Unter Security Monitoring versteht man die konstante Überwachung und Protokollierung sämtlicher Vorgänge innerhalb einer Netzwerk-Umgebung und teilweise sogar darüber hinaus. Jegliche Aktivitäten von der System- bis zur Benutzerebene werden analysiert und in einem Zusammenspiel aus künstlicher und menschlicher Intelligenz korreliert, ausgewertet und behandelt. Dieser Ansatz ermöglicht die frühzeitige Erkennung von potenziellen Bedrohungen und eine sofortige Reaktion auf Sicherheitsvorfälle. So wird auch eine vermeintlich legitime Aktion genauer betrachtet, wenn sich beispielsweise ein Benutzer innert kürzester Zeit aus verschiedenen Ländern anmeldet.
Während Firewalls oder Antiviren-Lösungen oft nur lokal fungieren, sprich als Torwächter vor dem Netzwerk und am Endpunkt (PCs, Server, Maschinen), bietet das Security Operation Center einen holistischen Ansatz. So werden besagte Lösungen miteingebunden, Logs & Informationen aus allen möglichen Quellen gesammelt und zentral in einer Art Flugschreiber aufbereitet. Dadurch können Angriffe nicht erst bei deren Einschlag auf besonders schützenswerte Systeme erkannt, sondern auf allen Ebenen und oft bereits beim ersten verdächtigen Anzeichen oder einem initialen Zugriff unterbunden werden. Zudem stehen bei einem besonders schwerwiegenden Vorfall (Major Incident) unmittelbare Ressourcen zur Eindämmung, Forensik und Bewältigung (Incident Response) zur Verfügung.
Sachlage
Der zeitliche Aspekt spielt beim Security Monitoring eine entscheidende Rolle, denn nach wie vor dauert es durchschnittlich über 200 Tage bis eine Kompromittierung entdeckt wird. In dieser Zeit können Cyberkriminielle einem Unternehmen nachhaltig schaden, kritische Infrastrukturen komplett lahmlegen oder an marktentscheidende Daten gelangen und diese im Darknet weiter veräussern.
Jeden Tag werden bis zu 100 neue Schwachstellen in IT-/OT-Systemen gemeldet und weltweit findet alle 10 Sekunden ein meist finanziell motivierter Angriff statt, was zu Schäden von über 10 Millionen Franken pro Minute führt. Die meisten Angriffe finden zu Randzeiten, während der Feriensaison oder an Wochenenden statt und umso wichtiger ist es, auch ausserhalb der regulären Betriebszeiten eine entsprechende Überwachung mit spezialisierten Fachkräften dahinter in Bereitschaft zu haben. Denn hat ein erfolgreicher Angriff erst einmal stattgefunden, sind Unternehmen erst nach 2-3 Monaten in der Lage, den regulären Betrieb wieder aufzunehmen.
Handlungsempfehlungen
Überwachung & Analyse
Stellen Sie sicher, dass Sie wissen, was in Ihrem Netzwerk vorgeht. Sei es mit eigens dafür zur Verfügung gestellten Ressourcen oder einem darauf spezialisierten Dienstleister
IR / DR / BCM
Incident Response, Disaster Recovery & Business Continuity Management gehen Hand in Hand. Erarbeiten Sie Notfall-Pläne & -Konzepte wo definiert wird, wie im schlimmsten Fall reagiert, wiederhergestellt und der Betrieb wieder aufgenommen werden kann
Auditierung
Lassen Sie Ihre Infrastruktur auf technische wie auch betriebliche Abläufe untersuchen. Im Zuge eines Audits oder Penetrationstests erhalten Sie klare Anhaltspunkte zu Schwachstellen und wie Sie diese beheben können
Threat Intelligence & Threat Hunting
Halten Sie sich auf dem Laufenden bezüglich aktueller Bedrohungen, Angriffsmustern und neuen Schwachstellen. Ergänzend dazu besteht die Möglichkeit gezielt auf die Jagd nach Informationen und Angriffsindikatoren in Bezug auf das eigene Unternehmen zu gehen
