer Managemententscheidungen verwendet.
  • Operativ: Bedrohungsindikatoren werden speziell für jede Ressource angepasst und unter Berücksichtigung der sich entwickelnden Bedrohungslandschaft, interner/externer Informationen, Erfahrungen und der Risikosituation des Unternehmens proaktiv entwickelt.
  • Organisatorisch: Ein dediziertes “Rund um die Uhr”-Sicherheitsüberwachungsteam wird an einem zentralen Standort bereitgestellt und leistet Support für sekundäre Standorte. Top-Fachleute im Unternehmen sind zudem auf maschinelles Lernen und Data Science spezialisiert.

Aufgrund der gestiegenen Anzahl und größeren Vielfalt der Bedrohungen für Netzwerksysteme und andere verbundene “Dinge” erfordert die Bereitstellung eines SOC-Teams zum Erkennen und Analysieren verdächtiger Vorgänge kontinuierlichen Einsatz und Flexibilität zur Aufrechterhaltung des Programms.

Ähnlich wie die Entwicklung eines bedrohungsbasierten Incident-Behandlungsprogramms bildet eine Sicherheitsüberwachungsstrategie die Erfolgsgrundlage für das Heranreifen eines kompetenten, dedizierten, technologisch versierten Teams, das moderne Richtlinien, Prozesse und Verfahren anwendet..

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments