Wissenswertes rund um das Security Monitoring

Was für Unternehmen oft enorme Mehrwerte liefert, stellt IT-Abteilungen vor riesige Herausforderungen. Unzählige Informationen und Daten durchqueren das Unternehmensnetzwerk. Doch welche Informationen sind gewollt und welche haben möglicherweise einen schädigenden Hintergrund? Um dies herauszufinden, müssen alle Ereignisse im Netzwerk erfasst und mitgeschrieben werden. Auf diesen Ansatz baut das Security Monitoring auf und unterstützt folglich den IT-Betrieb, um stets verfügbar und handlungsfähig zu bleiben. Hierzu müssen kritische Ereignisse detektiert, frühzeitig erkannt und proaktive Maßnahmen eingeleitet werden.

»Kontinuierliche Überwachung der IT-Systemumgebung«

Die Echtzeitüberwachung der IT-Systemumgebung führt zu einer wirksamen Früherkennung von modernen Cyber-Attacken. Dies erfolgt durch Sammlung von Ergebnisdaten aus unterschiedlichen operativen Ebenen und deren Echtzeitanalyse. Durch diese Ergebnisdaten ist es möglich, eine umfassende Abschätzung des Risikos von Cyber-Attacken zu ermitteln. Daraus resultieren zielgerichtete Maßnahmen zur Eindämmung von Angriffen.
Implementierung

Um Security Monitoring in das Unternehmen einzubinden, wird zunächst der aktuelle Stand der IT-Systemumgebung aufgezeichnet. Dieser bildet die Grundlage für die Definition des gewünschten Sicherheitslevels, welche wiederum in die Analyse einfließt. Die Umsetzung erfolgt durch Einbindung diverser Produkte (Programme), die das automatisierte Überwachen und Analysieren eines definierten Datenverkehrs übernehmen.

Brisanz für Unternehmen und Organisationen

Im Fokus dieses Security-Ansatzes steht der Schutz vor externen und internen Bedrohungen. Durch die schnellere Angriffserkennung können potenzielle Schäden stark reduziert werden. Zudem erzeugen die Einrichtung und der Betrieb der Security-Lösung einen umfassenden Einblick in die eigene IT-Systemlandschaft. Da Nachvollziehbarkeit und Aufzeichnung von Vorgängen fester Bestandteil des Ansatzes sind, wird die Erkennung von Anomalien im täglichen IT-Betrieb vereinfacht und Ausfallzeiten der Infrastruktur werden verringert.

Was kann überwacht bzw. getrackt werden?

• Malware
• Verdächtig gekennzeichnete externe Webseiten
• Kritische Kontexte
• Systeme
• Ungewöhnliche Verbindungen
• Anormales Verhalten innerhalb des Netzwerkes
• Anmeldungen an IT-Systemen
• Auslastung von Systemen
• Verfügbarkeit von Diensten
• Zutrittskontrollen zu Räumen oder Bereichen, wenn diese durch IT-Technik gesteuert werden

Welche Daten Sie individuell erfassen sollten, variiert je nach relevanter Information und Klassifikation bzw. was wichtig für den Betrieb oder die Schutzbedürftigkeit Ihrer Daten ist. So sollte z. B. gewährleistet sein, dass nur berechtigte Personen Zugriff zu klassifizierten Räumen haben oder dass Systeme nur durch bestimmte Konten administriert werden können. Um Gefahren aufzudecken, sollte eine unautorisierte Anmeldung in einem sicherheitsrelevanten System zwingend aufgezeichnet und zeitnah ausgewertet werden. Es besteht die Möglichkeit, regelmäßige Reports von Fortschritten und Verläufen zu erstellen und abzurufen.

Gründe für das »Tracken«

• Vertraulichkeit von Daten zu gewährleisten
• Systeme aufrecht erhalten
• Bei Problemen reagieren
• Vorbeugende Maßnahmen treffen
• Wahren der Datenintegrität
• Schutz vor Manipulation

Wie werden die gesammelten Daten weiterverarbeitet?

Proaktive Aufgaben können automatisch definiert werden, sodass z. B. eine E-Mail an einen Administrator versandt wird, sobald eine Anmeldung durch einen Dritten an einem sicherheitsrelevanten System erfolgt. Für reaktive Maßnahmen geben die getrackten Daten einen Hinweis für nächste Schritte, sind eine gute Vorbereitung für Folgetätigkeiten und gewährleisten einen reibungslosen Informationsfluss.

Weitere Informationen rund um die Informationssicherheit und IT-Security finden Sie hier. >>