false
Splunk-Blogs
Splunk-Blogs
Splunk-Blogs
Learn
28. August 2023
 | 
15 Minuten Lesedauer

Was ist Cybersecurity Analytics?

Von Tyler York

Security Analytics (Sicherheitsanalysen) ist ein proaktiver Ansatz für die Cybersecurity, bei dem der Erfassung, Aggregierung und Analyse von Daten eine wichtige Sicherheitsfunktion zukommt, da sie zum Erkennen, Analysieren und Entschärfen von Cyberbedrohungen genutzt werden. Security Analytics-Tools wie Bedrohungserkennung und Security Monitoring werden eingesetzt, um Sicherheitsvorfälle und potenzielle Bedrohungen wie externe Malware, gezielte Angriffe und böswillige Insider zu ermitteln und zu untersuchen. 

Wenn diese Bedrohungen bereits in einem frühen Stadium erkannt werden, haben Sicherheitsexperten die Möglichkeit, sie abzuwehren, bevor sie die Netzwerkinfrastruktur infiltrieren, wertvolle Daten und Assets kompromittieren oder dem Unternehmen anderweitig Schaden zufügen.

In diesem Artikel werden Features und Vorteile einer Security Analytics-Plattform, die größten Sicherheitsbedrohungen für euer Unternehmen sowie mehrere Sicherheitsstrategien erörtert. Außerdem geht es darum, wie ihr mithilfe von Security Analytics Angriffe proaktiv verhindern und eure Umgebung schützen könnt.

Funktionen und Vorteile einer Security-Plattform

Security Analytics ist die Anwendung von Data Analytics speziell für die Cybersecurity in Unternehmen.

Eine Security Analytics-Plattform umfasst mehrere Tools mit proaktiven Funktionen für die Netzwerksicherheit, darunter die Erkennung, Analyse und das Monitoring unterschiedlicher Security-Ereignisse, Angriffe und Bedrohungsmuster – und zwar innerhalb einer einzigen Anwendung und auf der Grundlage derselben Datenstrukturen. Security Analytics-Plattformen sind außerdem skalierbar und ermöglichen die Einbindung größerer Netzwerke und weiterer Benutzer, wenn das Unternehmen wächst.

Security Analytics-Lösungen aggregieren Daten aus verschiedenen Quellen, darunter:

Durch die Kombination und Korrelation dieser Daten steht Unternehmen ein primärer Datensatz für Security-Anwendungen zur Verfügung. Sicherheitsprofis können auf dieser Grundlage geeignete Algorithmen anwenden und schnelle Suchen erstellen, um Anzeichen für Cyberangriffe frühzeitig zu erkennen. Diese Anzeichen können aus allen möglichen Quellen stammen. Security-Plattformen bieten nützliche Funktionen, um relevante Netzwerkdaten zu sammeln und zu katalogisieren.

Arten von Security Analytics-Tools

Der Funktionsumfang von Security Analytics-Plattformen kann zwar variieren, viele bieten jedoch die nachfolgenden Funktionen:

  • UEBA (User and Entity Behavior Analytics)
  • Netzwerkverkehrsanalyse (automatisiert oder „on-demand“)
  • Bedrohungsinformationen
  • Anwendungszugriff und -analyse
  • DNS-Analyse
  • E-Mail-Analyse
  • Identität und soziale Rolle
  • Dateizugriff
  • Geografischer Standort, IP-Kontext

Diese Funktionen basieren auf einer Vielzahl an Tools, die in Security Analytics-Plattformen enthalten sind. Standardtools für Security Analytics sind unter anderem:

  • Verhaltensanalyse: Bei der Verhaltensanalyse werden die Muster und Verhaltenstrends von Benutzern, Anwendungen und Geräten untersucht, um abnormes Verhalten aufzuspüren oder Anomalien zu erkennen, die auf eine Sicherheitsverletzung oder einen Angriff hindeuten könnten.
  • Externe Bedrohungsinformationen: Ein externer Anbieter von Sicherheitsservices kann im Rahmen seines Portfolios auch Bedrohungsinformationen (Threat Intelligence) anbieten. Solche Threat-Intelligence-Plattformen sind zwar per se keine Security Analytics, stellen aber eine gute Ergänzung zum Analyseprozess dar.
  • Forensik: Forensik-Tools werden eingesetzt, um vergangene oder laufende Angriffe zu untersuchen, zu ermitteln, wie Angreifer in Systeme eingedrungen sind und diese kompromittiert haben, und um Cyberbedrohungen und Sicherheitslücken aufzudecken, die Unternehmen anfällig für zukünftige Angriffe machen könnten.
  • NAV (Network Analysis and Visibility): Unter NAV werden eine Reihe von Tools zusammengefasst, die den Endbenutzer-Datenverkehr und Anwendungsverkehr analysieren, während er durch das Netzwerk fließt. Eine alternative Bezeichnung dafür lautet Network Security Monitoring (NSM).
  • SIEM (Security Information and Event Management): SIEM-Lösungen bieten eine Kombination von Tools zur Echtzeit-Analyse von Sicherheitswarnungen, die von Netzwerkgeräten und Anwendungen generiert werden.
  • SOAR (Security Orchestration, Automation and Response): SOAR-Lösungen sind der Dreh- und Angelpunkt, an dem Datenerfassungsfunktionen, Analyse und die Reaktion auf Bedrohungen zusammenlaufen.

Eine Security Analytics-Plattform kann mehrere dieser Tools umfassen, oft ergänzt um neue Technologien wie künstliche Intelligenz und Machine Learning.

Unified Security Analytics: noch mehr Power für Security-Tools

Ein Konzept, das sich unter Cybersecurity-Profis zunehmender Beliebtheit erfreut, ist Unified Security Analytics.

Dabei kommen Machine Learning, Anomalieerkennung und eine prädiktive Risikobewertung im Zusammenspiel mit Data Science zum Einsatz. Unified Security Analytics zielt darauf ab, Verhaltensabweichungen und verdächtige Aktivitäten aufzuspüren, die auf das Vorhandensein von Sicherheitsbedrohungen hindeuten könnten. 

Für jeden Incident oder jede erkannte Aktivität wird eine konsolidierte, dynamische Risikobewertung erstellt. Modelle werden im Voraus so programmiert, dass Bedrohungen auf der Grundlage folgender Kriterien prognostiziert und erkannt werden können:

  • Anwendungsfall
  • Branche
  • Bedrohungsframework 
  • Compliance-Anforderungen

Die generierten kontextbezogenen Warnmeldungen haben den Vorteil, dass Risiken priorisiert und Bedrohungen direkt erkannt werden. Mit Unified Security Analytics lassen sich daher einige besonders schwerwiegende Sicherheitsbedrohungen entschärfen, bevor Cyberangreifer Schaden anrichten.

Häufige Cybersecurity-Bedrohungen

Es gibt zahlreiche Sicherheitsbedrohungen, durch die Unternehmensdaten dem Risiko einer Kompromittierung oder eines Angriffs ausgesetzt sind. Ohne Anspruch auf Vollständigkeit sind hier einige der wichtigsten Bedrohungen aufgeführt, mit denen sich die meisten Unternehmen konfrontiert sehen dürften.

Social Engineering

Daten werden häufig aus Unternehmen entwendet, wenn Mitarbeiter sich von Angreifern dazu verleiten lassen, Anmeldeinformationen preiszugeben oder Malware zu installieren, die Tastenanschläge aufzeichnet. Da Phishing-Angriffe und Social-Engineering-Methoden immer öfter täuschend echt wirken, müssen Unternehmen weiter in Sicherheitsmaßnahmen und Mitarbeiterschulungen investieren, um zu verhindern, dass ein kurzes Fehlurteil ein ganzes Netzwerk lahmlegt.

Böswillige Insider

Insider, die bereits Netzwerkzugang haben und vertrauliche Informationen über geistiges Eigentum, Pläne, wertvolle Daten und andere Geschäftswerte einsehen können, zählen oftmals zu den größten Cyberbedrohungen. Daher müssen Unternehmen ein besonderes Augenmerk auf Personen legen, die Zugriff auf ihre Unternehmensdaten haben. Dazu gehören Mitarbeiter, Partner und Drittanbieter, die in der Lage sein könnten, ihren privilegierten Zugriff zu missbrauchen und den Betrieb zu stören.

Advanced Persistent Threats und komplexe Malware

Malware-Autoren entwickeln ihre Techniken ständig weiter und inzwischen gibt es neue Formen von Ransomware, Advanced Persistent Threats (APT), dateilosen Malware-Angriffen und „Stalkerware“. Zum Schutz ihrer Netzwerke müssen Unternehmen in neue Methoden investieren, um das Verhalten von Malware proaktiv vorauszusehen, Angriffe zu isolieren und heimlich eingeschleuste Bedrohungen zu erkennen, die ihre Präsenz verschleiern.

DDoS-Angriffe (Distributed Denial of Service)

DDoS-Angriffe, bei denen der Computer oder das Netzwerk des Opfers mit einer Flut von gefälschtem Datenverkehr bombardiert wird, können den Zugriff von Unternehmen auf ihre eigenen Daten blockieren, Netzwerke verlangsamen oder die Webressourcen vollkommen lahmlegen. Um erhebliche geschäftliche Schäden zu vermeiden, sind Investitionen in eine fortschrittliche Netzwerkverkehrsanalyse sowie die Entwicklung von Strategien erforderlich, mit denen die Cyberabwehr optimiert und der Betrieb auch im Falle eines Angriffs aufrechterhalten werden kann.

Nicht gepatchte Sicherheitslücken

Programme, die nicht regelmäßig aktualisiert werden, bilden einen fruchtbaren Boden für Cyberangreifer, die versuchen, ungepatchte oder unbekannte Schwachstellen auszunutzen. Allerdings lassen sich diese Bedrohungen auch recht problemlos verhindern, wenn sie frühzeitig erkannt und behoben werden.

Kompromittierte und schwache Anmeldeinformationen

Einer der Hauptangriffsvektoren sind nach wie vor kompromittierte Anmeldeinformationen, insbesondere wenn Benutzer dieselben Passwörter für mehrere Konten verwenden. Mit Schutzmaßnahmen wie der Multi-Faktor-Authentifizierung, Passwort-Managern und umfassenden Benutzerschulungen zu bewährten Identitätspraktiken kann das Eindringen über diesen Angriffsvektor minimiert werden.

IoT-Angriffe

Vernetzte Geräte aus dem Bereich des Internet of Things (IoT) wie Router, Webcams, Wearables, medizinische Geräte, Fertigungsanlagen und Autos vergrößern die Angriffsfläche enorm und sind oft nicht ausreichend geschützt. Dadurch wird zerstörerischen Cyberangriffen Tür und Tor geöffnet. Wenn sie erst einmal von Hackern übernommen wurden, können IoT-Geräte durch die Überlastung von Netzwerken oder das Blockieren kritischer Infrastruktur verheerenden Schaden anrichten. Unternehmen, die vernetzte Technologien einsetzen, müssen daher zunehmend in Tools für das Infrastruktur-Monitoring investieren, die solche Schwachstellen erkennen und die Anfälligkeit für Angriffe reduzieren.

Die lange Liste der Bedrohungen zeigt: Unternehmen müssen immer auf der Hut sein – und das schließt nicht nur schnelle Reaktionen, sondern auch proaktives Handeln ein. Deshalb wollen wir uns im Folgenden einige proaktive Sicherheitsstrategien ansehen.

Proaktive Sicherheitsstrategien

Mit einer proaktiven Cybersicherheitsstrategie werden Sicherheitsbedrohungen und Schwachstellen präventiv erkannt und behoben, bevor es zu einem Angriff kommt. Diese Strategie kann bewährte Frameworks wie die Cyber Kill Chain oder das MITRE ATT&CK-Framework beinhalten, mit denen Sicherheitsexperten das Angriffsverhalten in unterschiedlichsten Kontexten antizipieren und Bedrohungen damit immer einen Schritt voraus sein können.

Cyber Kill Chain

Die Cyber Kill Chain ist eine Aufeinanderfolge geordneter Schritte, die die verschiedenen Phasen des Cyberangriffs von der Erkundung bis zur Datenexfiltration skizzieren und Sicherheitsanalysten und -experten dabei helfen, Bedrohungsmuster und das Verhalten von Angreifern zu verstehen. 

Ursprünglich als militärischer Verteidigungsmechanismus vom Waffenhersteller Lockheed Martin konzipiert, hat sich die Cyber Kill Chain zu einem Instrument entwickelt, mit dem sich eine Vielzahl von Sicherheitsbedrohungen wie Malware, Social Engineering, Advanced Persistent Threats, Ransomware und Insider-Angriffe vorhersehen und erkennen lässt.

Die Cyber Kill Chain umfasst acht Kernstufen, die die Aktivitäten bei einem Cyberangriff in chronologischer Reihenfolge darstellen:

  • Ausspähung (Reconnaissance)
  • Eindringen (Intrusion)
  • Ausnutzung (Exploitation)
  • Rechteausweitung (Privilege Escalation)
  • Seitwärtsbewegung (Lateral Movement)
  • Verschleierung/Anti-Forensik (Obfuscation/Anti-Forensics)
  • Denial of Service
  • Exfiltration

MITRE ATT&CK 

Das MITRE ATT&CK-Framework ist eine allgemein zugängliche Wissensdatenbank, die das Angriffsverhalten von Cyberkriminellen auf der Basis realer Beobachtungen umfassend darstellt. Entwickelt wurde es 2013 von der MITRE Corporation, einer nicht gewinnorientierten Organisation, die mit Behörden, Wirtschaftsverbänden und akademischen Institutionen zusammenarbeitet. 

ATT&CK steht für „Adversarial Tactics, Techniques and Common Knowledge“ und dokumentiert gängige Taktiken, Techniken und Prozeduren (TTPs), die Bedrohungsakteure bei Angriffen auf Netzwerke einsetzen, ohne jedoch ein bestimmtes Angriffsmuster oder eine bestimmte Reihenfolge der Abläufe anzugeben. Das MITRE ATT&CK-Framework beschreibt 14 Taktiken:

  • Erstzugriff
  • Ausführung
  • Persistenz
  • Rechteausweitung
  • Umgehung von Abwehrmaßnahmen
  • Zugriff mit Anmeldeinformationen
  • Entdeckung
  • Seitwärtsbewegung
  • Erfassung
  • Exfiltration
  • Command & Control

Frameworks dieser Art ermöglichen proaktive Sicherheitsmaßnahmen wie die Bedrohungssuche. Um Hackern einen Schritt voraus zu sein, müssen Security-Teams proaktiv nach Anzeichen für potenzielle Angriffe und anderen Bedrohungen suchen, die in der IT-Infrastruktur lauern. 

Proaktive Strategien werden angesichts der heutigen Bedrohungslandschaft zwar immer wichtiger, doch das Hauptziel jedes Security-Teams sollte immer noch sein, die Erkennungs- und Reaktionsfähigkeiten zu maximieren. Wird eine Organisation zur Zielscheibe krimineller Aktivitäten, muss das Security-Team den Angriff sofort aufspüren und eindämmen können – und Security Analytics kann dabei eine wichtige Rolle spielen.

(Bei der Cyberabwehr spielen offensive und defensive Strategien zusammen – mehr darüber erfahrt ihr hier.

Security Analytics zur Erkennung und Reaktion

Security Analytics-Tools und -Technologien können bei der schnelleren Erkennung und Reaktion helfen, da sie in der Lage sind, ein breites Spektrum an Daten aus zahlreichen verteilten Quellen zu analysieren. So können Unternehmen problemlos verschiedene Warnmeldungen, Anomalien und Security-Incidents miteinander in Verbindung bringen, um Angriffsverhalten zu erkennen.

Dies hat mehrere Vorteile:

  • Bessere Integration relevanter Daten aus einer breiten und vielfältigen Palette von Datenquellen
  • Mehr Transparenz in immer komplexeren IT-Infrastrukturen und einer immer neuen Bedrohungslandschaft
  • Bessere Erkennungs- und Forensikfunktionen
  • Mehr Möglichkeiten, Prioritäten zu setzen und geeignete Maßnahmen gegen die kritischsten Bedrohungen zu ergreifen
  • Transparenteres internes Netzwerk mit besseren Monitoring-Möglichkeiten
  • Mehr Transparenz mit Blick auf die Compliance-Umgebung, einschließlich HIPAA, PCI DSS und anderer Vorschriften
  • Bessere Fähigkeit zur Einhaltung von Vorschriften und Branchenstandards, einschließlich laufender Richtlinienänderungen

Durch Optimierung ihrer Erkennungs- und Reaktionstools können Security-Teams folgende Aufgaben in Angriff nehmen: 

  • Erkennung von Insider-Bedrohungen: Da Insider oftmals mithilfe von Anmeldeinformationen auf sensible Daten und Systeme zugreifen können, stellen sie für Unternehmen unter Umständen eine noch größere Gefahr dar als externe Akteure. Mit Security Analytics habt ihr die Möglichkeit, böswilligen Insidern immer einen Schritt voraus zu sein, indem ihr ungewöhnliche Anmeldezeiten, unbefugte Datenbankabfragen, abnorme E-Mail-Nutzung und weitere Abweichungen erkennt und gleichzeitig nach Anzeichen für Datendiebstahl Ausschau haltet.
  • Verhinderung von unbefugtem Datenzugriff: Jede unbefugte Bewegung von Daten in oder aus eurem Netzwerk kann auf Datenverlust oder Datendiebstahl hindeuten. Security Analytics kann verhindern, dass Daten an externe Stellen weitergeleitet werden. Herkömmliche Lösungen für den Schutz vor Datenverlust versagen hier oftmals. Außerdem lassen sich mit Security Analytics Datenverluste selbst in verschlüsselter Kommunikation aufspüren.
  • Sicherheits-Monitoring in der Cloud: Durch die Cloud werden Digitalisierungsinitiativen beschleunigt und Prozesse optimiert, doch angesichts der schnellen Erweiterung der Angriffsfläche bleibt auch Raum für eine Vielzahl neuer Schwachstellen. Mit Security Analytics werden Anwendungen in der Cloud überwacht, nach Bedrohungen durchkämmt und Daten in einer Cloud-Infrastruktur geschützt.
  • Netzwerkverkehrsanalyse: Da beim Netzwerkverkehr stets ein hohes Datenvolumen anfällt, ist es für Sicherheitsanalysten eine Herausforderung, jede Kommunikation und Transaktion im Blick zu behalten. Security Analytics bietet einen Einblick in den gesamten Datenverkehr und gibt euch die Möglichkeit, Netzwerkanomalien zu erkennen und zu analysieren. In Kombination mit Monitoring-Tools für die Cloud-Sicherheit hilft sie zudem, Bedrohungen in eurer Cloud-Umgebung aufzuspüren.

Mit Security Analytics seht ihr das Gesamtbild

Angesichts der immer größeren Angriffsflächen und komplexeren Bedrohungslandschaft stehen Unternehmen beim Datenmanagement zwangsläufig vor mehr Hürden als je zuvor. Dadurch öffnen sie Angreifern und Bedrohungen Tür und Tor für ein unbemerktes Eindringen in ihre Netzwerke. Security Analytics bietet die Lösung für dieses Problem. Durch das Aggregieren, Korrelieren und Analysieren eures gesamten Datenbestands erhaltet ihr einen klaren und umfassenden Einblick in eure Bedrohungsumgebung und könnt neue Angriffe erkennen und verhindern – lange bevor sie eure Daten kompromittieren und euer Unternehmen schädigen.

 

Ihr habt einen Fehler entdeckt oder eine Anregung? Bitte lasst es uns wissen und schreibt eine E-Mail an ssg-blogs@splunk.com.

 

Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.

 
Tyler York Picture
Tyler York

Tyler York is a writer, tech nerd and part of the growth marketing team at Splunk. Armed with an English degree, and a lifetime appointment as his family's IT contact, Tyler is interested in all the ways tech can help us — and even frustrate us.

Ähnliche Artikel

Learn 9 Minuten Lesedauer

Was ist Cloud Analytics?
Entdeckt die Vorteile von Cloud Analytics, von der Datenkonsolidierung über die Skalierbarkeit bis hin zur Sicherheit. Worauf ihr bei der Auswahl einer Plattform für euer Unternehmen achten solltet, erfahrt ihr hier.
Learn 8 Minuten Lesedauer

LLM und SLM: KI-Sprachmodelle im Vergleich

Sprachmodelle sind die Grundlage von ChatGPT und anderen populären KI-Systemen. Dieser Beitrag erklärt eingehend die Unterschiede zwischen LLMs und SLMs.
Learn 21 Minuten Lesedauer

Was ist synthetisches Monitoring (Synthetic Monitoring)?
Das Ziel des Synthetic Monitoring ist es, zu verstehen, welche Erfahrungen ein echter Benutzer mit eurer Website macht. Was Synthetic Monitoring noch alles kann, erfahrt hier im Detail.

Über Splunk

Weltweit führende Unternehmen verlassen sich auf Splunk, ein Cisco-Unternehmen, um mit unserer Plattform für einheitliche Sicherheit und Observability, die auf branchenführender KI basiert, kontinuierlich ihre digitale Resilienz zu stärken.

 

Unsere Kunden vertrauen auf die preisgekrönten Security- und Observability-Lösungen von Splunk, um ihre komplexen digitalen Umgebungen ungeachtet ihrer Größenordnung zuverlässig zu sichern und verbessern.
Wiedergabe Light
Erfahrt hier mehr über Splunk
UNTERNEHMEN
UNTERNEHMEN
PRODUKTE
PRODUKTE
SITES
SITES
KONTAKT
KONTAKT
SPLUNK-MOBILE-APPS
SPLUNK-MOBILE-APPS

© 2005 - 2025 Splunk LLC All rights reserved.

Rechtliche Hinweise
Datenschutz
Sitemap
Cookies
Nutzungsbedingungen

© 2005 - 2025 Splunk LLC All rights reserved.