Was ist Cybersecurity Analytics?

Eine Security Analytics-Plattform (SA), auch bekannt als Network Traffic Analytics-Plattform (NTA), ist ein Tool, das über Behavioral-Machine Learning oder Analyse-Technologien proaktive Funktionen für die Netzwerksicherheit bietet. Diese Sicherheitsfunktionen umfassen die Erkennung, Analyse und das Monitoring unterschiedlicher Sicherheits-Events, Angriffe und Bedrohungsmuster, und zwar innerhalb einer einzigen Anwendung und auf der Grundlage derselben Datenstrukturen. Sicherheitsanalyse-Plattformen sind außerdem skalierbar und ermöglichen die Einbindung größerer Netzwerke und weiterer Benutzer, wenn das Unternehmen wächst.

Der Funktionsumfang von Security Analytics-Plattformen kann zwar variieren, viele bieten jedoch die nachfolgenden Funktionen:

• UEBA (User and Entity Behavior Analytics)
• Netzwerkverkehrsanalyse (automatisiert oder „on-demand“)
• Threat Intelligence
• Anwendungszugriff und -analyse
• DNS-Analyse
• E-Mail-Analyse
• Identität und soziale Rolle
• Dateizugriff
• Geografischer Standort, IP-Kontext

Ein Vorteil einer Security Analytics-Plattform besteht darin, dass Administratoren und Analysten bestehende Bedrohungsmodelle an die jeweilige Bedrohungslandschaft und die spezifischen Anforderungen ihres Unternehmens anpassen oder völlig neue Modelle erstellen können. Die entsprechenden Sicherheitsinformationen werden in einer benutzerfreundlichen Oberfläche visuell aufbereitet angezeigt. Administratoren gewinnen auf diese Weise umsetzbare Erkenntnisse und haben die Möglichkeit, Prioritäten zu setzen und auf die schwerwiegendsten Bedrohungen zuerst zu reagieren.

Unified Security Analytics ist eine Security Analytics-Strategie, bei der Machine Learning, Anomalieerkennung und eine prädiktive Risikobewertung im Zusammenspiel mit Data Science zum Einsatz kommen. Diese mehrschichtige Strategie zielt darauf ab, Verhaltensabweichungen und verdächtige Aktivitäten aufzuspüren, die auf das Vorhandensein von Sicherheitsbedrohungen hindeuten könnten. Für jeden Incident oder jede erkannte Aktivität wird eine konsolidierte, dynamische Risikobewertung erstellt. Modelle werden im Voraus so programmiert, dass Bedrohungen auf der Grundlage von Kriterien wie Use Case, Branche, Bedrohungs-Framework und Compliance-Anforderungen prognostiziert und erkannt werden können. Die generierten kontextbezogenen Warnmeldungen haben den Vorteil, dass Risiken priorisiert und Bedrohungen direkt bei ihrem Auftreten erkannt werden. Mit Unified Security Analytics können daher einige schwerwiegende Sicherheitsbedrohungen entschärft werden, bevor Cyberangreifer damit Schaden anrichten.

Derzeit sind zahlreiche Sicherheitsanalyse-Tools auf dem Markt. Viele davon unterstützen Unternehmen dabei, Bedrohungen zu erkennen und zu priorisieren, aber auch Reaktionsstrategien zu erstellen, das Verhalten von Angreifern zu analysieren und laufend potenzielle Angriffe abzuwehren.

Standardtools für die Sicherheitsanalyse sind unter anderem:

• Verhaltensanalyse: Bei der Verhaltensanalyse werden die Muster und Verhaltenstrends von Benutzern, Anwendungen und Geräten untersucht, um abnormes Verhalten aufzuspüren oder Anomalien zu erkennen, die auf eine Sicherheitsverletzung oder einen Angriff hindeuten könnten.
• Externe Bedrohungsinformationen: Ein externer Anbieter von Sicherheitsservices kann im Rahmen seines Portfolios auch Bedrohungsinformationen anbieten. Solche Threat Intelligence-Plattformen (TI) sind zwar per se keine Sicherheitsanalysen, stellen aber eine gute Ergänzung zum Analyseprozess dar.
• Forensik: Forensik-Tools werden eingesetzt, um vergangene oder laufende Angriffe zu untersuchen, zu ermitteln, wie Angreifer in Systeme eingedrungen sind und diese kompromittiert haben, und um Cyberbedrohungen und Sicherheitslücken aufzudecken, die Unternehmen anfällig für zukünftige Angriffe machen könnten.
• NAV (Network Analysis and Visibility): Unter NAV werden eine Reihe von Tools zusammengefasst, die den Endbenutzer-Datenverkehr und Anwendungsverkehr analysieren, während er durch das Netzwerk fließt.
• SIEM (Security Information and Event Management): SIEM-Lösungen bieten eine Kombination von Tools, die eine Echtzeitanalyse der Sicherheitswarnungen durchführen, die von Netzwerkgeräten und Anwendungen generiert werden.
• SOAR (Security Orchestration, Automation and Response): SOAR-Lösungen sind der Dreh- und Angelpunkt, an dem Datenerfassungsfunktionen, Analyse und die Reaktion auf Bedrohungen zusammenlaufen.

Unternehmen haben die Wahl zwischen Hardware-, Software- oder virtuellen Appliances, die sich ergänzend in ihre bestehende Infrastruktur integrieren lassen müssen. Einige Anbieter von Security Analytics-Lösungen haben sich auf bestimmte Bedrohungstypen wie APT-Angriffe (Advanced Persistent Threats) spezialisiert. Andere sind auf bestimmte Branchen wie das Gesundheitswesen oder Finanzdienstleistungen ausgerichtet, in denen Verstöße gegen gesetzliche Auflagen und Auditvorgaben wie HIPAA oder PCI DSS ein Thema sein können.

Auf der Suche nach dem richtigen Security Analytics-Tool müssen Unternehmen die Art der Bereitstellung, den erforderlichen Funktionsumfang, die Bedrohungstypen, mit denen sie oder ihre Branche regelmäßig konfrontiert sind, sowie Budgetaspekte in Betracht ziehen.

Die „Angriffsfläche“ eines Unternehmens ist die Gesamtheit aller öffentlich und lokal exponierten Punkte zwischen den Daten des Unternehmens und den Schnittstellen, die Menschen Zugriff auf diese Daten bieten. Dabei beschreibt der sogenannte „Angriffsvektor“ die Route, der ein Angreifer oder Malware-Programm potenziell folgen könnte, um in ein Netzwerk oder System einzudringen und Daten zu kompromittieren.

Es gibt mehrere Wege für Angreifer, um in böswilliger Absicht in ein Unternehmensnetzwerk einzudringen. Nachfolgend einige erweiterte Angriffsflächen, die Hackern besonders gute Möglichkeiten bieten:

• IoT und verbundene Geräte: Oftmals sind nicht verwaltete IoT-Geräte entweder nicht mit adäquaten Sicherheitsrichtlinien und Endpunktkontrollen ausgestattet oder diese fehlen sogar gänzlich. Dadurch wird es für Sicherheitsexperten extrem schwierig, zu verstehen, wie diese Geräte mit dem Netzwerk kommunizieren. Es entstehen „blinde Flecken“, die die Geräte anfällig für Angriffe machen.
• Falsch konfigurierte Cloud-Server: Fehlkonfigurationen von Cloud-Servern kommen oftmals durch kleine Fehler bei der Bereitstellung von Cloud-Ressourcen zustande, können Eindringlingen jedoch Tür und Tor zum Netzwerk öffnen und damit den gesamten Datenbestand eines Unternehmens anfällig für Angriffe machen. Da Unternehmen zunehmend Cloud-Services einführen, ohne geeignete Sicherheitsmaßnahmen zu ergreifen, sind sie auch einem höheren Risiko für Datenschutzverletzungen ausgesetzt, die auf falsch konfigurierte Server zurückgehen.
• Schwachstellen bei mobilen Geräten: Schwachstellen bei mobilen Apps sowie eine steigende Anzahl mobiler Bedrohungen kann bei Unternehmen zu Datenverlusten und Identitätsdiebstahl führen, wenn Angreifer sich über Laptops, Tablets und Smartphones Zugang zum Netzwerk verschaffen. Um diese Art von Angriffen zu verhindern, müssen mobile Apps und die Infrastruktur der gesamten Umgebung gründlich auf Sicherheitsschwachstellen und Datenschutzmängel geprüft werden.

Wenn Daten über eine hybride Multi-Cloud-Umgebung verteilt sind, müssen Security-Teams aussagekräftige Erkenntnisse gewinnen, mit deren Hilfe sie (interne wie externe) Bedrohungen erkennen und priorisieren und das Risikoniveau innerhalb der Organisation bestimmen können. In stark verteilten Umgebungen mit abgeschotteten Datensilos kann es jedoch schwer sein, sich einen Überblick über die gesamte Sicherheitsumgebung zu verschaffen oder die richtigen Erkenntnisse zu gewinnen, um geeignete Schutzmaßnahmen zu ergreifen.

Mit einer Security Analytics-Strategie lassen sich Herausforderungen im Bereich Transparenz und Daten in hybriden Multi-Cloud-Umgebungen folgendermaßen meistern:

• Verknüpfung von Datensilos: Eine Security Analytics-Strategie gibt Administratoren die Möglichkeit, umfassende oder angepasste Abfragen und Suchen über unterschiedliche Datenformate hinweg durchzuführen, die siloartige, disparate oder stark verteilte Daten zusammenführen, um aussagekräftige Sicherheitserkenntnisse zu gewinnen. Security-Teams können nun auf den gesamten Datenbestand zugreifen und fundierte, risikobasierte Entscheidungen zum Schutz und Vorteil des gesamten Unternehmens treffen.
• Automatisierung der Incident Response: In einer hybriden Cloud-Umgebung ist die Automatisierung von arbeitsintensiven, monotonen Routineaufgaben durch den Einsatz von Orchestrierungsfunktionen zum Erkennen von Bedrohungen und Anomalien ein wichtiger Aspekt. Das Automatisieren von Routineaufgaben trägt auch zur Optimierung bekannter Sicherheitsprozesse bei, sodass Administratoren sich auf Aufgaben mit hoher Priorität wie die Bedrohungssuche und forensische Untersuchungen konzentrieren können.
• Einheitliche Oberfläche: Security-Teams haben es häufig mit einer Vielzahl an Sicherheitstools und -technologien zu tun, was die Verwaltung, Wartung und das Reporting über Sicherheitsergebnisse zunehmend erschwert. Bei einer Security Analytics-Strategie kommt in der Regel eine gemeinsame Oberfläche zum Einsatz, auf der Administratoren alle notwendigen Maßnahmen im Blick haben und nahtlos von einer Aufgabe zur nächsten wechseln können. Dadurch erhöht sich wiederum die Geschwindigkeit und Agilität der Reaktionen und es bleibt mehr Zeit zur Behebung dringender Probleme.

Viele Unternehmen erhöhen die Anzahl der Sicherheitstools in ihrer Umgebung schlagartig, und zwar oftmals, um immer strengere Compliance-Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union oder den California Consumer Privacy Act zu erfüllen.

Doch die rasante Zunahme von Sicherheitslösungen und -diensten in den letzten Jahren hat den Teams nicht wirklich bei der Sicherheitsanalyse geholfen, sondern stattdessen die Komplexität der Umgebungen erhöht und zu Barrieren und blinden Flecken geführt, die das Erkennen von Sicherheitsbedrohungen und die Reaktion darauf verzögern können. Darüber hinaus haben CISOs (Chief Information Security Officers) angesichts der zunehmenden Anzahl unterschiedlicher und unzusammenhängender Punktlösungen Schwierigkeiten, einen angemessenen ROI (Return on Investment) für die Anschaffungen nachzuweisen, was wiederum zukünftige Investitionen in die Sicherheitsinfrastruktur in Frage stellt.

Folglich sind viele Unternehmen mittlerweile dabei, ihre Sicherheitsumgebungen zu vereinfachen – eine Maßnahme, die zu Prozessoptimierungen, zum schnelleren Erkennen von Risiken und Abwenden von Bedrohungen sowie zu einem höheren ROI für die Gesamtinvestitionen in die Sicherheit beiträgt.

Es gibt zahlreiche Sicherheitsbedrohungen, durch die Unternehmensdaten dem Risiko einer Kompromittierung oder eines Angriffs ausgesetzt sind. Ohne Anspruch auf Vollständigkeit sind hier einige der wichtigsten Bedrohungen aufgeführt, mit denen die meisten Unternehmen in Berührung kommen dürften.

• Social Engineering: Daten werden häufig aus Unternehmen entwendet, wenn Mitarbeiter sich von Angreifern dazu verleiten lassen, Anmeldeinformationen preiszugeben oder Malware zu installieren, die Tastenanschläge aufzeichnet. Da Phishing-Angriffe und Social-Engineering-Methoden immer authentischer erscheinen, müssen Unternehmen weiter in Sicherheitsmaßnahmen und Mitarbeiterschulungen investieren, um zu verhindern, dass eine solche Nachlässigkeit ein ganzes Netzwerk lahmlegt.
• Böswillige Insider: Insider, die bereits über Netzwerkzugang und vertrauliche Informationen über geistiges Eigentum, Blaupausen, wertvolle Daten und andere Geschäftswerte verfügen, zählen oftmals zu den größten Cyberbedrohungen. Daher müssen Unternehmen besonderes Augenmerk auf Personen legen, die Zugriff auf ihre Unternehmensdaten haben, darunter Mitarbeiter, Partner und Drittanbieter, und in der Lage sein könnten, ihren privilegierten Zugriff zu missbrauchen.
• APT-Bedrohungen (Advanced Persistent Threats) und komplexe Malware: Malware-Autoren entwickeln ihre Techniken ständig weiter, und inzwischen gibt es neue Formen von Ransomware, APT-Bedrohungen, dateilose Malware-Angriffe und „Stalkerware“. Zum Schutz ihrer Netzwerke müssen Unternehmen in neue Methoden investieren, um das Verhalten von Malware proaktiv vorauszusehen, Angriffe zu isolieren und ausweichende Bedrohungen zu erkennen, die ihre Präsenz verschleiern.
• DDoS-Angriffe (Distributed Denial of Service): DDoS-Angriffe, bei denen der Computer oder das Netzwerk des Opfers mit einer Flut von fingiertem Datenverkehr bombardiert wird, können den Zugriff von Unternehmen auf ihre eigenen Daten blockieren, Netzwerke verlangsamen oder die Webressourcen vollkommen lahmlegen. Um erhebliche geschäftliche Schäden zu vermeiden, sind Investitionen in eine fortschrittliche Netzwerkverkehrsanalyse sowie die Entwicklung von Strategien erforderlich, mit denen die Cyberabwehr optimiert und der Betrieb auch im Falle eines Angriffs aufrechterhalten werden kann.
• Nicht gepatchte Sicherheitslücken: Programme, die nicht regelmäßig aktualisiert werden, stellen einen einfachen Weg für Cyberangreifer dar, die versuchen, ungepatchte oder unbekannte Schwachstellen auszunutzen. Allerdings lassen sich diese Bedrohungen auch recht problemlos verhindern, wenn sie frühzeitig erkannt und behoben werden.
• Kompromittierte und schwache Anmeldeinformationen: Einer der Hauptangriffsvektoren sind nach wie vor kompromittierte Anmeldeinformationen, insbesondere wenn Benutzer dieselben Passwörter für mehrere Konten verwenden. Mit Schutzmaßnahmen wie der Multi-Faktor-Authentifizierung, Passwort-Managern und umfassenden Benutzerschulungen zu bewährten Identitätspraktiken kann das Eindringen über diesen Angriffsvektor minimiert werden.
• IoT-Angriffe: Vernetzte IoT-Geräte (Internet of Things) wie Router, Webcams, Wearables, medizinische Geräte, Fertigungsanlagen und Automobile vergrößern die Angriffsfläche enorm und sind außerdem oftmals nicht ausreichend geschützt. Dadurch wird zerstörerischen Cyberangriffen Tür und Tor geöffnet. Wenn sie einmal von Hackern übernommen wurden, können IoT-Geräte durch die Überlastung von Netzwerken oder das Blockieren kritischer Infrastruktur verheerenden Schaden anrichten. Unternehmen, die vernetzte Technologien einsetzen, müssen daher zunehmend in Tools für das Infrastruktur-Monitoring investieren, die solche Schwachstellen erkennen und die Anfälligkeit für Angriffe reduzieren.

Mit einer proaktiven Cybersicherheitsstrategie werden Sicherheitsbedrohungen und Schwachstellen präventiv erkannt und behoben, bevor es zu einem Angriff kommt. Diese Strategie kann bewährte Frameworks wie die Cyber Kill Chain oder das MITRE ATT&CK-Framework beinhalten, mit denen Sicherheitsexperten das Angriffsverhalten in einer Vielzahl von Kontexten antizipieren und Bedrohungen damit immer einen Schritt voraus sein können.

Die Cyber Kill Chain ist eine Aneinanderreihung geordneter Schritte, die die verschiedenen Phasen des Cyberangriffs von der Erkundung bis zur Datenexfiltration skizzieren und Sicherheitsanalysten und -experten dabei helfen, das Verhalten von Angreifern und Bedrohungsmuster zu verstehen. Ursprünglich als militärischer Verteidigungsmechanismus vom Waffenhersteller Lockheed Martin konzipiert, hat sich die Cyber Kill Chain zu einem Instrument entwickelt, mit dem sich eine Vielzahl von Sicherheitsbedrohungen wie Malware, Social Engineering, APT-Bedrohungen, Ransomware und Insider-Angriffe antizipieren und erkennen lassen.

Die Cyber Kill Chain umfasst acht Kernstufen, die die Aktivitäten bei einem Cyberangriff in chronologischer Reihenfolge darstellen:

• Erkundung (Reconnaissance)
• Eindringen (Intrusion)
• Ausnutzung (Exploitation)
• Rechteausweitung (Privilege Escalation)
• Seitwärtsbewegung (Lateral Movement)
• Verschleierung/Anti-Forensik (Obfuscation/Anti-Forensics)
• Denial of Service
• Exfiltration

Das MITRE ATT&CK-Framework ist eine allgemein zugängliche Wissensdatenbank, die eine umfassende Darstellung des Angriffsverhaltens auf der Basis von realen Beobachtungen bietet. Das MITRE ATT&CK-Framework wurde 2013 von der MITRE Corporation geschaffen, einer nicht gewinnorientierten Organisation, die mit Regierungsbehörden, Wirtschaftsorganisationen und akademischen Institutionen zusammenarbeitet. ATT&CK steht für „Adversarial Tactics, Techniques and Common Knowledge“ und dokumentiert gängige Taktiken, Techniken und Prozeduren (TTPs), die Cyberkriminelle bei Angriffen auf Netzwerke einsetzen, ohne jedoch ein bestimmtes Angriffsmuster oder eine bestimmte Reihenfolge der Abläufe anzugeben.

• Erstzugriff (Initial Access)
• Ausführung (Execution)
• Persistenz (Persistence)
• Rechteausweitung (Privilege Escalation)
• Umgehung von Abwehrmaßnahmen (Defense Evasion)
• Zugriff mit Anmeldeinformationen (Credential Access)
• Entdeckung (Discovery)
• Seitwärtsbewegung (Lateral Movement)
• Erfassung (Collection)
• Exfiltration
• Befehlen und Steuern (Command and Control)

Tools und Technologien zur Sicherheitsanalyse können bei der schnelleren Erkennung und Reaktion helfen, da sie in der Lage sind, ein breites Spektrum an Daten aus zahlreichen, verteilten Quellen zu analysieren. So können Unternehmen problemlos verschiedene Warnmeldungen, Anomalien und Sicherheits-Incidents miteinander in Verbindung bringen, um Angriffsverhalten zu erkennen.

Eine Security Analytics-Plattform bietet unter anderem folgende Vorteile:

• Bessere Integration relevanter Daten aus einer breiten und vielfältigen Palette von Datenquellen
• Mehr Transparenz in immer komplexeren IT-Infrastrukturen und in einer sich stetig verändernden Bedrohungslandschaft
• Bessere Erkennungs- und Forensik-Funktionen
• Mehr Möglichkeiten, Prioritäten zu setzen und geeignete Maßnahmen gegen die kritischsten Bedrohungen zu ergreifen
• Transparenteres internes Netzwerk mit besseren Monitoring-Möglichkeiten
• Mehr Transparenz mit Blick auf die Compliance-Umgebung, einschließlich HIPAA, PCI DSS und anderer Vorschriften
• Bessere Fähigkeit zur Einhaltung von Vorschriften und Branchenstandards, einschließlich laufender Richtlinienänderungen

Für Security Analytics gibt es viele wichtige Use Cases, von der Verbesserung der Netzwerktransparenz über die Bedrohungserkennung bis hin zum Mitarbeiter-Monitoring. Nachfolgend einige der gängigsten Use Cases:

• Bedrohungssuche: Um Hackern aktiv einen Schritt voraus zu sein, müssen Sicherheitsteams proaktiv nach potenziellen Angriffen und anderen Bedrohungen suchen, die in der IT-Infrastruktur lauern. Mit Security Analytics lassen sich diese Aufgaben automatisieren und bestimmte Typen von ausweichender Malware aufspüren.
• Erkennung von Insider-Bedrohungen: Da Insider oftmals über die Eingabe von Anmeldeinformationen auf sensible Daten und Systeme zugreifen können, stellen sie für Unternehmen unter Umständen eine noch größere Gefahr dar als externe Akteure. Mit Sicherheitsanalysen haben Sie die Möglichkeit, böswilligen Insidern immer einen Schritt voraus zu sein, indem Sie ungewöhnliche Anmeldezeiten, unbefugte Datenbankabfragen, auffallende E-Mail-Nutzung und weitere Abweichungen erkennen und gleichzeitig nach Anzeichen für Datendiebstahl Ausschau halten können.
• Unbefugter Datenzugriff: Jede unbefugte Bewegung von Daten in oder aus Ihrem Netzwerk kann auf Datenverlust oder Datendiebstahl hindeuten. Security Analytics hilft Ihnen, zu verhindern, dass Daten an externe Stellen weitergeleitet werden. Herkömmliche Lösungen für den Schutz vor Datenverlust versagen hier oftmals. Außerdem lassen sich Datenverluste selbst in verschlüsselter Kommunikation aufspüren.
• Cloud Security Monitoring: Durch die Cloud werden Digitalisierungsinitiativen beschleunigt und Prozesse optimiert, angesichts der schnellen Erweiterung der Angriffsfläche bleibt jedoch auch Raum für eine Vielzahl neuer Schwachstellen. Mit Security Analytics werden Anwendungen in der Cloud überwacht, nach Bedrohungen durchkämmt und Daten in einer Cloud-Infrastruktur geschützt.
• Netzwerkverkehrsanalyse: Da beim Netzwerkverkehr stets hohe Datenvolumen anfallen, ist es für Sicherheitsanalysten eine Herausforderung, jede Kommunikation und Transaktion im Blick zu behalten. Die Sicherheitsanalyse bietet einen Einblick in den gesamten Datenverkehr und gibt Ihnen die Möglichkeit, Netzwerkanomalien zu erkennen. Gleichzeitig arbeitet sie mit Tools für das Cloud Security Monitoring zusammen, um Bedrohungen in Ihrer Cloud-Umgebung aufzuspüren.

Angesichts der immer größeren Angriffsflächen und komplexeren Bedrohungslandschaft stehen Unternehmen beim Datenmanagement zwangsläufig vor mehr Hürden als je zuvor. Dadurch öffnen sie Angreifern und Bedrohungen Tür und Tor für ein unbemerktes Eindringen in ihre Netzwerke. Security Analytics bietet die Lösung für dieses Problem. Durch das Aggregieren, Korrelieren und Analysieren Ihres gesamten Datenbestands erhalten Sie einen klaren und umfassenden Einblick in Ihre Bedrohungsumgebung und können neue Angriffe erkennen und verhindern, und zwar lange bevor sie Ihre Daten kompromittieren und Ihr Unternehmen schädigen.